Ständig neue Wellen von immer ausgereifteren Krypto-Trojanern scheinen den für IT und Sicherheit Verantwortlichen in deutschen Krankenhäusern den Blick auf das Wesentliche zu vernebeln. Anders llässt es sich nicht erklären, dass von "Cyber-Attacken" gesprochen wird, eilig technische Maßnahmen zur Erhöhung der Sicherheit digitaler Kommunikation ergriffen werden und viel Geld für technische Maßnahmen bereitgestellt wird. Es scheint fast so, als ob das Managementversagen der letzten Jahre in der Krankenhaus-IT durch die Geschäftsführer nach verschiedenen Sicherheitsvorfällen mit Hilfe von Geld überdeckt werden soll.

Dabei gibt es viele Hilfsmittel, die effektiv sind und proaktives Arbeiten ermöglichen - nur wenige jedoch nutzen diese. In vielen Fällen aber agieren die Geschäftsführer nach dem Gedanken "viel hilft viel" - die Übermedikation des Problempatienten IT-Sicherheit ist die Folge.

IT-Sicherheitsrisiken lauern nicht nur in E-Mails

Bei allen Diskussionen über Cyber-Sicherheit im Gesundheitswesen fällt auf, dass die Einfallstore oder Angriffsvektoren in der Diskussion immer auf E-Mail oder das Internet eingeschränkt werden. Daran lässt sich ablesen, dass der Begriff "Cyber-Sicherheit" irreführend ist. Nur wenige Redner füllen diesen Begriff passend mit Leben. Nicht nur,-dass der Begriff "Cyberspace" unterschiedlich interpretiert wird, auch "Cyber-Sicherheit" ist etwas, das in vielen Bereichen Auslegungssache zu sein scheint. Ein Krankenhaus ist eine viel komplexere Einrichtung, als dass reine "Cyber-Risiken" - also Risiken der klassischen IT-Sicherheit allein - in der Betrachtung mehr Sicherheit versprechen würden. Moderne und digitalisierte Krankenhäuser verstecken viel IT in Geräten, die die IT-Abteilungen oft gar nicht zu Gesicht bekommen.

IT-Verkäufer reiten auf der Angstwelle

Daher muss der Gesamtkomplex, bestehend aus informationstechnischen Anlagen, Medizingeräten im IT-Netzwerk, Haustechnik im IT-Netzwerk und anderen Komponenten wie etwa der Parkraumbewirtschaftung, als Ganzes betrachtet werden. Nur dann gelingt es, alle Sicherheitsrisiken des IT-Betriebs und seiner Schnittstellen zu potenziell unsicheren Systemen und Komponenten zu erkennen und ein ganzheitliches Sicherheitskonzept zu erarbeiten.

Den gesamten Expertenbeitrag lesen Sie in der aktuellen September-Ausgabe der kma.