IT-SICHERHEIT_2-2021 SPECIAL Krankenhaus

HZ208324 · ISSN 1868-5757 · www.datakontext.com April 2/2021 Was alles schiefgehen kann – und wie sicher nichts schiefgeht Sicheres und vertrauens würdiges ArbeitenimHomeoffice Großes Special in Kooperation mit dem Krankenhaus-IT Journal: IT-Sicherheit im Krankenhaus 100 Extraseiten mit allen Infos zum Krankenhauszukunftsgesetz, zu Förderprogrammen, besonderen Gefahren und mit sehr vielen Tipps für eine sichere IT im Krankenhaus – inklusive umfassendem Marktüberblick mit Anbietern und deren Lösungen Messenger: Vergleichs-Check Datenschutz für WhatsApp & Co. Schadensbegrenzung: Incident Response als starke Antwort auf Sicherheitsvorfälle Cyberbedrohungen: Anatomie eines Angriffs am Endpunkt Was alles schiefgehen kann – und wie sicher nichts schiefgeht

Live Online- Schulung Belastbare Gutachten 18. Mai 2021 | online Referent: Martin Wundram Schwerpunkte: ✓ Was sind »belastbare« Gutachten und was macht sie aus? ✓ Typische Faktoren für Gutachten ✓ Sprachliche Aspekte bei der Gutachtenerstellung ✓ Workshop: Erstellung eines eigenen Übungsgutachtens Jetzt anmelden: www.datakontext.com

EDITORIAL DATENSCHUTZVORFÄLLE RECHTSSICHER AUFFANGEN Trotz aller Maßnahmen und Anstrengungen – es passiert! Und es passiert häufiger, als viele denken: Personenbezogene Daten wurden entwendet oder versehentlich exponiert. Ein solcher „Datenschutz- vorfall“ hat spätestens seit Einführung der Datenschutz-Grundverordnung (DS-GVO) für Unternehmen und Organisationen aller Art tiefgreifende Konsequenzen – neben hohen Strafen und Betriebsprüfun- gen sorgen langfristige Vertrauensverluste für Erschütterungen des Betriebs. Letzteres kann nur durch transparente Aufklärung eingedämmt werden – die Geldstrafen berücksichtigen nicht zuletzt auch das Verhalten nach einem Vorfall. Doch was genau ist eigentlich ein Datenschutzvorfall? Wie, wann und wem muss ich ihn melden? Was ist mit den betroffenen Personen? Muss ich sie proaktiv informieren? Wie reagiere ich richtig auf Betroffenenanfragen? Welche Fehler sollten unbedingt vermieden werden? Diese und viele weitere Fragen beantwortet der „Praxis-Guide für den rechtskonformen Umgang mit Datenschutzvorfällen in Unternehmen“ in unserer Rubrik IT-RECHT in dieser Ausgabe – mit vielen Tipps, wie der Schaden möglichst klein gehalten werden kann (ab Seite 56). Was Unternehmen tun können, damit ein Datenschutzvorfall gar nicht erst eintritt, erklärt der Beitrag „Die Eckpfeiler eines gesetzlich konformen Datenschutzes für KMU – Mensch, Prozesse und IT-Infrastruktur im Einklang“ (ab Seite 44). Eine gute Vorsorge gegen einen Datenschutzvorfall und ein klarer Plan für das Verhalten danach sind wichtige Säulen für den richtigen Umgang mit Personendaten – und als Selbstschutz für Unternehmen heute unerlässlich. SPECIAL: IT-SICHERHEIT IM KRANKENHAUS Sie haben sich vermutlich gewundert – diese Ausgabe der IT-SICHERHEIT ist mehr als doppelt so dick wie die früheren Ausgaben des Heftes. Auflösung: Es sind im Grunde zwei Hefte! Zusammen mit un- serem Partner Krankenhaus-IT Journal haben wir ein Special gestaltet, das speziell die Belange im Ge- sundheitswesen adressiert. Dass oft global gut vernetzte und technisch vom Feinsten ausgestattete Cyber kriminelle auch vor Krankenhäusern nicht Halt machen, zeigte der Fall am Uniklinikum Düsseldorf vergangenes Jahr auf dramatische Weise. Das Krankenhauszukunftsgesetz, das mit einem 4,3 Milliar- den Euro schweren Fördertopf als Digitalisierungshilfe auf den Weg gebracht wurde, will ausdrücklich auch die IT-Sicherheit stärken. Die Förderung soll gleichzeitig bei der Umsetzung des Patientendaten- Schutz-Gesetzes helfen, das ab 2022 für alle Krankenhäuser gelten wird. Sie finden im Special neben strategischer und technischer Unterstützung auch wichtige Infos für einen aussichtsreichen Fördermittelantrag sowie einen Orientierungs-Guide mit einem Großteil der relevanten Security-Anbieter. Viel Spaß beim Lesen! Ihr Stefan Mutschler Chefredakteur Stefan Mutschler facebook.com/itsicherheit twitter.com/it_sicherheit24 www.itsicherheit-online.com/ newsletter IT-SICHERHEIT_2/2021 3

SICHERES UND VERTRAUENS WÜRDIGES ARBEITEN IM HOMEOFFICE 160 SICHERES UND VERTRAUENSWÜRDIGES ARBEITEN IM HOMEOFFICE 24 IT-Verantwortliche treiben Sicherheit voran PATIENTENORIENTIERTE IT IM KRANKENHAUS 26 Dreifacher Mehrwert durch Managed-Detection- and-Response-Dienste DER FAKTOR MENSCH IN DER CYBERSICHERHEIT 28 Keine digitale Transformation ohne Technologie-Archäologie IMMER DAS GROSSE UND GANZE IM BLICK CYBERSICHERHEIT 30 Whitelisting vs. Blacklisting in Zeiten unvorhersehbarer Angriffe DIE MÄR VON DER KOMPLEXEN WHITELIST 32 Incident Response als starke Antwort auf Sicherheitsvorfälle DEN SCHADEN EINDÄMMEN 142 Trend zu „erweiterter“ IT-Security WAS STECKT HINTER XDR ENDPOINT | MOBILE SECURITY 144 Ohne mehrschichtiges Sicherheitskonzept kein wirksamer Schutz gegen Cyberbedrohungen ANATOMIE EINES ANGRIFFS AM ENDPUNKT IN DER HEFTMITTE NACH SEITE 34 EDITORIAL 3 Datenschutzvorfälle rechtssicher auffangen NEWS 6 Unternehmens-News 10 Produkt-News AUS DER SZENE 14 KASTEL: Zehn Jahre im Dienst der Cybersicherheit KIT STÄRKT IT-SICHERHEITSFORSCHUNG 16 Neue Stufe der Cyberabwehr für KRITIS IT-SICHERHEITSGESETZ 2.0 18 BMI und BSI starten Informations- und Sensibilisierungskampagne zur IT-Sicherheit KAMPAGNE SOLL VERBRAUCHER INNEN UND VERBRAUCHER DIREKT ANSPRECHEN SECURITY MANAGEMENT 20 Neun Tipps, um vor, während und nach einer Cyberattacke richtig zu reagieren WARUM CYBERSECURITY EIN MANNSCHAFTSSPORT IST 4 IT-SICHERHEIT_2/2021

SICHERES UND VERTRAUENS WÜRDIGES ARBEITEN IM HOMEOFFICE 32 INCIDENT RESPONSE ALS STARKE ANTWORT AUF SICHERHEITSVORFÄLLE ANGRIFFS AM ENDPUNKT144 ANATOMIE EINES CLOUD SECURITY | WEB APP SECURITY 148 Cloud-Dienste in der Sicherheitstechnik RISIKEN IMMER MIT ABWÄGEN 150 Aufbruch in die sichere digitale Arbeitswelt WORKING FROM ANYWHERE ALS NEUES PARADIGMA 166 BETROFFENENANFRAGEN UND DATENSCHUTZVORFÄLLE IN UNTERNEHMEN DATENSCHUTZ | BACK-UP | ARCHIVIERUNG IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT 154 Die Eckpfeiler eines gesetzlich konformen 166 Praxis-Guide für den rechtskonformen Umgang Datenschutzes für KMU MENSCH, PROZESSE UND IT-INFRASTRUKTUR IM EINKLANG BETROFFENENANFRAGEN UND DATENSCHUTZVORFÄLLE IN UNTERNEHMEN 156 Instant Messenger für Unternehmen: Der Datenschutzvergleich DIE WIRKLICH BESSEREN ALTERNATIVEN ZU WHATSAPP AUS FORSCHUNG UND TECHNIK 160 Sicheres und vertrauenswürdiges Arbeiten im Homeoffice AKTUELLE SITUATION DER CYBER- SICHERHEITSLAGE BUCHVORSTELLUNG 171 Praxishandbuch IT-SICHERHEITSRECHT SERVICES 141 Webportal 172 VORSCHAU: Ausblick auf Ausgabe 3 | 2021 172 Impressum IT-SICHERHEIT_2/2021 IT-SICHERHEIT_2/2021 5 5

NEWS | UNTERNEHMEN BEI SOSAFE STEHEN DIE ZEICHEN AUF WACHSTUM SoSafe GmbH setzt weiterhin auf starkes Wachstum und hat im März die 100-Mitarbeitenden-Marke überschritten. Das Wachstum ist nicht zuletzt auf die gestiegene Bedeutung des Faktors Mensch im Bereich Cybersecurity zurückzuführen. Durch die COVID-19-Pandemie und den Wechsel auf mobile Arbeitsmodelle ist die Zahl und Erfolgswahrschein- lichkeit von menschenbasierten Cyberangriffen im letzten Jahr deutlich angestiegen. Dies zeigt auch der im Februar veröffentlichte „Human Risk Review 2021“ von SoSafe, welcher auf der Internetseite des Unterneh- mens kostenlos angefordert werden kann. Die Ergebnisse des Reports wurden der breiten Öffentlichkeit auf dem 17. Kongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI), nach der Eröffnungsrede der Bundeskanzlerin, vorgestellt. n INFOGUARD EXPANDIERT MIT TANIUM IN DEN DEUTSCHEN MARKT Die Schweizer InfoGuard gab ihre Pläne bekannt, gemeinsam mit Tanium, einem Anbieter von Endpoint Management und Security-Lösungen, in den deutschen und österreichischen Markt zu expandieren. InfoGuard, die über ein eigenes Cyber Defence Center in der Schweiz verfügt, ver- folgt damit ihre Wachstumsstrategie konsequent weiter und bietet ihre Security-Operations-Center-(SOC-)as-a-Service-Leistungen nun auch in der DACH-Region an. Die Partnerschaft von Tanium und InfoGuard besteht seit Dezember 2015, als InfoGuard der erste MSSP-Partner von Tanium in Europa wurde. Info- Guards Endpoint Detection Response Service (EDR-as-a-Service), der seit 2018 angeboten wird und auf der Endpoint-Management-Lösung von Ta- nium basiert, ermöglicht es Kunden, ihre Technologiesysteme in großem Stil von einer zentralen Stelle aus zu sichern und zu verwalten. Als Sicher- heitsspezialist setzt InfoGuard auf Taniums Lösungen, da diese Echtzeit- visibilität in Netzwerkumgebungen ermöglichen, die Incident Response beschleunigen und somit die Sicherheit von Unternehmen entscheidend vorantreiben. InfoGuard hat mit seinem eige- nen ISO 27001-zertifizierten und ISAE 3000 Typ 2 geprüften Cyber Defence Center bereits ein deutsches Finanzinstitut als ersten SOC-as-a- Service-Kunden gewonnen und schon mehrere deutsche Unter- nehmen bei Sicherheitsvorfällen mit ihrem Incident Response Team (CSIRT) und forensischen Analysen unterstützt. „Wir sehen bei unseren Kunden wie schwierig es geworden ist, Herausforderungen bei Cybersicherheit und Compliance zu begeg- nen. Hauptgrund dafür ist die gestiegene Komplexität, mit der IT-Teams konfrontiert sind, da ein Großteil der Mitarbeiter auf Remote-Arbeit um- steigt sowie immer ausgefeiltere Cyberangriffe “, so Christoph Volkmer, VP EMEA Central bei Tanium. n Christoph Volkmer, VP EMEA Cen- tral bei Tanium (Foto: Tanium) 6 IT-SICHERHEIT_2/2021 ZSCALER UND CROWDSTRIKE ERWEITERN ZERO TRUST SECURITY Zscaler und CrowdStrike, zwei Anbieter von cloudnativer Sicherheit, haben eine Reihe von Integrationen angekündigt, die End-to-End-Sicher- heit vom Endpunkt bis zur Anwendung bieten. Diese Integrationen sollen die Sicherheit von gemeinsamen Kunden durch einen identitäts- und da- tenzentrierten Zero Trust-Ansatz stärken, der Daten, Anwender, Geräte, Workloads und Netzwerke umfasst. Zscaler ist der erste Cloud-Security-Partner, der CrowdStrike Zero Trust Assessment (ZTA) einsetzt, um den sicheren Zugriff auf Anwendungen von jedem Endgerät aus zu ermöglichen, unabhängig von Benutzer oder Standort. ZTA nutzt die umfangreiche Telemetrie der CrowdStrike Falcon- Plattform, die wöchentlich mehr als fünf Billionen Ereignisse verarbeitet, und gewährt dynamisch konditionalen Zugriff auf der Grundlage von kontinuierlichen Echtzeit-Sicherheitsbewertungen des Gerätezustands und Compliance-Prüfungen. Durch die Integration mit Zscaler Private AccessTM (ZPATM) kann der Zugriff auf private Anwendungen automa- tisch angepasst werden, basierend auf dem ZTA-Bewertungsergebnis und aktuellen Zugriffsrichtlinien von Zscaler. „Mitarbeiter arbeiten von überall aus und Anwendungen werden in die Cloud verlagert“, sagt Amit Sinha, President, CTO und Board Member von Zscaler. „Der Unternehmens- perimeter existiert nicht mehr, das Internet ist das neue Unternehmens- netzwerk. Dementsprechend muss die Sicherheit den Anwendern und Workloads folgen, egal wo sie sich aufhalten oder vorgehalten werden. Zero Trust ermöglicht das Entkoppeln des Anwendungszugriffs vom Unternehmensnetzwerk und stellt den Zugang zu Anwendungen auf der Grundlage von Identität, Kontext und Geschäftsrichtlinien her. Dies reduziert die Angriffsfläche eines Unter- nehmens drastisch und verhindert die laterale Ausbreitung von Angriffen, die vermehrt beobachten werden können, wenn sich Unternehmen auf herkömmliche Firewall- und netzwerkzentrierte Lösungen verlassen.“ n Amit Sinha, President, CTO und Board Member von Zscaler (Foto: Zscaler) MCAFEE BEGRÜSST NEUE SECURITY INNOVATION ALLIANCE McAfee kündigte neue Partnerschaften mit führenden Zero-Trust-Net- work-Access-(ZTNA-)Anbietern an, um Geschäftskunden eine verbesser- te Sicherheit beim Einsatz von ZTNA zu bieten. So treten Appgate, Axis Security und TransientX der McAfee Security Innovation Alliance (SIA) bei und zertifizieren dadurch ihre Integration mit den Lösungen von McAfee. Der offene Zero-Trust-Ansatz der SIA ist Teil der bereits bestehenden Ini- tiativen von McAfee rund um Zero Trust, wie zum Beispiel die Beteiligung an der BeyondCorp Alliance von Google Cloud. n

Ihr ständiger Begleiter im Datenschutz- Management. Datenschutz- organisationen prüfen und beurteilen mit begrenztem Zeitaufwand. Wie DS-GVO-konform arbeitet Ihr Unternehmen? Ihre DS-GVO Umsetzung smart auditiert und visualisiert. Bestellen Sie direkt unter: datakontext.com

NEWS | UNTERNEHMEN RITTAL UND STULZ: ZWEI PIONIERE KOOPERIEREN Komplettlösungen aus einer Hand: Der Systemanbieter für Schalt- schranktechnik und IT-Infrastruktur Rittal und der Spezialist für Re- chenzentrumsklimatisierung Stulz kooperieren ab sofort weltweit. Kaltwassersätze, Freikühlanlagen, Seitenkühler und Indoor-Chiller von Stulz runden das breite IT-Infra- struktur-Portfolio von Rittal ab. Dazu gehören IT-Systemschränke, IT- Kühlung und IT-Stromversorgungs- lösungen sowie Software-Lösungen für Datacenter Management und IT-Monitoring. Die Partner ergänzen das Portfolio mit einem globalen Service-Angebot und Optimierungsdienstleistungen, die Betreiber über den gesamten IT-Lebenszyklus hinweg unterstützen. Das Ergebnis sind Rechenzentrumslösungen mit Zukunfts- und Investitionssicherheit. Transparente TCO-Berechnung trifft auf Hochverfügbarkeit und Sicher- heit inklusive Monitoring. Prof. Friedhelm Loh (links) und Jürgen Stulz (Foto: Rittal) Die Kooperation verbindet erweiterte Cooling-Vielfalt mit dem schnel- len und flexiblen Auf- und Ausbau von komplexen IT-Infrastrukturen. Die Präzisionsklimalösungen mit Freikühlfunktion und Adiabatik von Stulz runden das Modulkonzept der neuen Rittal Plattform „RiMatrix Next Generation“ (NG) ab. Mit individuell planbaren Modulen erhalten IT-Ver- antwortliche individuelle Lösungen aus Racks, Klimatisierung, Stromver- sorgung sowie IT Monitoring und Security. Die offene Plattformarchitek- tur von RiMatrix NG, die gemeinsame Beratung und Services decken alle künftigen IT-Szenarien ab, von Einzel-Rack- oder Containerlösungen über zentrale Rechenzentren und verteilte Edge Datacenter bis hin zu hoch- skalierbaren Colocation-, Cloud- und Hyperscale Datacentern. n RETARUS ENGAGIERT SICH FÜR EIN DATENSOUVERÄNES EUROPA Als Gründungsmitglied der internationalen gemeinnützigen Gesellschaft GAIA-X AISBL vertritt Retarus in der europäischen Cloud-Initiative GAIA-X ab sofort die Interessen seiner europäischen Kunden in den Bereichen Kommunikation, Datensicherheit und EU-Datenschutzstandards. Ziel des Kommunikationsplattform-Anbieters ist es auch, die Digitalisierung in Europa weiter voranzutreiben und Partnerschaften mit anderen Her- stellern und Dienstleistern einzugehen, die sich wie Retarus für Daten- schutzstandards engagieren. Retarus beteiligt sich maßgeblich an den Arbeitsgruppen „OWP Interconnection and Network“ und „Open Work Package Self Description“. Mit dem europäischen Cloud-Projekt GAIA-X soll mittels digitaler Sou- veränität Europas Unabhängigkeit und Innovationsfähigkeit gesichert werden. Retarus bringt in das Projekt seine jahrzehntelange Expertise in der Modernisierung und Digitalisierung von Business-Kommunikation und Geschäftsprozessen ein, damit eine wettbewerbsfähige europäische 8 IT-SICHERHEIT_2/2021 Cloud-Technologie entwickelt werden kann, mit der sich Daten sicher und verantwortungsvoll verarbeiten lassen, ohne dass Nutzer in Abhän- gigkeit von einzelnen Cloud-Anbietern sowie von wirtschaftlichen oder politischen Interessen einzelner Länder geraten. Als Mitglied der GAIA-X AISBL verpflichtet sich Retarus dazu, die eu- ropäischen Werte des erhöhten Datenschutzes, der Transparenz, der Sicherheit und der Achtung der Datenrechte zu wahren. Zudem setzt sich Retarus dafür ein, dass Monopolstellungen der internationalen Tech-Konzerne reduziert und technologische Hürden für kleine und mittelständische Unternehmen, etwa bei der Datenmigration, abge- baut werden. „Die Entscheidung des Europäischen Gerichtshofes zum ‚Privacy Shield‘ hat einmal mehr gezeigt, wie wichtig es ist, die eu- ropäischen Datenschutz-Standards konsequent umzusetzen. Für uns hat die rechtskonforme Verarbeitung der geschäftskritischen Daten unserer Kunden oberste Priorität. Sensiblen Daten gebührt besonderer Schutz, sie müssen jederzeit verfügbar, un- angetastet und vertraulich bleiben“, sagt Martin Hager, Geschäftsführer und Gründer von Retarus. n Martin Hager, Geschäfts führer und Gründer von Retarus (Foto: Retarus) EUROTECH UND GLOBALSIGN SCHLIESSEN PARTNERSCHAFT FÜR IIOT-SICHERHEIT Eurotech, ein Unternehmen, das Hardware- und Softwarelösungen für Edge-Computer und Internet of Things (IoT) konzipiert, entwickelt und liefert, und GlobalSign, eine Zertifizierungsstelle für Sicherheit und An- bieter von Identitätslösungen, geben ihre Zusammenarbeit bekannt, um starke verifizierbare Geräteidentitäten und Integritätsnachweise zum frühestmöglichen Zeitpunkt in die Lieferkette des industriellen Internets der Dinge (IIoT) einzubetten. Die Verwaltung von Geräteidentitäten über den gesamten Lebenszyklus eines Produkts ist technisch komplex und in ihrer Umsetzung für viele Unternehmen ein Problem. Dadurch wird eine effektive Verwaltung von Geräteidentitäten zu einem wesentlichen Faktor für die Gesamtbetriebs- kosten (TCO) sicherer IoT-Infrastrukturen. Durch die Nutzung und Inte- gration von Industriestandards und Best Practices baut die Lösung auf dem Root-of-Trust des OPTIGA Trusted Platform Module (TPM) von Infi- neon auf, das in Eurotechs IoT Edge Computing-Plattformen, Datenlog- gern und IoT-Gateways installiert ist. Als Gerätehersteller baut Eurotech auf dieser soliden Grundlage auf und fügt dem Gerät einen Initial Device Identifier (IDevID) hinzu. n

– ADVERTORIAL – COMPLIANCE UND SICHERHEIT IP-BASIERTER VIDEOÜBERWACHUNG Wenn IP-Kameras über das Netzwerk erreichbar Systeme müssen selbst sicher sein sind, Feeds über das Ethernet übertragen werden und auch der Zugang zur Management-Plattform über das Netzwerk erfolgt, bedeutet dies, dass die Videoüberwachung denselben Bedrohungen durch Hacker und Malware ausgesetzt ist wie andere IT-Systeme. In der Vergangenheit ist es Eindringlingen be- reits gelungen, Bankmitarbeiter durch kompromittierte Kameras aus- zuspähen oder IP-Kameras zu riesigen Botnetzen zu verbinden. Hinzu kommen Bedrohungen durch aggressive Ransomware-Attacken. Entscheidend für die Compliance ist darüber hinaus die Reglementierung des Zugriffs und der Berechtigungen zur Aufhebung der Verpixelung im Ernstfall. Auch hier können keinerlei Kompromisse akzeptiert werden, da ansonsten der gesamte Aufwand hinfällig wird. Bewährt hat sich in diesem Zusammenhang die direkte Integration der Verpixelung in die übergeord- nete Management-Plattform, wie es zum Beispiel der Privacy Protector in Genetec Security Center ermöglicht. Die Verpixelung wird dann durch die- selben Autorisierungsverfahren geschützt wie die Management-Plattform. DS-GVO: Sicherheitsanforderungen für Videoüberwachung steigen Zusätzliche Herausforderungen entstehen durch Regelwerke wie die Da- tenschutz-Grundverordnung (DS-GVO). Vielen Unternehmen ist noch nicht ausreichend bewusst, dass auch Videoaufzeichnungen in den Schutzbe- reich der DS-GVO fallen können. Unternehmen, die IP-basierte Video- überwachung und andere IP-basierte Systeme für physische Sicherheit einsetzten, müssen sich spätestens jetzt Gedanken über die „Sicherheit der Sicherheit“ machen. Kopfzerbrechen wird hier vor allem die Forderung nach dem „neuesten Stand der Technik“ bereiten. Das Gebot ist absicht- lich unbestimmt, denn es soll hersteller- und technologieneutral sein. Die Beweislast liegt aber bei den Unternehmen. Risikofaktor lässt sich senken Kameras können Schlupflöcher bieten Vor diesem Hintergrund werden Investitionen in den Schutz der Video- überwachung unumgänglich sein. Zumindest das Problem der Videoauf- zeichnungen von Personen, die keine Einwilligung gegeben haben, lässt sich aber technologisch entschärfen: Durch Maskierung und Verpixelung lassen sich sensible Bereiche sowie Personen und Nummernschilder von vornherein unkenntlich machen, Aufzeichnungen sind dann also nicht mehr personenbezogen. Der Haken: Die Verpixelung muss immer voll- ständig sein, auch wenn Personen oder Fahrzeug kurz stehen bleiben oder sich die Beleuchtungssituation ändert, was viele Algorithmen nicht leisten können. Bei der Auswahl einer Verpixelungstechnologie müssen Unternehmen daher sehr sorgfältig vorgehen. Einen Anhaltspunkt liefern Zertifizierungen wie das European Privacy Seal (www.european-privacy- seal.eu), das die Kompatibilität mit europäischen Datenschutzrichtlinien bestätigt. Durch die erwähnten Maßnahmen wird ein hohes Sicherheitsniveau er- zielt, aber es bleibt das Problem der IP-basierten Kameras. Gelingt es An- greifern, eine Kamera von außen zu übernehmen, können sie sich sodann lateral durch das Netzwerk vorarbeiten. Bei der Geräteauswahl ist daher darauf zu achten, dass nicht benötigte Dienste/Ports (z.B. Telnet, SNMPv1/ v2) deaktiviert werden können, um eine geringe Angriffsfläche zu bieten. Verbindungen vom Gerät nach außen sind nur in Ausnahmefällen akzep- tabel. Weitere wichtige Punkte sind die gesicherte Aktualisierung durch den Hersteller sowie unter Umständen ein physischer Schutz gegen ma- nuelle Resets am Gerät. n Bilder: ©Warchi/iStockphoto via Getty Images | ©Genetec

NEWS | PRODUKTE HÖHERE SICHERHEIT DURCH SASE UND PASSWORTLOSE LÖSUNGEN Remote Work hat die Komplexität der Verwaltung von Netzwerken und Sicherheitslösungen deutlich erhöht. Nun vereinfacht Cisco die Nutzung aller wichtigen SASE-Komponenten über ein einziges Angebot, das sich künftig in einen Abonnement-Service umwandeln lässt. Es umfasst Netz- werk, Fernzugriff, Cloud-Sicherheit, Zero-Trust-Netzwerkzugang und Beobachtbarkeit. Dies ermöglicht in Zukunft einen nahtlosen, sicheren Zugriff auf jede Anwendung über jedes Netzwerk oder jede Cloud – und das unabhängig davon, wo die Nutzer arbeiten. Folgende neue SASE-Ele- mente sind nun nutzbar: Data Loss Prevention: Mit Cisco Umbrella Data Loss Prevention (DLP) erkennen und blockieren Unternehmen sensible Daten, bevor sie un- autorisiert versendet werden. Remote-Browser-Isolierung: Diese Cisco Umbrella-Funktion schützt Endgeräte und Netzwerke vor browserbasierten Bedrohungen. Cloud-Malware-Erkennung: Cisco Umbrella findet und entfernt Mal- ware aus cloudbasierten Dateispeichern. So sind Cloud-Anwendungen unabhängig vom Endgerät sicher. Erweiterung von Cisco SD-WAN Cloud Onramp: Die neue Version SD- WAN 17.5 powered by Viptela lässt sich neben AWS und Azure nun auch für Google Cloud und Megaport nutzen. Auch Meraki MX erweitert die SD-WAN-Konnektivität von Zweigstellen auf Public Clouds wie AWS, Azure und Alibaba Cloud. Neue SD-WAN- und Cloud-Security-Integration: Meraki MX integriert nun auch Cisco Umbrella. Dies beschleunigt die Einführung verteilter cloudnativer Sicherheitslösungen. Weiterhin können sich AnwenderInnen zukünftig mit Cisco Duo ohne Passwort über Sicherheitsschlüssel oder Plattformbiometrie sicher bei Cloud-Anwendungen anmelden und die verbesserte SecureX-Plattform reduziert die Zeit zur Erkennung und Behebung von Bedrohungen. n Auf der Cisco Live hat das Unternehmen zahlreiche Neuerungen im Bereich IT-Security vorgesellt. (Quelle: Cisco) 10 IT-SICHERHEIT_2/2021 „SECURITY AS A SERVICE” FÜR DEN SICHEREN GEBÄUDEBETRIEB Siemens Smart Infrastructure erweitert sein Angebot aus Dienstleistun- gen, Assets und Services für Sicherheits-Anforderungen im Gebäude- betrieb. Das Sicherheits-Komplettpaket „Security as a Service” (SecaaS) umfasst die Bereiche Gefahrenleitsysteme, Zutrittskontrolle, Einbruch- meldeanlagen und Videoüberwachungssysteme als individuell buch- baren Service. Das Angebot richtet sich an Gebäudebesitzer, -betreiber sowie sicherheitsverantwortliche Entscheider. Mit SecaaS stellt Siemens die benötigte Funktionalität der Anlage sowie die Nutzung der aktuellen Systeme, technischen Möglichkeiten und digitaler Services zur Verfügung. Das System und alle Funktionalitäten werden über den gesamten Lebenszyklus hinweg den Anforderungen entsprechend gewartet und aktualisiert. Für die Nutzung der Funktiona- litäten des Sicherheitssystems fällt eine monatliche Rate an. Investi- tionskosten für den Kauf der Anlage entfallen. Das installierte System bleibt vollständig Eigentum von Siemens. Damit entstehen dem Kunden keine Investitionskosten (CAPEX), sondern lediglich laufende Betriebs- kosten (OPEX), die er gegebenenfalls transparent auf seine Mieter um- legen kann. Instandhaltungskosten im Störfall sind im Leistungspaket enthalten. Anlagenerweiterungen können jederzeit flexibel berücksich- tigt werden. Das Angebot steht als On-Premises-Variante sowie zeitnah als Hosted-Variante und als Cloud-Service zur Verfügung. n Siemens bietet einen umfassenden Sicherheitsdienst für Gebäude als Kom- plettservice an. (Foto: Siemens) PSEUDONYMISIERUNG IN MICROSOFT 365 Was vielen nicht bewusst ist: Schon das Einloggen bei Diensten, de- ren Standort in den USA ist, kann zu einem Datenabfluss führen und dementsprechend juristische Konsequenzen mit sich bringen. Mit dem neuen Pseudonymisierungsmodul ermöglicht Rohde & Schwarz Cyber- security Nutzern von Microsoft 365, bei gleichzeitiger Einhaltung aller bereits vorhandenen Workflows, pseudonymisiert und datenschutz- konform zu arbeiten. Dafür werden die echten Nutzerdaten mithilfe der Pseudonymisierung komplett von Microsofts Azure Active Directory und damit von Microsoft Teams entkoppelt. Die Pseudonymisierung ersetzt Identifikationsmerkmale wie etwa Namen durch Pseudonyme. Dadurch wird die eindeutige Feststellung der Identität einer Person verhindert und R&S Trusted Gate übermittelt keine für den Cloud-Be-

treiber verarbeitbaren personenbezogenen Daten. Im lokalen Active Directory sind jedoch weiter die realen Nutzer mit ihren IDs und jewei- ligen Rollen nutzbar und werden nur pseudonymisiert an die Cloud- Systeme übertragen. Die Pseudonymisierung läuft für den Nutzer transparent ab, und bestehende Workflows bleiben mit den Identitä- ten im Klartext erhalten. Mit einer Pseudonymisierung können global agierende Unternehmen abseits des Privacy Shields mit weltweiten Datenschutzregelungen konform gehen. R&S Trusted Gate lässt sich nahtlos in Storage-Systeme gängiger Public Clouds, wie Microsoft Azure, Google, AWS, und Collaboration-Tools, wie Microsoft 365 und SharePoint, einbinden. Für Unternehmen und Behörden wird damit datenschutzkonformes, kollaboratives Arbeiten trotz des Schrems- II-Urteils möglich. n Mit dem neuen Pseudonymisie- rungsmodul ermöglicht Rohde & Schwarz Cybersecurity Nutzern von Microsoft 365, pseudonymi- siert und datenschutzkonform zu arbeiten. (Quelle: Rohde & Schwarz Cybersecurity) EFFIZIENTE MANAGED SECURITY SERVICES Auf Basis der jüngsten Erweiterungen seiner Cloud-Plattform eröffnet der IT-Security-Spezialist WatchGuard Technologies ganz neue Möglichkeiten zur Bereitstellung fortschrittlicher Sicherheitstechnologien. Insbesondere Managed Security Service Providern (MSSP) spielen der erweiterte Funkti- onsumfang und der hohe Bedienkomfort der überarbeiteten WatchGuard Cloud in die Karten. Einrichtung, Bereitstellung und Verwaltung aller Netz- werksicherheitsdienste sowie Funktionen rund um Advanced Threat De- tection und Multi-Faktor-Authentifizierung (MFA) sind ab sofort über eine zentrale Oberfläche möglich. In Verbindung mit der ebenfalls optimierten Kundenverwaltung qualifiziert sich die WatchGuard Cloud damit als Platt- form für MSSP, die Wert auf effiziente Prozesse legen. Die neue WatchGuard Cloud stellt MSSP in der aktuellen Version Sicher- heitsdienste, eine angepasste Verwaltungsoberfläche und ein erweiter- tes Executive-Reporting zur Verfügung. Enthalten sind unter anderem die neueste Version von ThreatSync sowie umfassende Management- möglichkeiten im Hinblick auf Firebox-Policies sowie Authentifizierungs- richtlinien. Das soll den einfachen Aufbau von Zero-Trust-Konzepten unterstützen. Mit der WatchGuard Cloud können MSSP auf Knopfdruck Policy-Vorlagen erstellen und diese für eine Vielzahl von Anwendern aus- rollen. Firebox-Konfigurationen und AuthPoint MFA-Implementierungen lassen sich in einer einzigen Ansicht verwalten. Die wichtigsten Neuerun- gen der WatchGuard Cloud Plattform: Erweiterte Managementmöglichkeiten für Netzwerk-Policies Risikobasierte MFA zur einfachen Etablierung von Zero-Trust-Konzepten Integrierte End-to-End-Bedrohungsanalyse PRODUKTE | NEWS CLOUD NATIVE APPLICATION PROTECTION PLATFORM McAfee gab die globale Verfügbarkeit der McAfee MVISION Cloud Native Application Protection Platform (CNAPP), eine neue Sicherheitslösung für den Schutz cloudnativer Anwendungen, bekannt. MVISION CNAPP liefert durchgängigen Datenschutz, Bedrohungsprävention, Governance sowie Compliance über den gesamten cloudnativen Application Development Lifecycle für Container und OS-basierte Workloads hinweg. MVISION CNAPP führt Anwendungs- und Datenkontext zusammen, um Cloud Security Posture Management (CSPM) für Public Cloud-Infrastrukturen sowie Cloud Workload Protection (CWP) zu konvergieren und so für den Schutz von Anwendungen zu sorgen, die über virtuelle Maschinen, Computer-Instanzen und Container verteilt sind. MVISION CNAPP bietet fünf Schlüsselfunktionen: 1. Deep Discovery: MVISION CNAPP ermöglicht eine reibungslose, tiefgrei- fende Erkennung aller Workloads, Daten sowie Infrastrukturen und pri- orisiert Sicherheitsrisiken auf Basis von Fehlkonfigurationen, Software- Schwachstellen als auch sensiblen Daten. 2. Shift Left: MVISION CNAPP schützt vor Konfigurationsänderungen und bietet automatische Bewertungen über virtuelle Maschinen, Container und Entwickler-Pipelines hinweg. 3. Workload Protection: MVISION CNAPP enthält einen neuen Light- weight-Agenten zur Unterstützung ephemerer Workloads. 4. In-Tenant Data Loss Prevention (DLP) Scanning: MVISION CNAPP ermöglicht das lokale Scannen von Daten, sodass Unternehmen diese nicht außerhalb ihres Tenants verschieben müssen. 5. MITRE ATT&CK-Framework for Cloud: MVISION CNAPP unterstützt das Security Operations Center (SOC) durch die Zuordnung von cloudnativen Bedrohungen im Rahmen des „MITRE ATT&CK Framework for Cloud“. McAfee MVISION CNAPP bietet fünf Schlüsselfunktionen. (Quelle: McAfee) MASSGESCHNEIDERTE CYBERSICHER- HEIT MIT MANAGED DETECTION AND RESPONSE Kaspersky Managed Detection and Response (MDR) ist ab sofort offizi- ell nicht nur für Großunternehmen, sondern auch für mittelständische Firmen mit unterschiedlichem Reifegrad und Bedarf an IT-Sicherheit ver- fügbar. Eine Auswahl an Frameworks kombiniert hierbei unterschiedliche Sets von Sicherheitslösungen und Services, um umfassenden Schutz vor allen Arten von Bedrohungen zu bieten. So erhalten Unternehmen jeder Größe einen maßgeschneiderten, umfassenden Schutz gegen Cyber- angriffe, während er IT-Sicherheitsteams dabei hilft, Ressourcen für die Analyse, Untersuchung und Reaktion auf Bedrohungen einzusparen. n IT-SICHERHEIT_2/2021 11

NEWS | PRODUKTE VEREINIGTE FILE-UNTERSTÜTZUNG UND RANSOMWARE-SCHUTZ IN FLASH- BLADE UND FLASHARRAY Pure Storage hat Erweiterungen seines Unified-Storage-Portfolios be- kannt gegeben. Die Updates der zentralen Purity-Software für FlashBlade und FlashArray beschleunigen Windows-Anwendungen und bieten Ransomware-Schutz für Datei-, Block- und native cloudbasierte Anwen- dungen. Mit der dritten Generation der All-QLC-Plattform FlashArray//C machen die jüngsten Updates Hybridspeicher für Abteilungs- und Rechen- zentrums-Workloads überflüssig. Die wichtigsten Erweiterungen sind: FlashBlade kommt jetzt mit nativer SMB-Unterstützung. Das neue Cross-Protocol-File-Security-Design von FlashBlade ermög- licht die Interoperabilität der Zugriffskontrolle zwischen SMB- und NFS- Benutzern bei gleichzeitiger Beibehaltung der Access Control Lists für beide, zusätzlich zur Einhaltung von staatlichen Sicherheitsauflagen. Die Scale-up-Architektur von FlashArray sorgt für ein ausgewogenes Verhältnis von Leistung und Kapazität und bietet operative Dateidiens- te für VDI, Dateiserver-Konsolidierung, User-Home-Directorys und Dateifreigabe. FlashBlade und FlashArray werden nun beide durch SafeMode- Snapshots gestärkt und bieten ein komplettes Portfolio an Schutz- Tools, um sicherzustellen, dass Daten immer sicher und in Sekunden- schnelle wiederherstellbar sind. FERNZUGRIFF MIT HARDWARE- VERSCHLÜSSELUNG ECOS Technology baut die SECURE-BOOT-STICK-Produktfamilie weiter aus. Mit dem neuen ECOS SECURE BOOT STICK [HE] ist ab sofort eine Variante mit Hardware-Verschlüsselung verfügbar. Die Verschlüsselung aller sicherheitsrelevanten Partitionen soll trotz kleinem Formfaktor des Sticks für ein besonders hohes Schutzniveau sorgen. Dies ermöglicht einen Einsatz der Remote-Access-Lösung auch in Bereichen mit strikten Sicherheitsanforderungen. Durch einen in die Hardware eingebundenen kryptografischen Schlüssel wird gleichzeitig eine starke Zwei-Faktor- Authentisierung realisiert. Der ECOS SECURE BOOT STICK [HE] kann an beliebigen PCs genutzt werden. Mit angestecktem Stick wird das speziell gehärtete ECOS Betriebssystem auf gehärteter Linux-Basis gestartet. Darüber wird ein hochsicherer Fernzugang zur gewünschten Terminalserver- oder Virtual-Desktop-Infrastruktur beziehungsweise Webanwendungen aufgebaut. Dies erlaubt beispielsweise die schnelle, einfache und kos- tengünstige Einrichtung von Homeoffice-Arbeitsplätzen. Da auf dem genutzten PC oder Notebook weder Daten gespeichert werden noch ein Zugriff auf installierte Betriebssysteme oder sonstige Software erfolgt, ist eine vollständige Trennung zwischen der geschäftlichen und der privaten Nutzung des jeweiligen Rechners gewährleistet. n Als Unified Fast File and Object (UFFO)-Plattform bietet FlashBlade erweiterte Objektsicherheit mit einfachen S3-Benutzerrichtlinien, die eine Zugriffskontrolle auf Benutzerebene ermöglichen. n Der neue ECOS SECURE BOOT STICK [HE] bietet Hardware- Verschlüsselung. (Foto: ECOS) NEUE FIREWALL UND ZENTRALE SERVICES FÜR BEHÖRDEN UND UNTERNEHMEN SonicWall kündigt die Erweiterung seines Angebots zum Schutz vor Bedrohungen mit der Firewall NSa 3700 an. Die Multi-Gigabit-Sicher- heits-Appliance soll Angriffe auf Regierungsbehörden, den Einzelhandel, das Bildungs- und Hochschulwesen sowie Unternehmen verhindern. Darüber hinaus stellte das Unternehmen mehrere Produkt-Updates vor, darunter erweiterten Schutz vor Bedrohungen in geschlossenen Netz- werken, Bedrohungs-Analysen der nächsten Generation, verbessertes cloudnatives Sicherheitsmanagement und einen überarbeiteten Wireless Network Manager. Die neue SonicWall NSa 3700 Firewall basiert auf SonicOS 7.0 und bie- tet eine moderne UX/UI, fortschrittliche Sicherheitskontrollen sowie wichtige Netzwerk- und Verwaltungsfunktionen, um die Transpa- renz zu erhöhen und die zunehmend gezielten Angriffe abzuwehren. Mit 22.500 Verbindungen pro Sekunde, der Unterstützung von bis zu 750.000 gleichzeitigen DPI-Verbindungen und bis zu 3.000 Site-to-Site- VPN-Tunneln bringt die NSa 3700 auch in den größten Umgebungen skalierbare Sicherheit. 12 IT-SICHERHEIT_2/2021 Mit der neuen Version CSa 1.2 kann die SonicWall Capture Security Ap- pliance (CSa) 1000 nun auch ohne Verbindung zu externen Ressour- cen eingesetzt werden, was für Unternehmen, die Air-Gap-Netzwerke betreiben, wichtig ist. Analytics 3.0 ermöglicht es Organisationen, ver- dächtiges Verhalten nach der Entdeckung zu entschärfen und Bedro- hungen mit einer 25 Prozent schnelleren Reaktionszeit zu finden. Mit dem aktualisierten SonicWall Network Security Manager (NSM) 2.2 verfügen Administratoren über eine zentrale Stelle für die Konfiguration von Richtlinien auf Geräte- oder Vorlagenebene, wodurch die Bereitstel- lung von Layer 3-7-Kontrollen über eine einzige Regel für alle Firewalls erleichtert wird. n Die Multi-Gigabit-Sicherheits-Appliance SonicWall NSa 3700 soll Angriffe auf Regierungsbehörden, den Einzelhandel, das Bildungs- und Hochschulwesen sowie Unternehmen verhindern. (Foto: SonicWall)

– ADVERTORIAL – SASE BRINGT NETZWERK- UND SECURITY-TEAMS (WIEDER) ZUSAMMEN Die Aufgaben der Netzwerkarchitekten haben sich in der Folge gewandelt: Jetzt kümmern sie sich in erster Linie um wichtige, in der Cloud gehostete Geschäftsanwendungen mit der zusätzlichen Herausforderung, dass der Zugriff auf Anwendun- gen über Pfade erfolgt, die meist außerhalb der Grenzen ihres Netzwerks liegen. Die IT-Sicherheit hat sich jedoch nur unzureichend an die neuen Gegebenheiten angepasst. Bei den meisten Unternehmen verlangen die Sicherheitsrichtlinien immer noch, dass der Cloud-Verkehr durch Applian- ces in den eigenen Rechenzentren geleitet wird. Die Folge diese Routings sind Kompromisse zwischen Sicherheit und Leistung. Glücklicherweise findet hier jedoch zunehmend ein Umdenken statt: Der 2019 von Gartner eingeführte Secure Access Service Edge (SASE) erweist sich als wichtiges konzeptionelles Modell, um zu beschreiben, wie Be- nutzer und Anwendungen geschützt werden können, die jenseits des tra- ditionellen Netzwerkperimeters arbeiten. Dem Ansatz zugrunde liegt die Erkenntnis, dass sowohl Anwender als auch Anwendungen nicht mehr an feste Standorte gebunden sind. SASE bringt damit die Sicherheitsarchitek- turen mit der Welt, die Netzwerkteams seit einigen Jahren aufbauen und verwalten, auf einen Nenner und zeichnet sich durch vier Punkte aus: Verteilt: Die Sicherheit wird über die Grenzen des traditionellen Re- chenzentrums hinaus erweitert und ermöglicht es Unternehmen, Si- cherheitsfunktionen in die Cloud zu verlagern. Cloud-nativ: Die Workflows in der Cloud sind anders als beim klas- sischen Datacenter-zentrierten Ansatz, entsprechend unterscheiden sich auch die Datensicherheit und die Bedrohungen. SASE-Lösungen basieren auf der Konvergenz von Sicherheitsfunktionen und vereinen die Funktionalität etwa von CASB, NG-SWG, SD-WAN und DLP in einer cloud-nativen Lösung. API-basiert: APIs ermöglichen es verschiedenen Lösungen und An- wendungen, auf Code-Ebene zu kommunizieren. Dies liefert den für effektive Sicherheitsrichtlinien nötigen Kontext, der nicht durch eine einfache Interpretation von HTTP/S-Protokollen und das Betrachten von URLs generiert werden kann. Ohne diesen Kontext können Unter- nehmen nur sehen, wer mit wem spricht, aber nicht, worüber sie sprechen oder was sie tun. API-Transparenz ist somit entscheidend für SASE-Lösungen. Offen und verständlich: In einer offenen und vernetzten Welt sind Interoperabilität, offene Schnittstellen und „Erklärbarkeit“ von zentraler Bedeutung. Nur wird sichergestellt, dass die verschiedenen Elemente entsprechend interagieren und die Sicherheit der Daten und die Einhal- tung der Compliance gewährleistet werden. Es ist an der Zeit, dass Netzwerk- und Sicherheitsteams zusammenarbeiten, um die alten Wege, auf denen sie Unternehmensdaten routen und schützen, zu über- denken. SASE entlastet die Netzwerk-Performance und ermöglicht gleichzeitig eine verbesserte Transparenz, Sicherheit und Compliance – ein Gewinn für alle. n Netskope bietet ein kostenloses SASE-Assessment an, das in nur 5 Minuten abgeschlossen ist – erfahren Sie mehr unter www.netskope.com/sase-assessment/ Vor nicht allzu langer Zeit gab es noch eine klare Grenze zwischen Unter-nehmensnetzwerken und dem Internet: Netzwerkarchitekten bauten ihre eigenen privaten Netzwerke auf und verbanden diese mit dem Internet an bestimmten, klar definierten Gateways oder Ports. Innerhalb dieses Perimeters sorgten die Security-Teams für Sicherheit und bewachten diese „Tore“, damit nichts Unerwünschtes nach außen (wie etwa ver-trauliche Daten) oder innen (zum Beispiel Malware) gelangte. Mit dem Auf kommen von SaaS, IaaS und der Cloud verschwamm diese klare Linie jedoch immer mehr und der Perimeter löste sich praktisch auf. Bilder: ©Yingyaipumi | ©jamesteohart - stock.adobe.com

KASTEL: Zehn Jahre im Dienst der Cybersicherheit KIT STÄRKT IT-SICHERHEITS- FORSCHUNG Am 28. Februar 2011 auf Initiative des Bundesministeriums für Bildung und Forschung als eines von drei nationalen Kompetenzzentren für Cybersicherheit am Karlsruher Institut für Technologie (KIT) gegründet, hat das Kompetenzzentrum für Angewandte Sicherheitstech- nologie, kurz KASTEL, die IT-Sicherheitsforschung erfolgreich vorangetrieben. Nach einem Jahrzehnt wird diese Arbeit nun – weiter unter dem Namen KASTEL – im eigens gegründe- ten Institut für Informationssicherheit und Verlässlichkeit des KIT unbefristet fortgesetzt. KASTEL wird sich zudem in die Programmforschung der Helmholtz-Gemeinschaft einbrin- gen und die bestehenden Kooperationen fortsetzen. Zu den zentralen Themen der nächs- ten Jahre zählt die IT-Sicherheit mit Blick auf Industrie 4.0 und 5G-Netzausbau. Ziel von KASTEL ist es, durch den breiten interdisziplinären Ansatz, der auch juristische und sozialwis- senschaftliche Fragestellungen einschließt und am KIT alle Kompetenzen zum Thema IT-Sicher- heit bündelt, Wirtschaft und Gesellschaft besser vor der zunehmenden Zahl von Cyberattacken zu schützen. „Ansteigende Komplexität, zunehmende Vernet- zung und die Beschleunigung in den IT-Systemen stellen wachsende Herausforderungen für die Sicherheit dar“, beschreibt Professor Jörn Müller- Quade, einer der Initiatoren von KASTEL, die Ent- wicklung des vergangenen Jahrzehnts. Staatliche, 14 IT-SICHERHEIT_2/2021 halbstaatliche und unternehmerische Angreifer verfügten inzwischen über enormes Know-how und nahezu unbegrenzte Ressourcen. Gleichzei- tig sorge die rasant fortschreitende Digitalisie- rung immer neuer Lebens- und Arbeitsbereiche für eine Zunahme der Risiken im Cyberspace. Mit Industrie 4.0 und dem 5G-Ausbau des mo- bilen Datennetzes kämen weitere Herausforde- rungen auf das neu gegründete Institut zu, so Müller-Quade. Er sieht die Beweisbarkeit von Sicherheit als eine der zentralen Aufgabe der Zu- kunft: „Wie gehen wir damit um, dass wir keine digitale Souveränität mehr über unsere Geräte haben? Man muss Soft- und Hardware künftig so entwerfen, dass es einen wie auch immer ge- arteten Beweis gibt, dass die Nutzung sicher ist, ohne Schwachstellen und Hintertürchen.“ BEWUSSTSEIN FÜR DIE GEFAHREN DER DIGITA- LEN ÜBERWACHUNG „Im neuen Institut können wir uns jetzt systema- tisch mit dem Schutz der Privatsphäre beschäf- tigen. Wir müssen die Mechanismen identifi- zieren, die das Datensammeln ermöglichen. Und dann die Frage stellen, wo und wie sie die Gesellschaft schädigen“, erläutert Thorsten Stru- fe, Professor für Praktische IT-Sicherheit am KIT AUS DER SZENE

◀ Das in KASTEL entwickelte Blurry-Box-Verfahren zur Abwehr von Industriespionage erhielt 2014 den Deutschen IT-Sicherheitspreis. (Foto: Patrick Langer, KIT) AUS DER SZENE SICHERHEIT: WLAN-ROUTER SOLL DAS WACHPERSONAL ERSETZEN Einbrüche in Wohnungen und Gebäu- de sind ein Problem – und sie führen neben dem materiellen Schaden für die Betroffenen auch zu einem abnehmen- den Sicherheitsgefühl in der Bevölke- rung. Beim Forschungsprojekt WACH- MANN (WLAN-basierte Aufzeichnung von CHarakteristiken tatortnaher Mo- biler Endgeräte zur Alarmierung und Nachverfolgung von Eigentumskrimi- Nalität) arbeiten Wissenschaftlerinnen und Wissenschaftler des Karlsruher Instituts für Technologie (KIT) gemein- sam mit Partnern daran, technische Möglichkeiten für den Einbruchschutz zu verbessern. Vorsicht Einbruch: Im Forschungsprojekt WACHMANN entwickeln Wissenschaftlerinnen und Wissenschaftler mit Beteiligung des KIT ein WLAN-basiertes System, das vor Eindringlingen warnt. Foto: Christian Doll Die Forschenden wollen mit einem gängigen WLAN der Einbruchskrimi- nalität einen Riegel vorschieben: Router könnten dazu dienen, Eindringlinge zu erkennen und eine Alarmierung auszu- lösen, denn eingeschaltete mobile End- geräte, wie Handys und Smartphones, senden permanent Position und Iden- tität. Dieses Prinzip macht sich WACH- MANN zunutze. Das System erkennt, ob der Wohnungsbesitzer abwesend ist, indem es prüft, ob sich sein mobiles Endgerät in Reichweite beﬁndet. Sobald dann ein unbekanntes Smart- phone oder Endgerät in den deﬁnier- ten Überwachungsbereich „eindringt“, kann eine Warnung auf das Smart- phone oder an die Polizei erfolgen. „Am KIT kümmern wir uns um die rechtskonforme Umsetzung des Vorha- bens, vor allem im Bereich des Daten- schutzes“, sagt Franziska Boehm vom Zentrum für Angewandte Rechtswis- senschaften (ZAR) am KIT. Wichtig ist nämlich auch, dass das System Han- dys bekannter Personen, etwa aus der Nachbarschaft oder dem Freundes- kreis, erkennt, die zum Beispiel im Ur- laub die Blumen gießen. Auch zufälli- ge Passantinnen und Passanten sollen nicht erfasst werden. Das Forschungsprojekt, an dem die Universität Bonn, die Polizei Osnabrück und das KIT beteiligt sind, wird vom Bundesministerium für Bildung und Forschung über zwei Jahre mit rund 560.000 Euro gefördert. e

Das IT-Sicherheitsgesetz 2.0 regelt unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), von Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz. Das Gesetz enthält konkret unter anderem folgende Regelungen: Stärkung des BSI: Das BSI wird befugt, Kontroll- und Prüfbefugnis- se gegenüber der Bundesverwaltung auszu- üben. Bei wesentlichen Digitalisierungsvorha- ben des Bundes soll das BSI frühzeitig beteiligt werden. Zudem wird die Dauer zur Speicherung von Protokolldaten zum Zweck der Abwehr von Gefahren für die Kommunikationstechnik des Bundes auf 12 Monate verlängert. Proto- kollierungsdaten werden neu in das BSI-Gesetz aufgenommen, und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommu- nikationstechnik des Bundes zu verarbeiten. Das BSI wird befugt, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren (Port-Scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunterneh- Als KRITIS-Unternehmen gelten Organisationen oder Einrichtungen mit entscheidender Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere wesentliche Folgen für das Gemeinwohl eintreten würden. men bei bestimmten Gefahren für die Informati- onssicherheit anordnen. Stärkung des Verbraucherschutzes: Der Verbraucherschutz wird in den Aufgabenka- talog des BSI aufgenommen. Die Grundlage für ein einheitliches IT-Sicherheitskennzeichen wird eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbraucher- segment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Zum Schutz von Betroffenen und zum Zweck ihrer Benach- richtigung wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsda- tenauskünfte zu verlangen. Die Befugnis des BSI zur Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur Auskunft über ihre Produkte verpflichtet. Stärkung der unternehmerischen Vorsorgepflichten Betreiber kritischer Infrastrukturen werden ver- pflichtet, Systeme zur Angriffserkennung einzu- 16 IT-SICHERHEIT_2/2021 Die Bundesregierung hat am 16. Dezember des letzten Jahres den von Bundesinnen-minister Horst Seehofer vorgelegten Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) beschlossen. Damit unterstreicht sie die hohe Bedeutung der Informations- und Cybersicherheit in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht als direkt betroffene und deutlich gestärkte Behörde in dem Gesetz einen „Meilenstein auf dem Weg zu einer sicheren Digitalisierung in Deutschland“. In der Wirtschaft findet der Entwurf allerdings nicht nur Zustimmung.Neue Stufe der Cyberabwehr für KRITIS IT-SICHERHEITSGESETZ 2.0AUS DER SZENE

setzen. Durch eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung gilt die- se Pflicht auch für Betreiber von Energiever- sorgungsnetzen und Energieanlagen. Die bereits für Betreiber kritischer Infra- strukturen geltenden Meldepflichten gelten künftig auch für Unternehmen, die von be- sonderem öffentlichen Interesse sind, wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die we- gen ihrer hohen Wertschöpfung eine beson- dere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen. Stärkung der staatlichen Schutzfunktion Das Gesetz enthält eine Regelung zur Un- tersagung des Einsatzes kritischer Kompo- nenten, für die eine Zertifizierungspflicht besteht. Zudem werden die Bußgeldvor- schriften neu gefasst. Im Telekommunika- tionsgesetz wird erstmals eine Zertifizie- rungspflicht für kritische Komponenten in Telekommunikationsnetzen eingefügt. Die Änderung der Außenwirtschaftsverord- nung trägt der Einführung der kritischen Komponenten im BSI-Gesetz Rechnung. Letzte Änderungen am Gesetzentwurf wur- den nach der Länder- und Verbändeanhörung vorgenommen, so etwa bei den Regelungen zur Detektion von Sicherheitslücken. Außer- dem wurden die ursprünglich vorgesehenen Speicherpflichten für Systeme zur Angriffs- erkennung gestrichen. KRITISCHE STIMMEN AUS DER WIRTSCHAFT Arne Schönbohm, Präsident des Bundes- amts für Sicherheit in der Informationstech- nik (BSI), hat sich nach Bekanntgabe des Bundeskabinett-Beschlusses direkt sehr begeistert geäußert (siehe Kasten). Aus der Wirtschaft kommen indes vermehrt kritische Simmen zum Gesetzentwurf. Ulrich Heun, Geschäftsführer der CARMAO beispielsweise sagt: „Experten sehen in den neuen umfang- reichen Dokumentations- und Berichtspflich- ten keinen wesentlichen Sicherheitsgewinn – im Gegenteil: Die zusätzlichen Pflichten halten Unternehmen von ihrem Kerngeschäft ab. Betroffene Unternehmen sollten daher über ein Informationssicherheits-Manage- ARNE SCHÖNBOHM, PRÄSIDENT DES BSI ZUM BESCHLUSS DES ENTWURFS „IT-SICHER- HEITSGESETZ 2.0“ (AUSZUG): Mit dem Kabinettsbeschluss zum Ent- wurf des IT-Sicherheitsgesetzes 2.0 wur- de heute ein Meilenstein auf dem Weg zu einer sicheren Digitalisierung in Deutsch- land erreicht. Dieser Gesetzentwurf ist für das Bundesamt für Sicherheit in der Informationstechnik von außerordentli- cher Bedeutung und ein starker Beweis für das Vertrauen in das BSI. Mit dem IT-SiG 2.0 wird der digitale Ver- braucherschutz im BSI verankert. Vo- rausgesetzt, dass der Deutsche Bundes- tag das Gesetz beschließt, können wir den digitalen Verbraucherschutz am neuen BSI-Standort Freital ausbauen, die Marktbeobachtung für IT-Produkte eta blieren, unser Service-Center-Angebot für die Bürgeranfragen erweitern und das IT-Sicherheitskennzeichen auf den Markt bringen. Das IT-Sicherheitskennzeichen soll es Verbraucherinnen und Verbrauchern ermöglichen, schnell und auf einen Blick alle wichtigen Informationen über die IT-Sicherheitseigenschaften von Produk- ten, wie Routern oder IoT-Devices, zu erhalten. Wir wollen den Bürgerinnen und Bürgern hier so praxisorientiert und hilfreich wie möglich zur Seite zu stehen. Dabei bauen wir auf unsere bereits eta- blierten Produkte, wie etwa die Webseite www.bsi-fuer-buerger.de sowie unse- re zahlreichen Erklärformate, die in den sozialen Medien auf YouTube, Facebook, Twitter und Podcast-Streaming-Diens- ten zu ﬁnden sind. Weitere Befugnisse ergeben sich durch den Entwurf des IT-SiG 2.0 zudem ge- genüber dem Bereich der Bundesver- waltung. Hier werden die Kontroll- und Prüfbefugnisse zum Schutz der Regie- rungsnetze ausgebaut. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI frühzeitig beteiligt werden. AUS DER SZENE mentsystem (ISMS) nachdenken oder sich an IT-Sicherheitsspezialisten wenden, um die verschärften Anforderungen erfüllen zu können.“ Patrycja Schrenk, Geschäftsführerin der PSW GROUP anerkennt zwar die Erkenntnis der Bundesregierung, dass KRITIS-Betreiber Nachholbedarf haben und in der Folge das IT- Sicherheitsgesetz angepasst werden muss: „In der KRITIS fehlt es derzeit am Wesent- lichen: Betreiber setzen auf alte Geräte, die zum Teil keine Updates mehr erhalten, eine fehlende Routine macht insbesondere mul- tiple Angriffe erfolgreicher, und Mitarbeiter werden nicht oder unzureichend geschult.“ Einige Dinge erregen jedoch ihren Unmut: „Zum einen ignoriert das für das Gesetz zu- ständige Bundesministerium des Inneren offenbar Vorschläge von UP KRITIS, einer extra ins Leben gerufenen öffentlich-priva- ten Kooperation zwischen verschiedenen KRITIS-Betreibern, Verbänden und staatli- chen Stellen, zur Neuauflage des IT-Sicher- heitsgesetzes. Das ist ärgerlich und wenig zielführend. Vor allem aber sehe ich einige neue Sonderrechte des BSI als strittig, und es fehlt mir insgesamt an Transparenz und Nachvollziehbarkeit von Bestimmungen“, kritisiert Schrenk. Patrycja Schrenk, Geschäftsführerin der PSW GROUP (Foto: PSW GROUP) Als sehr problematisch sieht Schrenk die Befugnisse des BSI, hacken zu dürfen, ohne erkannte Sicherheitslücken veröffentli- chen zu müssen: „So können Geheimdiens- te und die Polizei Zero-Day-Exploits weiter für eigene Zwecke nutzen“, so ihre Kritik. Das IT-Sicherheitsgesetz 2.0 ermächtigt das BSI, freiwillige IT-Sicherheitskennzei- chen einzuführen. „Ein solches freiwilliges IT-Sicherheitskennzeichen klingt zunächst nicht schlecht. Es ist aber ein nationaler Al- leingang, der die Wirksamkeit europäischer Bestimmungen beschädigen könnte. Neben einem erhöhten Aufwand für Unternehmen ist auch Verbrauchern nur bedingt geholfen, wenn eine immer größer werdende Zahl an Gütesiegeln eher Verwirrung stiftet“, meint Patrycja Schrenk. n S.M. IT-SICHERHEIT_2/2021 17 Bild: ©hkama - stock.adobe.com

BMI und BSI starten Informations- und Sensibilisierungskampagne zur IT-Sicherheit KAMPAGNE SOLL VERBRAUCHE- RINNEN UND VERBRAUCHER DIREKT ANSPRECHEN Das Bundesministerium des Innern, für Bau und Heimat (BMI) und das Bundes amt für Sicherheit in der Informationstechnik (BSI) haben ihre auf zwei Jahre angelegte Informations- und Sensibilisierungskampagne zur IT-Sicherheit für Verbraucherinnen und Verbraucher gestartet. Ziel der mehrstufigen Kampagne ist es, das Bewusstsein für die Gefahren im Netz zu erhöhen und zugleich Wege aufzuzeigen, wie sich jeder Einzelne effektiv schützen kann. Dr. Markus Richter, Staatssekre- tär im Bundesministerium des Innern, für Bau und Heimat sowie Beauftragter der Bundesregierung für Informati- onstechnik: „Um ein hohes Niveau von IT-Sicher- heit in Deutschland zu gewährleisten, brauchen wir die Mitarbeit jeder und jedes Einzelnen. Nicht jedem ist bewusst, welche konkreten Risiken in sozialen Netzwerken und beim Onlineshopping bestehen und welche Schäden, sei es finanzieller Art oder schlicht durch Bekanntwerden persön- licher Daten, entstehen können. Die Menschen müssen erkennen können, dass sie betrof- fen sind, wo sie betroffen sind und wie sie sich schützen können. Dabei wollen wir ihnen mit unserer Informations- und Sensibilisierungskam- pagne helfen.“ Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik: „Wir leben in einer digitalen Welt, in der Angreifer erst einmal unsichtbar sind und dann großen Schaden anrichten können. Als Cybersicherheitsbehörde des Bundes wollen wir aber nicht nur warnen, sondern Sie dabei unterstützen, Ihre digitale Tür fest vor Einbrechern zu sichern. Um Ihren digitalen Alltag sicherer zu machen, müssen Sie nicht IT-Spezialistin oder -Spezialist sein. Auf einfachaBSIchern.de greifen wir Themen auf, die alle kennen; zum Beispiel Mobiles Banking und Online-Shopping, sichere E-Mail-Kommu- 18 IT-SICHERHEIT_2/2021 wie Online-/Mobiles Banking, Online-Gaming, Online shopping und der Kommunikation im Netz per E-Mail, Messenger-Diensten oder im Chat. Auch der Schutz von Endgeräten, wie Notebooks oder Smartphones, die Nutzung vernetzter Gerä- te (Smart Home) sowie der Umgang mit Online- Accounts und sozialen Netzwerken soll vermittelt werden. Die Kampagne baut auch auf den Ergebnis- sen einer vorab durchgeführten Umfrage auf. Die meisten Befragten wünschten sich mehr Informationen über Risiken im Netz und mehr Unterstützung bei der digitalen Sicherheit. Dabei gaben sie den unbefugten Zugriff Dritter auf sen- sible Daten und auf persönliche Informationen als größte Bedrohung im Internet an. Als beson- ders relevant bewerteten die Befragten auch die Absicherung des Online- und Mobile-Bankings sowie den Schutz von Geräten wie Notebooks und Smartphones. Fast jeder Zweite sorgt sich darüber hinaus vor dem Fremdzugriff auf Geräte im Smart Home – also vernetzte Fernsehgeräte, Kühlschränke oder intelligente Sprachsysteme. Vergleichsweise niedrig ist das Bedürfnis nach digitaler Sicherheit bei der E-Mail-Kommunika- tion und dem Umgang mit sozialen Medien. Hier möchte die Kampagne Aufklärungs- und Sensibi- lisierungsarbeit leisten. n S.M. Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (Foto: BSI) nikation oder auch der Schutz von Notebooks oder Smartphones. Digitalisierung geht nur mit Informationssicherheit. Machen Sie Ihre digitale Welt sicherer.“ Im ersten Schritt der Kampagne sollen die Bür- gerinnen und Bürger mit einer Hauptkampagne zunächst in ihrem digitalen Alltag abgeholt und für eventuelle Risiken und Gefahren sensibilisiert werden. Im zweiten Schritt folgen aufklären- de und informierende Kampagnen zu Themen AUS DER SZENE

– ADVERTORIAL – Die digitale Transformation benötigt Führungskompetenz Bitkom Akademie bildet Chief Digital Oﬃcer aus Bereits vier von zehn Unternehmen verfügen über einen Chief Digital Officer auf Vorstands- oder Geschäftsführungsebene Besonders KMU benötigen Führungskräfte in der Digitalisierung Bitkom Akademie startet die Ausbildung zum Chief Digital Officer (CDO) als berufsbegleitenden Online-Lehrgang Die digitale Transformation ist in vollem Gange und hat in den letzten Monaten noch einmal erheblich an Fahrt aufgenommen. Wirtschaft und Verwaltungen reagieren auf die veränderten Rah- menbedingungen, dennoch bleiben zahlreiche Chancen der Digi- talisierung noch ungenutzt. Ein kürzlich erschienener OECD-Wirt- schaftsbericht stellt der deutschen Wirtschaft ein weitestgehend positives Zeugnis aus. Vor allem die jüngsten Fortschritte – etwa in den Bereichen der digitalisierten Produktion oder beim Aufbau von Infrastrukturen – werden lobend erwähnt. Gleichzeitig wird seitens der OECD zu mehr Tempo in der digitalen Transformation geraten. Vor allem innovative Technologien sollten schneller und stärker genutzt werden, um deren wirtschaftliche Potenziale noch besser nutzen können. Häufig scheitert dies jedoch auch an fehlenden Fach- kräften und mangelndem digitalen Know-how in den Unternehmen. Chief Digital Officer und Digitalstrategen – der Blick auf das Wesentliche Damit die Transformation gelingt, bedarf es auf allen Hierarchie- stufen gut geschulter Fachkräfte – das schließt auch die Leitungs- ebene im Unternehmen ein. Doch gerade dort scheinen zahlreiche Betriebe noch zu zögern. Gerade einmal jedes fünfte Unternehmen gab in einer Bitkom-Umfrage an, einen Chief Digital Officer einzu- setzen. Vor allem kleine und mittelständische Unternehmen sind zurückhaltend, wenn es um die Ernennung einer Führungskraft zur digitalen Transformation des Unternehmens geht. Dabei könnten gerade KMU vom Einsatz eines erfahrenen Digitalisierungsbeauf- tragten profitieren. In seiner Funktion behält ein CDO – mehr oder weniger unabhängig vom Tagesgeschäft – das große Ziel auf dem Weg auf dem durch die digitale Transformation im Blick. Im Großen und Ganzen obliegt dem Chief Digital Officer die Aus- gestaltung und Umsetzung der unternehmenseigenen Digitalstra- tegie. Sie beginnt mit der Aufnahme des Status quo, der Identifizie- rung und Priorisierung des Handlungsbedarfs und der praktischen Umsetzung bis hin zum abschließenden Controlling. Aber auch die Konzeption und Verwirklichung neuer Geschäftsmodelle sind integraler Bestandteil des Stellenprofils. Um diesem anspruchsvollen und abwechslungsreichen Tätigkeits- bereich gerecht zu werden, benötigen Unternehmen erfahrene und breit aufgestellte Expertinnen und Experten. Ein klassischer IT-Hin- tergrund ist förderlich, aber keineswegs Pflicht. Obligatorisch ist jedoch ein umfassendes Know-how aktueller digitaler Trends und Technologien sowie die Fähigkeit, diese für das eigene Unterneh- men einzuschätzen und gewinnbringend zu adaptieren. Neben dem nötigen Fachwissen sollten angehende CDO auch die passenden Soft Skills mitbringen. Kommunikationsstärke, Resilienz und Durch- setzungsvermögen sind für die Gestaltung und Realisierung einer Digitalstrategie in Unternehmen und Verwaltungen unerlässlich. Welche Rolle spielen Chief Digital Officer im Unternehmen? Vier von zehn befragten Unternehmen siedeln ihre Digitalisierungs- beauftragten im Top-Management an. Ein Chief Digital Officer kann aber auch außerhalb der Vorstands- und Geschäftsführungsebene positive Akzente setzen. Um das zu gewährleisten, sollten Inhaber und Führungskräfte ihrem CDO jedoch den nötigen Rückhalt und Gestaltungsspielraum ermöglichen. So können Digitalisierungsbe- auftragte auch eine Stabsstelle im Unternehmen einnehmen, von der aus sie ihre Digitalstrategie verwirklichen. Auch eine Platzierung im mittleren oder gehobenen Management ist denkbar. Hilfreich wäre eine solche Ernennung dann, wenn vorerst einzelne Bereiche die digitale Transformation durchlaufen sollen – beispielsweise zur Prozess-Automatisierung in der Verwaltung oder zum Aufbau einer digitalisierten Produktion im industriellen Umfeld. Entscheidend für den Erfolg des CDO im Unternehmen ist weniger die hierarchische Position, sondern vielmehr der Rückhalt, den die Stelle bei Fach- und Führungskräften genießt. Ausschlaggebend dafür dürfte sein, welche greifbaren Ergebnisse ein CDO in seiner verantwortungsvollen Rolle erzielt. Das nötige Know-how für ihre Aufgabe als Chief Digital Officer können aufstrebende Talente ab sofort bei der Bitkom Akademie erlernen. Alle Details und Informationen zum berufsbegleitenden Online-Zertifikatslehrgang gibt es unter: bitkom-akademie.de/chief-digital-officer

SECURITY MANAGEMENT Neun Tipps, um vor, während und nach einer Cyberattacke richtig zu reagieren WARUM CYBERSECURITY EIN MANNSCHAFTS- SPORT IST IT-Security ist ein hohes Gut. Obwohl für viele Unternehmen der Schutz ihrer IT-Infrastruktur, Systeme, Workplaces und Daten oberste Priorität hat, ist ein großer Teil für einen Angriff nicht hinreichend gewappnet. Das ist fahrlässig und hochriskant zugleich. Von Cyberattacken sind Unternehmen jeglicher Größe betroffen – ganz gleich, ob mittelständische Firma oder internationaler Großkonzern. Umso wichtiger ist es, entsprechende Security-Vorkehrungen zu treffen (Prevention) und im Angriffsfall mit den richtigen Erkennungs-, Abwehr- und Bereinigungsmaßnahmen zu reagieren (Detection und Response). Hier einige wichtige Praxistipps, worauf es dabei ankommt.(1) 20 IT-SICHERHEIT_2/2021

CYBERSECURITY- PRAXISTIPPS 1. Investieren Sie in Cybersecurity. 2. Bereiten Sie sich vor. 3. Erkennen Sie Ihre Schwachstellen. 4. Deﬁnieren Sie besonders schützenswerte Bereiche. 5. Korrelieren Sie Ihre Daten. 6. Setzen Sie auf Teamwork. 7. Richten Sie ein SOC ein. 8. Reagieren Sie schnell und richtig. 9. Analysieren Sie Angriffe im Nachhinein. Seit einigen Jahren gibt es immer mehr Hackerangriffe. Die Motive für solche Attacken sind vielfäl- tig: von Industriespionage bis hin zu erpres- serischen Absichten und damit verbundenen Schutzgeldforderungen. Um dem vorzubeugen, haben die meisten Unternehmen definierte IT-Krisenprozesse. Häufig eignen sie sich aber nicht, um wirklich ausgefeilte Cyberattacken abzuwehren. 1. Tipp: Investieren Sie in Cybersecurity. Angriffsmethoden, die bisher nur von APTs (Advanced Persistent Threats) bekannt waren, sind nun auch bei gewöhnlichen Cyberkrimi- nellen zu beobachten. Die Lage hat sich spürbar verschärft – und darauf müssen Unternehmen vorbereitet sein. Sind sie das nicht, müssen sie bei einem Security Incident – je nach Art des Vorfalls – in kurzer Zeit Maßnahmen einlei- ten, die oft jahrelang niemand angepackt hat. Im Zweifel ist ihre über Jahre gewachsene IT- Infrastruktur innerhalb weniger Wochen kom- plett neu zu organisieren – was dann plötzlich großen Aufwand und hohe Kosten verursacht. Machen Sie also nicht den Fehler, erst dann zu reagieren, wenn Sie durch einen akuten Sicher- heitsvorfall dazu gezwungen sind. Investitionen in Cybersecurity lohnen sich, weil sie das Risiko eines kritischen Security Incidents nachweislich reduzieren. 2. Tipp: Bereiten Sie sich vor. Cybersecurity ist das Ergebnis eines fortlaufen- den Prozesses und darum sehr individuell. Um das Security Level langfristig hochzuhalten, ist Situation Awareness entscheidend. Um auf aku- te Bedrohungen reagieren zu können, sollten Sie Maßnahmenpakete für verschiedene Angriffs- szenarien vorab definieren. In solchen Plänen sind das Ziel einer Maßnahme, die erforderliche Vorgehensweise und die notwendigen Skills, Rollen und Unternehmensbereiche beschrieben. Beispiele sind hier Domain Administration und 4. Tipp: Definieren Sie besonders schützenswerte Bereiche. Akzeptieren Sie, dass Sie kein „Fort Knox“ um Ihre IT bauen können. Fokussieren Sie sich stattdessen auf Ihre „Juwelen“, also jene Infra- strukturen, Daten und Systeme, die besonders schützenswert sind. Mithilfe des MITRE ATT&CK Rahmenwerks erfahren Sie, wie Sie am wahr- scheinlichsten angegriffen werden. Es listet alle bekannten Angriffstechniken tagesaktuell auf und erklärt, wie man sie erkennt und mögliche Angriffe behebt. Und – ganz wichtig: Beschäf- tigen Sie sich mit der Bedrohungslage in ihrer Branche. Hacker sind zumeist auf bestimmte Branchen und Angriffstechniken spezialisiert. Mit einer Heatmap, die zeigt, welche Techno- logie wo besonders häufig angewendet wird, können Sie Ihre wertvollsten Daten gezielt be- sonders schützen. 5. Tipp: Korrelieren Sie Ihre Daten. Um einen drohenden Hackerangriff zu erken- nen, ist Detektivarbeit gefragt. Zeichnen Sie mit einem Endpoint Detection and Response (EDR)- Tool Ereignisse auf, wie etwa eine Nutzeranmel- Was ist ein IMPOSSIBLE TRAVELLER? Ein „unmöglicher Reisender“, ist meist als Benutzer deﬁniert, der mit derselben Ressource von zwei verschiedenen Orten aus interagiert, aber angesichts des Zeitdeltas und der Entfernung zwischen den Zugangsknoten diese Reise unmöglich in einer angemessenen Zeitspanne hätte machen können. IT-SICHERHEIT_2/2021 21 Bild: ©pattilabelle - stock.adobe.comDatacenter Management. Auch ein Incident-Re-sponse-Kommunikationsplan darf nicht fehlen. Nur so können Sie schnell reagieren und die Situ-ation wieder in den Griff bekommen. 3. Tipp: Erkennen Sie Ihre Schwachstellen.Machen Sie es einem Hacker so schwer wie mög-lich, indem Sie die Bedrohungslage fortlaufend monitoren und bei Bedarf alle Systeme komplett scannen. Aus den Daten können Sie ein Scoring erstellen, das Aufschluss über die Kritikalität und etwaige Schwachstellen gibt (Vulnerabili-ty Management). Doch auch wenn Sie mögliche Angriffspunkte kennen, gibt es natürlich keine absolute, 100-prozentige Sicherheit. Es ist nicht möglich, sich gegen Zero-Day-Exploit-Attacks und APTs vollständig zu schützen. Legen Sie den ersten Fokus darum auf einfacher abzuwehrende Bedrohungen und sichern Sie sich in diesem Kon-text gegen groß angelegte Angriffe ab.SECURITY MANAGEMENT

SECURITY MANAGEMENT Quellen: (1) Whitepaper von Lünendonk und Arvato Systems: „Cybersecurity – die Digitale Transformation sicher gestalten“. Es steht unter https:// www.arvato-systems.de/security-studie kostenlos zum Download bereit. ARNE WÖHLER, Leiter Business Consulting und Development Cybersecurity bei Arvato Systems 22 IT-SICHERHEIT_2/2021 7. Tipp: Richten Sie ein SOC ein.Im Zentrum steht dabei zunächst das Securi-ty Operations Center (SOC). Die Mitarbeiter in einem SOC überwachen alle eingehenden Mel-dungen beziehungsweise Alarme und bewerten das Gefahrenpotenzial: Handelt es sich tatsäch-lich um einen kritischen Incident? Oder um ein False Positive? Bei der forensischen Untersu-chung des vermeintlichen Vorfalls ermitteln die Experten, wie der Angreifer in die Infrastruktur eindringen konnte, welche Ziele er verfolgt, wie tief er eingedrungen ist und welche technischen Methoden er angewendet hat. Dafür ziehen sie neben Logging-Daten auch Informationen aus dem EDR-System und dem Netzwerk-Monito-ring heran und analysieren auffällige Systeme bis in die Tiefe. Meistens liegt das Augenmerk dabei auf dem Active Directory, den besonders schützenwerten Bereichen und der sicherheits-technisch besonders abgeschirmten „Demilitari-sierten Zone“ (DMZ) 8. Tipp: Reagieren Sie schnell und richtig.Achten Sie darauf, dass das SOC bei der Bewer-tung des Angriffs mit dem Incident-Response-Team zusammenarbeitet. Handelt es sich um ei-nen massiven Vorfall – von Erpressungsfällen mit Ransomware bis hin zu APT-Angriffen – koordi-niert das Incident-Response-Team die Eindäm-mungs- und Bereinigungsaktivitäten und führt sie durch. Dabei ist zu entscheiden, welche Hand-lungen ad hoc vorzunehmen (Containment) und welche vordefinierten Maßnahmenpakete an-zuwenden sind. Wichtig ist, die Komplexität des Angriffs, den Aufbau Ihrer jeweiligen Infrastruk-tur, Ihre Monitoring-Fähigkeiten auf Endpoints und Netzwerkverkehr, sowie die verfügbaren Analyse-Skills zu berücksichtigen. Schließlich müssen die Abwehrmaßnahmen den Methoden und Techniken des Angreifers entsprechen. 9. Tipp: Analysie-ren Sie Angriffe im Nachhinein.Nach dem Angriff ist vor dem Angriff. Darum ist es unverzichtbar, dass Sie Cyberattacken nach-bereiten. Denn jeder Angriff ist anders, man lernt immer etwas Neues dazu. Nur wenn Sie aus einem Vorkommnis strategische Maßnah-men ableiten, entwickeln Sie eine bessere Re-aktionsfähigkeit und Resilienz. Übertragen auf den Fußball, geht es um Fragen wie: Passten Spielaufbau und Organisation? Haben die Spieler auf den richtigen Positionen gespielt? Hat die Kommunikation im Team funktioniert? War die Mannschaft mit der nötigen Intensität bei der Sache? War die Visibilität über das Spielgesche-hen ausreichend? Diese Fragen immer wieder aufs Neue zu beantworten, bildet die Basis für eine fortlaufende Optimierung Ihrer Risikoma-nagement- und Entscheidungsprozesse. ndung, das Öffnen einer Datei, aufgebaute Netz-werkverbindungen und ähnliches – das alles auf Endgeräten wie PCs, Notebooks, Tablets und Smartphones. Laufen diese Meldungen, Alarme und Logfiles verschiedener Geräte, Netzkompo-nenten, Anwendungen und Security-Systeme in ein SIEM-System, können Sie diese in Echtzeit korrelieren und auswerten. Erkannte Anomalien, wie etwa ein „Impossible Traveller“, und andere Auffälligkeiten sind wichtige Indizien für eine akute Bedrohung. 6. Tipp: Setzen Sie auf Teamwork.Betrachten Sie Incident Response als Mann-schaftssport mit Spielern, die ihre Stärken nach abgestimmten Playbooks einbringen. Ebenso, wie eine Fußballmannschaft Torwart, Vertei-diger, Mittelfeldspieler, Stürmer und Kapitän hat, braucht es einen ausgewogenen Mix aus Erfahrung und Fachwissen. Diese Fähigkeiten intern aufzubauen, verursacht großen Aufwand. Einen Dienstleister heranzuziehen, der Managed Security als Service bietet, kann insbesondere für mittelständische Unternehmen eine Überlegung wert sein. Aber auch große Konzerne profitieren von einer derartigen Zusammenarbeit. Falls Ihr eigenes Team etwa zu den üblichen Geschäfts-zeiten monitort, übernimmt der Dienstleister in der Nacht, am Wochenende und an Feiertagen. Oder er leitet die nötigen Response-Maßnah-men ein, wenn Ihre Mitarbeiter einen Angriff bemerken. Dabei ist Vertrauen sehr wichtig. Schließlich greift der Dienstleister im Zweifel auf hochsensible Daten zu. Ganz gleich, wie Sie Ihr Security-Team zusammenstellen, sind regelmä-ßige Trainings unverzichtbar, um eine hohe Re-aktionsfähigkeit sicherzustellen. Denn bei einem Angriff ist das ganze Security-Team gefragt.Bild: ©pattilabelle - stock.adobe.com

– ADVERTORIAL – Managed Security Services SECURITY-PROZESSE EINFACH AN SPEZIALISTEN GEBEN Jedes Jahr verursachen Cyberangriffe bei deutschen Unter nehmen Schäden in Milliardenhöhe – Tendenz steigend. Die Attacken werden dabei immer vielfältiger und komplexer. Gleiches gilt infolgedessen für die Security Tools, die zur Abwehr eingesetzt werden. Für Unternehmen ohne ausreichend InhouseExpertise und Zeit also ein immer größeres Problem. Zudem wird der aktuelle Fachkräfte mangel im ITSecurityBereich auch in absehbarer Zukunft nicht sinken. Diesen spüren vor allem kleine und mittelständische Unternehmen (KMU). Daher erfreuen sich Managed Security Services (MSS) einer immer größeren Beliebtheit. Durch sie können Unternehmen sicher sein, dass sich fähige Experten beim Dienstleister um ITSecurityProzesse kümmern. Auf diese Weise wird die ITAbteilung entlastet, sodass sich die internen Experten ganz auf ihr Kerngeschäft konzentrieren können. IT-Abteilung wird zum Business Enabler Um Managed Security Services erfolgreich zu integrieren, muss das Unternehmen grundlegend serviceaffin sein. Dies schließt ein verändertes Rollenbild der ITAbteilung mit ein. ITExperten sollten sich als „Business Enabler“ für die Fachabteilungen wahrnehmen. Mit diesem Selbstverständnis können sie externe Partner leichter einbinden. Um Sicherheitsprozesse erfolgreich auszulagern, müssen diese zudem bereits im Vorfeld genau definiert sein. Gute Dienstleister beraten ihre Kunden auch in diesem frühen Stadium des Outsourcings. Ganz wichtig ist: Der MSSP braucht einen fachkundigen Ansprechpartner beim Kunden, mit dem er eng zusammenarbeitet. Nur so kann er die benötigten Einblicke in Unternehmensstrukturen und prozesse gewinnen. MSSPs haben gegenüber klassischen Systemhäusern Vorteile Fazit Unternehmen können ITSecurityProzesse vollständig oder in Teilen an Managed Security Service Provider (MSSPs) outsourcen. Im Gegensatz zum üblichen ITSystemhaus entwickelt ein MSSP auch eigene Ende zuEndeLösungen. Grundsätzlich unterscheidet man dabei zwischen cloudbasierten und OnPremisesLösungen. Beide Möglichkeiten verbessern die Cybersecurity, ohne dass sich der Kunde selbst um Technik, Installation, Betrieb und Support kümmern muss. Ein beliebter Managed Security Service ist „indevis Secure Access“. Dieser bietet Kunden eine komplett gemanagte browserbasierte SSLVPN Lösung, über die der Zugriff auf das Unternehmensnetzwerk auch von extern möglich ist. Die User melden sich einfach über eine individuelle WebportalSeite an, und die Sessions sind gleichzeitig ohne Probleme skalierbar. Managed Security Services werden in Zukunft noch wichtiger, um die Sicherheit in Unternehmen zu gewährleisten. Ein guter MSSP liefert passende EndezuEndeLösungen, die exakt auf die individuellen Kundenbedürfnisse zugeschnitten sind. Voraussetzung für ein erfolgreiches Outsourcing von Sicherheitsaufgaben sind ServiceAffinität sowie klare Prozesse und Schnittstellen und nicht zuletzt das Commitment zum Prinzip der geteilten Verantwortung. Denn umfassende Sicherheit kann nur durch partnerschaftliche Zusammenarbeit erreicht werden. n Cyberangriffe werden häufiger und aggressiver. Security-Experten dagegen sind auf dem Arbeitsmarkt nach wie vor rar gesät. Für IT-Abteilungen wird es daher immer schwieriger, neben dem Alltagsgeschäft auch noch die IT-Security im Blick zu behalten und stetig nachzurüsten. Entlastung kann das Outsourcing von Cybersecurity-Aufgaben schaffen. Bild: ©kras99 - stock.adobe.comAutor: Andreas Mayer, Founder & Business Development indevis

SECURITY MANAGEMENT IT-Verantwortliche treiben Sicherheit voran PATIENTENORIENTIERTE IT IM KRANKENHAUS Deutschlands Krankenhäuser müssen und wollen digitaler werden. Auch der Staat hat das erkannt und fördert den Digitalausbau in Klini- ken unter anderem mit dem KHZG. Neben dem großen Potenzial, das digitale Innovationen versprechen, lässt sich eines nicht umgehen: Das Risiko, Opfer einer Cyberattacke zu werden. Insulinpumpen, die online manipuliert werden, aus der Ferne falsch dosierte Strahlentherapie oder gar ein Gesamtausfall der Notaufnahme können das Ergebnis erfolgreicher Angriffe 24 IT-SICHERHEIT_2/2021 sein. Cyberkriminelle wissen um die eng getak- teten Schichtpläne, den stressigen Arbeitsalltag sowie komplexe Infrastrukturen und zielen ne- ben technischen Sicherheitslücken deshalb vor allem auf den Faktor Mensch ab. Ein Beispiel hierfür: Malware, die mit einer Phishingmail in die IT-Systeme des Krankenhauses einge- schleust wird. Laut einer Studie des Cyber- security-Trainingsanbieters SoSafe klicken Mitarbeitende in Krankenhäusern verglichen zu anderen Organisationen durchschnitt- lich 30 Prozent häufiger auf Phishingmails. Fehlendes Wissen und Dauerstress bieten als Schnittstelle zwischen IT und Mensch somit eine ideale Angriffsfläche, mit Konsequenzen für Patientinnen und Patienten. So endete ein Hackerangriff auf das Uniklinikum Düsseldorf im September 2020 für eine Patientin tödlich. Ein eingeschleuster Erpressungstrojaner sorgte dafür, dass die Notaufnahme des Klinikums für 13 Tage komplett geschlossen werden musste. Hierdurch musste die Patientin in eine weiter entfernte Notaufnahme transportiert werden – was sie nicht überlebte. i D T L a d e M k a e r b e v a W d : l i B Moderne Krankenhäuser brauchen moderne IT. Doch der aktuelle Digitalisierungsschub zieht auch Cyberkriminelle an, die es auf attraktive Daten sowie überlastete Mitarbeitende in Krankenhäusern abgesehen haben. Mit Erfolg: Innerhalb eines Jahres hat sich die Zahl der bekannten Cyberangriffe verdoppelt. Der Gesetzgeber hat die prekäre Situation erkannt und fördert mit dem Krankenhauszukunftsgesetz (KHZG) Digitalisierung und Cybersecurity. Für IT-Verantwortliche ist das eine Chance. Sie können ihr Thema in den Fokus rücken und zeigen: Auch IT-Sicherheit rettet Leben.

TIPPS, UM IT-SICHERHEIT IN DEN FOKUS ZU RÜCKEN 1. Offenheit gegenüber dem Klinikpersonal: Viele haben bislang zu wenig Berührungspunkte mit IT-Sicher- heit und wissen nicht, dass sie sich dadurch angreifbar machen. 2. Proaktivität: Förderungen, wie das KHZG, bieten optimale Chancen, den digitalen Wandel im Klinikum voranzu treiben. 3. Kreativität: Awareness-Trainings mit Gamiﬁ- cation- oder Storytelling-Elemen- ten gestalten das Thema IT-Sicher- heit für das Personal spannender und zugänglicher. 4. Patientenzentriertheit: Wissen schützt – mittelbar auch die Patientengesundheit. Denn durch geschulte Mitarbeitende kön- nen schwere IT-Sicherheitsvorfälle verhindert werden. Zahlen der eingangs erwähnten Studie zeigen, dass die Erfolgsraten von Phishing-Angriffen durch Maßnahmen wie simulierte Angriffe schon nach kurzer Zeit um 66 Prozent gesenkt werden können. Damit kann auch das Risiko, Opfer eines Cyberangriffs zu werden, nachhaltig kontrolliert werden. IT-Verantwortliche sollten daher die Chancen, die das KHZG bietet, nutzen: Zum Ersten bietet es finanzielle und personelle Unterstützung; zum Zweiten ermöglicht es, die Digitalisierung und somit auch den Kulturwandel im Kranken- haus voranzutreiben. KULTURWANDEL IM KRANKENHAUS: IT-VER- ANTWORTLICHE ALS DIGITALE WÄCHTER So wie Ärztinnen und Ärzte direkt die Gesund- heit der Erkrankten verantworten, sollen sich IT-Verantwortliche darum kümmern, dass die CYBERKRIMINELLE LIEBEN KRANKENHÄUSER Informationen der Bundesregierung zufolge hat sich die Zahl der Cyberangriffe auf Einrichtungen im Gesundheitswesen von 2019 auf 2020 ver- doppelt, weshalb auch Interpol vor zunehmen- den Cyberangriffen warnt. Der Grund hierfür ist, dass sensible Daten, wie Patientenakten, im Darknet hoch gehandelt werden. Dementspre- chend können auch hohe Lösegeldforderungen an die betroffenen Einrichtungen oder Patien- tinnen und Patienten gestellt werden. Neben veralteten Systemen sind komplexe Arbeitslab- läufe, wie Schichtbetrieb und zuletzt die enor- me Belastung durch die COVID-19-Pandemie, Gründe für die hohe Erfolgswahrscheinlichkeit der Angriffe. Für Updates oder gar neue Technik fehlt häufig sowohl das Budget als auch die Zeit. Das Gleiche gilt für IT-Sicherheitsschulungen beim Krankenhauspersonal. So wird im stres- sigen Arbeitsalltag schnell mal auf gefährliche Anhänge oder Links in E-Mails geklickt. Einmal von Mitarbeitenden geöffnet, verbreitet sich Schadsoftware rasend schnell. Aus diesen Grün- den sind präventive Maßnahmen, wie IT-Sicher- heitsschulungen und Awareness-Trainings, von entscheidender Bedeutung für die Sicherheit im Krankenhaus. Was bislang aufgrund von Zeit- und Budgetmangel kaum umzusetzen war, wird durch das KHZG nun erleichtert. DIGITALER – UND SICHE- RER – WERDEN MIT KHZG Dass Krankenhäuser dringend Unterstützung benötigen, hat auch die Bundesregierung er- kannt. Mit dem KHZG wird nun die Digitalisie- rung von Kliniken finanziell gefördert. 15 Prozent der beantragten Förderhöhe müssen hierbei auch auf Sicherheitsmaßnahmen entfallen. Der „Fördertatbestand 10“ des KHZG widmet sich darüber hinaus explizit der IT-Sicherheit und finanziert so auch Maßnahmen wie Cyber secu- ri ty-Schulungen von Mitarbeitenden. Denn um es Cyberkriminellen schwer zu machen, ist es notwendig, dass das gesamte Klinikpersonal hinsichtlich möglicher Angriffe sensibilisiert ist. Auf diese Weise rücken Mitarbeitende in den Vordergrund und können sich auch für das Wohl der Patientinnen und Patienten einsetzen, in- dem sie zur menschlichen Firewall werden. Re- gelmäßiges Schulen ist dabei viel mehr als eine reine Pflichterfüllung der gesetzlichen Vorgaben. SECURITY MANAGEMENT sensiblen IT-Systeme resilient und widerstands- fähig sind. Auf operativer Ebene sind sie für eine technisch hochwertige und zuverlässige Infrastruktur zuständig. Darüber hinaus geht es darum, IT-Sicherheitsthemen in die Organisati- onsstrategie des Krankenhauses einzubinden. In einem Umfeld, das im Arbeitsalltag von einem stressigem Schichtbetrieb geprägt ist, stoßen IT-Entscheidende häufig auf Widerstand. Argu- mente wie „Dafür ist keine Zeit“ oder „Ich habe Wichtigeres zu tun“ erschweren die gewünschte Veränderung. Im Rahmen verschiedener gesetzlicher Richtlini- en, wie der Datenschutz-Grundverordnung (DS- GVO) oder ISO 27001, haben IT-Verantwortliche die Aufgabe, über die Risiken von Sicherheitslü- cken aufzuklären und Mitarbeitende dazu zu be- fähigen, in potenziellen Angriffssituationen rich- tig zu handeln. Denn nur so weiß das Personal, wie es beispielsweise eine Phishingmail erkennt und klickt erst gar nicht auf gefährliche Links. Neben der technischen Umsetzung ist regelmä- ßiges Awareness-Training deshalb wichtig. Doch wie schaffen IT-Verantwortliche es, ein Thema wie IT-Sicherheit fest in die Organisationskultur und in den Krankenhausalltag zu integrieren? DIE ZUKUNFT BEGINNT JETZT Beim Thema IT-Sicherheit besteht in Kranken- häusern noch Aufholbedarf. Neben Fachper- sonal und neuen Systemen ist jetzt vor allem Aufklärung gefragt. Mithilfe des KHZG können IT-Verantwortliche 2021 den digitalen Wandel im Krankenhaus vorantreiben und zeigen, dass Cy- bersecurity Awareness ein fester Bestandteil der Organisationskultur im Krankenhaus sein muss. Nur so können Krankenhäuser die Gesundheit ihrer Patientinnen und Patienten auch auf digi- talem Weg schützen. n DR. NIKLAS HELLEMANN, Geschäftsführer der SoSafe GmbH IT-SICHERHEIT_2/2021 25

SECURITY MANAGEMENT Dreifacher Mehrwert durch Managed-Detection-and-Response-Dienste DER FAKTOR MENSCH IN DER CYBERSICHERHEIT Einer kommt früher oder später durch: Keine Cyberabwehr kann absolute Sicherheit bieten, egal wie ausgefeilt die Abwehrtechnologien sind. Denn die Hacker kennen die Verteidigung und zielen auf ihre Schwachstellen. Technologie allein nützt dagegen nicht. Solange es Hacker aus Fleisch und Blut gibt, müssen ihnen menschliche Experten gegenüberstehen. Eine starke IT-Sicherheitskompetenz ist für viele Unternehmen oder auch andere Organisationen nicht in Reichweite. Kleineren und mittleren Unterneh- men, die den Angriffen ausgesetzt sind, fehlt in der Regel das Geld. Im Enterprise-Bereich ist vielleicht das Budget vorhanden, aber der Fach- kräftemangel ganz besonders in der IT-Security macht es schwer, ein geeignetes Team zu finden und langfristig zu halten. An Hilfe von außen führt kein Weg vorbei. PROAKTIVE ANALYSE FÜR EINE BESCHLEUNIGTE REAKTIONSFÄHIGKEIT Viele Unternehmen nehmen zunächst Managed Security Services in Anspruch. Solche Dienst- leister kontaktieren Kunden bei auftauchenden Gefahren. Diese zu beheben, bleibt aber dann Sache des Kunden, dem häufig sowohl die Zeit als auch die Kompetenz fehlen. Die in jedem Fall entstehende Zeitspanne zwischen der Nachricht und dem Beseitigen des Risikos genügt den Ha- ckern in der Regel, um Schaden anzurichten. Organisationen müssen sich also mithilfe von Experten proaktiv aufstellen, um Risiken im 26 IT-SICHERHEIT_2/2021 Vorfeld zu erkennen und so schnell wie möglich, im Notfall Angriffe zu sehen und Schäden zu minimieren. Ein solcher persönlicher IT-Security- Dienst fängt schon früh an, die Sicherheit beim Kunden zu erhöhen. MEHRWERT 1: ANALYSE DER RISIKEN ANSTELLE DES IT-SECURITY-BAUCH- LADENS Viele IT-Sicherheitsteams unter Druck suchen schnell nach Abwehrtechnologien und Werk- zeugen, bevor sie wissen, was diese überhaupt leisten sollen. Das ist ein falscher Aktionismus, denn das Allheilmittel für Cybersicherheit gibt es nicht zu kaufen. Das liegt nicht an den Lösungen. Jedes Un- ternehmen bietet Angreifern seine eigenen Lücken und hat seine eigenen Risiken. Diese hängen von der Branche, ihren Geschäftsmo- dellen, den eingesetzten Technologien und der Beschaffenheit der zu schützenden Informa- tionen ab. Wer lediglich – sicherlich gute – Standardtechnologie einkauft, die allgemein gegen Malware-Technologie hilft, erwirbt nur einen ersten oberflächlichen Schutz. Meistens muss er dann später weitere Software für mehr Sicherheit dazukaufen. Die Abwehr wird zudem aufwendiger – und damit in der Regel nicht oder kaum besser. Die Bedrohungen zu untersuchen und dann gezielt Abwehrtools zu implementieren, ist der bessere Weg. Zunächst muss ein Unternehmen dafür seine Systeme, Applikationen und die gesamte IT-Infrastruktur intelligent analysie- ren und ein individuelles Risikoprofil erstellen. Manche Unternehmen sollten zum Beispiel Wert auf fortschrittliche Authentifikationstools legen und ein Auge auf untypisches Zugriffs- verhalten haben. Sie benötigen hochwirksame Werkzeuge, um den Identitätsdiebstahl zu ver- hindern und um zu erfahren, sobald Angreifer kompromittierte Zugangsdaten tatsächlich verwenden. Bereits hier können Unternehmen die Kompe- tenz externer Spezialisten nutzen. Diese defi- nie ren in Zusammenarbeit mit der IT solche Sicherheitsprofile und stimmen die Abwehr da rauf ab. Dafür definieren sie gemeinsam kon- krete technische Anforderungen an die Software und testen anschließend die Abwehr nach die- sen Kriterien.

SECURITY MANAGEMENT einen umfangreichen Kompetenzkatalog für die Defensivakteure und für ihr Threat Hunting. Technologie spielt nur zum Teil eine Rolle. Ein Sicherheitsexperte ist nicht so sehr IT-Adminis- trator und Techniker, als vielmehr Detektiv und Menschenkenner. Gute Analysten denken wie die Angreifer. Sie wissen dank ihrer Expertise und ihrer Intuition, wo sie nach sich abzeich- nenden Attacken suchen sollen. Sie spielen in Echtzeit durch, was die Gegenseite als Nächstes tun wird, und wie das zu verhindern ist. gegen kunden- und industriespezifische kom- plexe Angriffe zu schützen. Die Experten stehen dabei permanent mit dem Kunden im Kontakt. Zunächst nehmen sie die aktuelle Sicherheitsla- ge auf und definieren davon ausgehend Sicher- heitsprofile. Im Rahmen dieser Anamnese lernen sie die normalen Abläufe in einer Unterneh- mens-IT kennen, um so zu definieren, was ein atypischer Vorgang ist. Denn dieser kann ein Angriff sein. Im nächsten Schritt vereinbaren sie mit Kunden einen Maßnahmenkatalog, in des- Moderne EDR-Lösungen bieten einen Überblick über die Sicherheitslage an Endpunkten. Sie schaffen damit eine wichtige Grundlage für den menschlichen Analysten. (Quelle: Bitdefender) MENSCHEN STATT AUTOMATISMEN Viele Organisationen verfügen entweder nicht über die Technologie oder über die Fachkräfte, um in ihrer IT ein solches Threat Hunting durch- zuführen, proaktiv Eindringlinge abzuwehren und Vorkommnisse zu verhindern. Sie müssen sich diese Expertise von außen einkaufen. Das ist ein richtiger Schritt. Einen Mehrwert schaffen aber nur Dienste, hinter denen Menschen ste- hen. Ein Threat Hunting kann nicht automatisiert stattfinden. Denn bei einer tiefgehenden Analyse kommt es gerade auf den erfahrenen Fachmann und seine Intuition an. Er hält bewusst und proaktiv nach Anzeichen für Gefahren Ausschau und sieht dann genau hin, um die nächsten Schritte überlegt zu entscheiden. Managed Detection and Response (MDR) bringt den Faktor Mensch ins Spiel, um sen Rahmen die Experten Sofortmaßnahmen zur Abwehr treffen können. Anschließend beobach- ten sie permanent die Sicherheitslage, erkennen Risiken und werden sofort aktiv. Über alle Aktio- nen statten sie Bericht ab. MDR-Anbieter sollten sich dabei ebenso in die Karten schauen lassen, so dass Unternehmen unmittelbar sehen, was die Experten wissen. n DANIEL CLAYTON, VP of Global Support and Services und Leiter der Bitdefender Managed Detection & Response (MDR) (Foto: Bitdefender) IT-SICHERHEIT_2/2021 27 MEHRWERT 2: PRO-AKTIVE UND PRAKTISCHE INTELLIGENZEntsprechend aufgestellt haben Chief Informa-tion Security Officer (CISOs) und Experten nun gute Vorarbeit geleistet. Eine wichtige Rolle spielt jetzt die permanente intelligente Analyse des sich ständig verändernden Cybercrime-Ge-schehens. Hier geht es aber nicht nur um so viele Informationen wie möglich. Intelligenz soll ope-rativ umsetzbare Erkenntnisse liefern, um Un-ternehmen im Wettkampf mit den Angreifern zu helfen. Daher müssen diese Daten relevant sein und gefiltert werden. Sie beschreiben die Attacken, die sich auf Geschäftsprozesse auswirken können: etwa branchenspezifische Angriffe, welche eine beim Kunden eingesetz-te Plattform angreifen oder denen auch Kon-kurrenzunternehmen ausgesetzt sind.Solche Informationen müssen zudem recht-zeitig vorliegen. Dafür sammeln Telemetrie-Tools mehrere Milliarden Daten am Endpunkt. Machine-Learning-Technologien erkennen mithilfe von Algorithmen Verhaltensmuster neuer Angriffe.Dieses Abbild der tatsächlichen Bedrohungs-landschaft unterstützt die Cyberabwehr zum einem taktisch und operativ: Indexwerte bewerten mit Zahlen, wie stark Systeme kom-promittiert sind und wo Angriffe unmittelbar bevorstehen. Zum andern hilft dieser Überblick strategisch und langfristig. Er ermöglicht Pro-gnosen über zukünftige Risiken. Das notwen-dige Wissen und die sich daraus ergebenden Prozesse entstehen nicht von heute auf morgen. Eine gute Defensive wächst kontinuierlich. Sie versteht daher, wie sich die Gefahrenlage verän-dert und baut die notwendigen Fähigkeiten auf, um Effekte zu minimieren. Expertenrat muss – gemessen am verhinderten Schaden – nicht ein-mal teuer sein. Auf jeden Fall ist er wertvoll.MEHRWERT 3: SICH IN DEN ANGREIFER HINEIN-DENKEN – EXPERTEN ALS THREAT HUNTERSowohl für die unmittelbare Abwehr als auch für die Langzeitanalyse ist der Mensch un-verzichtbar. Und er wird es bis auf weiteres bleiben. Die umfassenden Aufgaben diktieren Bild: ©anttoniart - stock.adobe.com

Es ist traurig, aber wahr: Die angesagten Technologien von heute werden die Legacy-Systeme von morgen sein. Deswegen gibt es bei der digitalen Transformation auch kein Fertigstellungsdatum. Sie ist ein kontinuierlicher Prozess, in dessen Verlauf neue Systeme eingeführt werden, während andere, die mit der modernen digitalen Unternehmensrealität nicht mehr Schritt halten können, ausgemustert werden. Der stete Wandel ist von großen Herausforderungen hinsichtlich Stabilität und Sicherheit im Gesamtsystem begleitet. Sofern ein Unternehmen oder eine Organisation nicht über enorme Mittel zur Finanzierung der digita- len Transformation verfügt, ist dieser kontinu- ierliche Wandel für die IT-Verantwortlichen oft schwer zu bewältigen. In den meisten großen Unternehmen existieren Schichten aus verschie- denen Systemen, die im Laufe der Zeit aufge- baut wurden, was den Transformationsprozess noch komplexer macht. So wird häufig das Bud- get überschritten oder infolge von Änderungen der geschäftlichen Prioritäten gekürzt, was zu einer komplexen Architektur führt, die sich über verschiedene Umgebungen erstreckt. Auf diese Weise entsteht dann leicht ein Mix aus älteren, geschäftskritischen Systemen vor Ort und einer Vielzahl hybrider, in der Cloud gehosteter, cloud- nativer und SaaS-Funktionen, die sich mit älte- ren On-Premises-Tools nicht leicht überwachen, verwalten oder absichern lassen. Leider können diese Komplexitäten und die daraus häufig resultierenden „Technologie- schulden“ (also Probleme, die sich aufgrund kurzfristiger oder suboptimaler Technologie- Entscheidungen aufbauen) digitale Transfor- 28 IT-SICHERHEIT_2/2021 mationsprojekte zunichtemachen. Um das zu verhindern, braucht es eine Kombination aus Menschen, Prozessen und Technologien, die es ermöglicht, Übersicht und Kontrolle über kom- plexe, heterogene Umgebungen zu gewinnen. Für Unternehmen, die sowohl alte als auch neue Technologien verwalten und schützen müssen, ist eine umfassende, plattformunabhängige Sichtbarkeit von zentraler Bedeutung. Ein- heitliche Endpunktverwaltung und -sicherheit kann helfen, diese ganzheitliche Übersicht und Kontrolle über komplexe IT-Umgebungen zu gewährleisten. TECHNOLOGIE- ARCHÄOLOGIE Der Druck, innovativ zu sein und immer schneller zu liefern, führt in Kombination mit Personal- wechseln oft dazu, dass das Unternehmens- gedächtnis und die Systemdokumentation zu wünschen übrig lassen. In diesem Fall muss „Technologie-Archäologie“ betrieben werden, damit die IT-Verantwortlichen wissen, welche Assets vorhanden sind und worauf sie bei der digitalen Transformation aufbauen können. Die IT-Manager müssen Antworten auf Fragen wie die folgenden finden: Was können und sollten wir ausmustern und ersetzen, was behalten und ergänzen? Welche nicht dokumentierten, nicht bekann- ten Assets haben meine Vorgänger und Kolle- gen angeschafft? Was macht eigentlich dieser Server, der auf keiner Asset-Liste verzeichnet ist? Welche Technologie-Assets sind komplett vom Radar der IT-Management-Systeme (zum Beispiel der Change Management Data- base – CMDB) verschwunden, weil sie manu- eller Prozesse bedürfen, die in kritischen „Ein- fach machen“-Phasen umgangen werden? Was ist womit verbunden? Welche Auswir- kungen hat es auf die vor- und nachgelager- ten Systeme, wenn ich irgendetwas entferne, aufrüste oder in die Cloud verlagere? Wird sich eine Änderung, die ich vornehme, auf meine Remote-Benutzer auswirken? SECURITY MANAGEMENTSECURITY MANAGEMENTKeine digitale Transformation ohne Technologie-ArchäologieIMMER DAS GROSSE UND GANZE IM BLICK

Wenn ein Unternehmen keinen vollständigen Überblick über seine IT-Umgebung hat, kann eine schnelle digitale Transformation schwerwiegen- de Folgen haben. Beispielsweise könnte sie: Mängel im Legacy-Backend freilegen, falls Eingaben nicht ordnungsgemäß bereinigt und verwaltet werden Schwachstellen ausnutzbar machen, wenn nicht bekannt ist, welche Altsysteme laufen und ob diese gepatcht, zur Einspielung von Patches neu gestartet und/oder auf andere Weise abgesichert werden müssen Legacy-Systeme versehentlich über öffentli- che APIs mit Anfragen überfluten, wenn die Kapazitäten nicht richtig verwaltet werden und keine Integrationsarchitektur vorgesehen ist, etwa mithilfe ereignisgesteuerter Zwi- schenspeicherung UMFASSENDE ÜBERSICHT Die digitale Transformation wird auch 2021 eine Priorität bleiben, wenn Unternehmen nach den besten Wegen suchen, um auf die Herausforde- rungen und Chancen dieses Jahres zu reagieren. Wenn IT-Manager fehlgeschlagene Projekte, Ausfälle und potenzielle Bedrohungen vermei- den wollen, müssen sie als Allererstes Übersicht und Kontrolle über sämtliche Assets gewinnen und wissen, wie diese zusammenpassen und miteinander agieren. Es gibt schon etwas Anlass zur Sorge, wenn bei- spielsweise mehr als die Hälfte (53 Prozent) der Befragten für eine aktuelle Untersuchung von Tanium erklärte, dass sie aufgrund fehlender Übersicht über ihr Netzwerk anfällig für Cyber- angriffe seien. Unternehmen brauchen eine Plattform für End- punktmanagement und -sicherheit, um vollstän- dige Übersicht und Kontrolle sowohl über ihre älteren als auch ihre digitalen Technologie-Assets zu erhalten, einschließlich Laptops, Servern, vir- tuellen Maschinen, Containern und Cloud-Infra- strukturen. Eine solche Übersicht und Kontrolle verschafft den IT-Verantwortlichen den nötigen Einblick, um dafür sorgen zu können, dass digita- le Transformationsprojekte nicht durch Technolo- gieschulden zu Fall gebracht werden. Im aktuellen Geschäftsklima ist das ganz be- sonders wichtig. Wie die jüngsten Ereignisse gezeigt haben, können Krisen aus dem Nichts kommen, und ein IT-Team, das nicht richtig vorbereitet ist, kann dann oft nur noch reaktiv handeln. Gerade in solchen Fällen brauchen Sie einen Echtzeit-Überblick über Leistungseng- pässe und Architekturmängel, um Problemen vorbeugen und sicherstellen zu können, dass sie nicht zum nächsten Brandherd werden. n OLIVER CRONK, Chief IT Architect for EMEA bei Tanium IT-SICHERHEIT_2/2021 29 Welche unserer Technologien werden vom Hersteller, unserem eigenen Team oder dem Lieferanten nicht mehr unterstützt? Wie sieht der aktuelle Status jedes IT-Assets aus (keine veralteten Datensätze, sondern Echtzeit-Übersichten)? Wie gut ist die IT-Hy- giene (Patch-Status, Benutzer mit Administra- torrechten, Sicherheitskonfiguration etc.)? KEINE FURCHT VOR KOMPLEXITÄT Die Schwierigkeit besteht natürlich darin, die Dienstleistungen für die Nutzer weiter zu ver- bessern, indem man die Leistungsfähigkeit und Flexibilität neuer Technologien nutzt, und gleich- zeitig die Probleme und Risiken älterer Systeme im Griff zu behalten. Folgenabschätzungen für Veränderungsprojekte werden zunehmend schwierig, weil nicht immer klar ist, welche Sys- teme voneinander abhängig sind. Oft werden Projekte durch ein System verzögert oder zu Fall gebracht, von dem niemand wusste, dass es Da- ten von der Plattform braucht, die aufgerüstet werden soll. Besonders groß ist dieses Risiko in Unternehmen, in denen die IT-Entwicklung auf die einzelnen Geschäftsbereiche verteilt ist. SECURITY MANAGEMENTSECURITY MANAGEMENTBIld: ©intueri - stock.adobe.com

Whitelisting vs. Blacklisting in Zeiten unvorhersehbarer Angriffe Der Grund liegt auf der Hand: Vi- renscanner haben sich etabliert, schützen hervorragend vor be- reits bekannter Schadsoftware. Die verhaltens- basierte Analyse stellt in den Augen der meis- ten Sicherheits-Experten ein großes Plus dar. Und doch bedingt das grundlegende Prinzip – nämlich Blacklisting –, dass unbekannte Soft- ware durchs Raster fällt und Viren in der Folge großen Schaden im Unternehmensnetzwerk und auf den Endpoints anrichten können. 30 IT-SICHERHEIT_2/2021 EFFEKTIVES TÜRSTEHER-PRINZIP Dabei geht es auch sicherer: mit Lösungen, die auf dem Whitelisting-Prinzip basieren. Die Funktion von Application Whitelisting (AWL) besteht in erster Linie darin, Computer vor der Ausführung schädlicher Anwendungen zu schützen. Beim Versuch des Starts einer Soft- ware auf einem mit einer Application Whitelist geschützten PC wird geprüft, ob die Software auf der Positivliste aufgeführt ist. Nur wenn das der Fall ist, ist eine Ausführung möglich. So wird eine komplette Endpoint Protection ge- währleistet. SICHERHEITSBEHÖRDEN RATEN ZU AWL Nationale Sicherheitsbehörden, wie das Bun- desamt für Sicherheit in der Informations- technik (BSI) oder das Australian Cybersecurity IT-Verantwortliche könnten sich derzeit in einem Paralleluniversum wähnen: Während an vielen Geschäften Sticker mit böse dreinblickenden Coronaviren und dem Spruch „Wir müssen draußen bleiben” kleben, setzen Admins und CISOs ihrerseits alles daran, dass Viren keinen Weg in ihr Firmennetzwerk finden. Dazu nutzt die überwiegende Mehrheit Virenscanner. Warum eigentlich?Whitelisting vs. Blacklisting in Zeiten unvorhersehbarer AngriffeDIE MÄR VON DER KOMPLEXEN WHITELISTCYBERSICHERHEIT

Centre, sprechen nicht erst seit gestern eine dringende Empfehlung für die Implemen- tierung von AWL-Lösungen aus (siehe auch Grundschutzkompendium 2018 des BSI oder Strategiepapier 2017 des ACSC). Und IT-Verant- wortliche wissen durchaus um den Sicherheits- vorteil gegenüber Blacklisting, den nicht zuletzt große Cyberangriffe immer wieder zementier- ten: DoppelPaymer, Emotet, Solorigate und Co. verhalfen kritischen Infrastrukturen, wie der Universitätsklinik Düsseldorf oder Unterneh- men wie SolarWinds, zu trauriger medialer Berühmtheit. Begriffe wie „Snake Oil” wurden verwendet, um scannerbasierten Produkten eine reine Scheinwirksamkeit zu unterstellen. Hierzu ist anzumerken, dass auch Whitelis- tinglösungen im Fall SolarWinds keinen Schutz hätten garantieren können, solange Admins die als vertrauenswürdig geltende SolarWinds- Software der Whitelist hinzugefügt hätten: Herr über jede Sicherheitslösung, ob nun Black- oder Whitelist-basiert, bleibt immer der Mensch. Die automatisierte Prüfung der Hashes gegen eine Trust-Level-Datenbank minimiert den bei Whitelists sonst üblichen Aufwand. (Quelle: SecuLution) Gleichzeitig nutzen zeitgemäße Lösungen den „Goldstandard“ der Authentiﬁzierung: Die Ver- wendung von kryptograﬁsch sicheren Hashes garantiert, anders als NTFS oder Rechteverer- bung nutzende Whitelists, dass ausschließlich eindeutig authentiﬁzierte Software ausgeführt WAS MODERNES APPLICATION WHITELISTING LEISTEN MUSS umfassenden Endpoint-Schutz mit Herstellergarantie minimierten Aufwand durch Automatisierung stets aktuelle Daten in der Cloud zentrale Konsole zur Verwaltung und Konﬁguration volle Datenhoheit kundenseitig auch ofﬂine maximale Sicherheit mittels Back-up IST WHITELISTING ZU AUFWENDIG? Das Argument, das IT-Security-Entscheider davon abhält, auf Application Whitelisting zu setzen, ist nachvollziehbar, wenn auch bei ge- nauem Hinsehen nicht (mehr) valide: Whitelists seien komplex und nur schwer zu verwalten, dies gelte insbesondere auch für das Aktuali- sieren der Listen. Moderne Application-White- listing-Ansätze haben diese Probleme durch einen hohen Grad an Automatisierung gelöst. werden kann. Hashes stellen damit das mit Abstand sicherste Verfahren der Authentiﬁzie- rung von Elementen dar, bringen aber auch die größten Anforderungen an die Verwaltung der AWL-Lösung mit sich. Doch, wir erinnern uns, die Aufwandsproblematik wurde inzwischen angegangen: Cloudbasierter Reputationsser- vice mit Hashes vertrauenswürdiger Software ermöglicht eine nahezu vollständige Auslage- rung des administrativen Aufwandes, sodass die Kritik der Blacklist-Befürworter hier grund- sätzlich nicht mehr greift. FAZIT Application-Whitelisting-Lösungen bieten ein deutlich höheres Schutzniveau als reine Blacklisting-Produkte und bedeuten heute in der Anwendung meist keinen Mehraufwand mehr gegenüber Virenscannern. Im entschei- denden Moment – dem Moment der Attacke durch ein unbekanntes Schadprogramm – versagen scannerbasierte Produkte häuﬁg. Obwohl auch Whitelisting-Lösungen, wie am Fall SolarWinds beschrieben, menschliche Fehler niemals deﬁnitiv werden ausschließen können, so bilden sie doch einen zuverlässi- gen Baustein für ein effektives IT-Sicherheits- konzept. n TORSTEN VALENTIN, Gründer und CEO der SecuLution IT-SICHERHEIT_2/2021 31 CYBERSICHERHEITBilder: ©amoghdesign | ©DragonImages - stock.adobe.com

EINDÄMMEN nen erheblichen Zeitvorteil und können somit die Folgen eines Security-Vorfalls minimieren. Die Sicherheitsfachleute leisten bereits im Vor- feld eines möglichen Angriffs wichtige Hilfe. So können sie beispielsweise einen Notfallplan formulieren, der Mitarbeitenden die richtige Verhaltensweise vorstrukturiert. VERHALTEN BEI IT-NOTFÄLLEN ✓ Notfall dem verantwortlichen IT-Mitarbeiter melden ✓ Wer meldet den Vorfall? ✓ Welches IT-System ist betroffen? ✓ Wie wurde mit dem IT- System gearbeitet, was wurde beobachtet? ✓ Wann ist das Ereignis eingetreten? ✓ Wo beﬁndet sich das betroffene IT-System (Gebäude, Raum etc.)? DIE SCHLUMMERNDE BEDROHUNG IM FIRMEN- NETZ Laut dem aktuellen Allianz Risk Barometer zählen Cyberattacken zu den größten Gefahren für Unternehmen. Viele Betriebe machen sich selbst zum leichten Ziel für Cyberkriminelle, da sie die elementaren Cybersecurity-Regeln nicht befolgen. Viele IT-Verantwortliche versäumen es, ausreichend Budget für IT-Sicherheitsmaß- nahmen einzuplanen, um beispielsweise den Wissensstand ihrer Mitarbeiter zur aktuellen Bedrohungslage auf den neuesten Stand zu bringen. „IT-Sicherheit generiert keinen Pro- ﬁt“ ist ein vielzitiertes Totschlagargument – und leider falsch. Führungskräfte sollten sich vielmehr die Frage stellen, ob und wie lange ihr Unternehmen im Schadensfall wirtschaft- lich lebens- und handlungsfähig ist, wenn das Netzwerk entgegen aller Erwartungen doch einmal ausfällt. Vorsorge ist nämlich im Bereich IT-Sicherheit nicht nur ökonomischer, sondern auch robuster als Nachsicht. Eine effektive IT- Sicherheitsstrategie besteht nämlich nicht nur aus bewährten und geprüften IT-Sicherheits- maßnahmen. Ein Notfallplan für den Ernstfall ist ebenso essenziell, will man großen ﬁnanziellen Schaden von vornherein ausschließen oder die- sen zumindest begrenzen. Es braucht nicht viel, um Cyberkriminellen das Tor ins Unternehmensnetzwerk zu öffnen: Ein falscher Klick in einer Phishingmail, ein schlecht gesicherter Rechner, oder eine ungepatchte kritische Sicherheitslücke, wie beispielsweise die aktuelle Exchange-Lücke, reichen hierfür bereits aus. Besonders gefährlich ist, dass die Angreifer sich oft über Wochen und Monate unbemerkt im Netzwerk einnisten. Wenn nicht zufällig ein aufmerksamer IT-Mitarbeiter Un- IT-SICHERHEIT_2/2021 IT-SICHERHEIT_2/2021 33Es gibt Sicherheitsbestimmungen, die keiner Erklärung bedürfen, wie beispielsweise zur Ersten Hilfe oder beim Brandschutz. Die Fluchtwege beim Feu-eralarm sind bekannt, der Erste-Hilfe-Kasten ist gut sichtbar und zugänglich platziert. Bei IT-Sicherheitsvorfällen (Incidents) zeigt sich leider oft ein anderes Bild. Hier wissen die Angestell-ten in der Regel nicht, wie sie reagieren sollen und welchen Notruf sie wählen müssen. Grund-voraussetzung dafür ist, dass Mitarbeitende zunächst einmal in der Lage sind, einen Notfall als solchen zu identiﬁzieren. Je früher ein Vorfall bemerkt und gemeldet wird, desto besser las-sen sich die Folgen eindämmen.Auf Incident Response spezialisierte Firmen unterstützen Unternehmen bei der Rettung und Wiederherstellung ihrer Daten und verhin-dern eine weitere Ausbreitung von Malware innerhalb der IT-Infrastruktur. Das Cyberrisiko verschärft sich stetig, weshalb sich viele Firmen für eine langfristige Zusammenarbeit mit Fach-leuten entscheiden und eine Kooperation schon vor dem Eintritt des Worst-Case-Szenarios vereinbaren – einen sogenannten Incident Re-sponse Retainer. Ziel dieser Absicherung ist die bestmögliche Resilienz gegen IT-Sicherheitsvor-fälle. Weiterhin sichern sich Firmen durch einen solchen Retainer die dauerhafte Einsatzbereit-schaft der erfahrenen IT-Experten und können dadurch schnell auf Vorfälle reagieren. Durch den kontinuierlichen Informationsaustausch verschaffen sich Unternehmen im Ernstfall ei-CYBERSICHERHEITBilder: ©iJL-art | ©pattilabelle - stock.adobe.comEin erfolgreicher Cyberangriff setzt Unternehmen unter Druck: Wenn das Tagesgeschäft zum Stillstand kommt, ist ein finanzieller Schaden unvermeidlich. Neben dem Verlust durch die entgangene Produktion kommen zusätzliche Kosten für die Wiederherstellung der Daten hinzu. Es gibt jedoch geeignete Maßnahmen zur Vorsorge gegen IT-Sicherheitsvorfälle.

regelmäßigkeiten entdeckt, ist es in der Regel erst der gesperrte Bildschirm, auf dem etwa ein Totenkopf mit Lösegeld-Forderung erscheint, der eine Ransomware-Attacke offenbart. Ab diesem Zeitpunkt kostet jede Minute bares Geld. Spätestens jetzt sollten Verantwortliche qualiﬁzierte Experten im Bereich Incident Res- ponse einschalten, um zu retten, was noch zu retten ist und um die Systeme schnellstmöglich wiederherzustellen. EINE GUTE VORBEREI- TUNG SPART GELD UND KUMMER Eine Zusammenarbeit mit Incident-Response- Spezialisten ist für Unternehmen in vielerlei Hinsicht von Vorteil. Im Fall eines Angriffs lassen sich nämlich teure Ausfallzeiten vermeiden, da im Vorfeld eine Recovery-Strategie deﬁniert wurde. Dadurch schaffen Unternehmen beste Voraussetzungen für eine schnelle Wieder- herstellung aller IT-Systeme. Ein spezialisier- tes Incident-Handling-Team kümmert sich im Notfall umgehend um alle betroffenen Systeme. Denn sollte es zu einem großﬂächigen Angriff kommen, der mehrere Unternehmen gleichzei- tig trifft, haben Firmen ohne Rahmenvereinba- rung das Nachsehen und müssen sich folgerich- tig hintenanstellen. Firmen mit Incident Response Retainer proﬁ- tieren auch in ruhigen Zeiten von der Expertise ihrer IT-Feuerwehr. Diese beraten zu präventi- ven Maßnahmen und helfen mit, die IT-Sicher- heit ihrer Kunden laufend zu verbessern. Durch gezielte Penetrationstests decken die Fachleute technische und organisatorische Schwachstel- len auf, sodass Unternehmen diese schließen können – angefangen bei der Segmentierung von Netzwerken über die Härtung von Syste- men und Back-up-Prozessen bis hin zu Remote- Zugängen und Bring-Your-Own-Device-Policies. Nicht zuletzt sichern sich die Unternehmen durch den Rahmenvertrag feste Stundensätze. Diese sind günstiger als die regulären Honorare, die außerhalb eines Retainers von den Experten veranschlagt werden. UNSCHÄTZBARE HILFE, WENN ES ERNST WIRD Um den Schaden eines IT-Sicherheitsvorfalls so gering wie möglich zu halten, ist schnel- 34 IT-SICHERHEIT_2/2021 les Handeln entscheidend. Incident Responder analysieren die Systeme zunächst mit spezi- ellen Tools, um befallene Systeme restlos von schadhaftem Code zu befreien. Zunächst gilt es, das Problem einzugrenzen sowie den be- reits entstandenen Schaden abzuschätzen, die genutzte Schadsoftware zu identiﬁzieren und zu prüfen, ob die Täter zusätzliche Werkzeuge eingesetzt haben. Im gleichen Zuge untersu- chen die Fachleute den Einfallsweg der Angrei- fer ins System. Alle Lücken müssen daraufhin geschlossen werden, um das Nachladen von weiterer Schadsoftware und das Abgreifen von Firmendaten zu verhindern. Ein wesentlicher Punkt im IT-Notfall ist die Wiederherstellung kompromittierter Daten. Das Vorgehen hierbei sollten Unternehmen bereits in der Back-up- Strategie berücksichtigen. Hat eine Firma die Sicherung getrennt vom Netzwerk aufbewahrt, können die Incident-Response-Fachleute auf eine unverschlüsselte Datenbasis zugreifen und das Unternehmen schnell wieder vollum- fänglich arbeitsfähig machen. Komplizierter ist es, wenn beim Angriff die Back-ups ebenfalls verschlüsselt wurden. EIN ÜBERSTANDENER ANGRIFF GARANTIERT KEINE IMMUNITÄT FÜR DIE ZUKUNFT Nach einem erfolgreichen Reboot der IT-Infra- struktur ist die Arbeit der Fachleute aber noch lange nicht beendet. Es empﬁehlt sich, die aus- genutzten Schwachstellen zu schließen und so- mit die IT-Sicherheit gegen künftige Angriffe zu verstärken. Aus der bisherigen Erfahrung lassen sich drei einfache Maßnahmen zur Verbesse- rung der IT-Sicherheit und damit auch der Reak- tionsfähigkeit im Ernstfall ableiten: 1. Die Logs müssen großzügig eingestellt wer- den, sodass die IT-Mitarbeiter auf einen Zeit- raum von mindestens einer Woche (optimal wäre ein Monat) zurückblicken können. Diese Daten sind im IT-Notfall von unschätzbarem Wert, um den Notfall zu rekonstruieren. 2. Back-ups sind die Lebensversicherung und sollten getrennt vom Netzwerk gespeichert werden. Optimal wäre die Ablage aller ge- schäftskritischen Daten auf Datenträgern in abgeschlossenen Schränken. Denn die Erfahrung zeigt, dass Angreifer gezielt im Netzwerk nach Back-ups suchen und diese zerstören oder verschlüsseln, um den Druck auf die Opfer zu erhöhen. 3. Jeder Administrator sollte zusätzlich zu den normalen Benutzerkonten ein persönliches Admin-Konto besitzen. Darüber hinaus ist es sinnvoll, für die Administration an der Do- main und am Active Directory separate, nut- zergebundene Admin-Konten vorzuhalten. Dies ist mit einigem Aufwand verbunden, erleichtert jedoch die Wiederherstellungsar- beiten enorm. Denn im Schadensfall lässt sich dadurch der Hergang des Angriffs deutlich detaillierter nachvollziehen. Wenn sich näm- lich mehrere Admins einen Zugang mit einem schwachen Passwort teilen, fallen verdächti- ge Aktionen kaum auf. Heute stellt sich nicht mehr die Frage, ob ein Unternehmen einer Cyberattacke zum Opfer fällt, sondern vielmehr wann. Unternehmen, die sich auf dieses Szenario vorbereiten und externe Fachleute um Unterstützung bitten, handeln weitsichtig und verantwortungsvoll. Sie sichern auch im Schadensfall das Überleben des eige- nen Unternehmens und sind nach einem IT- Vorfall schneller wieder handlungsfähig. n HAUKE GIEROW, Sicherheitsexperte bei G DATA CyberDefense CYBERSICHERHEIT

IMPRESSUM www.itsicherheit-online.com in Kooperation mit Fakten und Perspektiven der IT im Gesundheitswesen JOURNAL www.krankenhaus-it.de SPECIAL: IT-Sicherheit im Krankenhaus Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 9d · 50226 Frechen www.datakontext.com Chefredaktion: Stefan Mutschler (S.M.) E-Mail: stefan-mutschler@t-online.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz Leitung Online herz@datakontext.com +49 2234 98949 -80 Silvia Klüglich Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. Dirk-M. Barton, Walter Er- nestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan- Peter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Graﬁk/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 27 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 98,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abon- nement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Graﬁsches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfälti- gung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzu- lässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: ©sasun Bughdaryan - stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; ©Technogroup IT-Service GmbH/Annika List; Christian Horn | www.fotograﬁe-christian- horn.de; ©istock.com/ADK-photography, ©iStock.com/ ipopba,©iStock.com/SDI Productions, ©iStock.com/ipopba, ©iStock.com/xijian; ©iStockphoto.com/Deagreez, ©istockphoto. com/LeoWolfert; © 2019 Shutterstock, ©sfam_photo/ Shutterstock.com; ©Getty Images/PeopleImages; © (adam121, artinspiring, AlexBlogoodf, bestber, bestber, diy13, elenabsl, elenabsl, everythingpossible, Gorodenkoff, HNFOTO, ipopba, Lime, LuckyStep, mast3r, sasun Bughdaryan, maxsim, natali_mis, CarryLove, Paulista, sudok1, Thaut Images, utah51, WhataWin) - stock.adobe.com 27. Jahrgang 2021 · ISSN: 1868-5757 EDITORIAL Liebe Leser, die Corona-Pandemie stellt die Krankenhäuser in Deutschland vor eine extreme Belastungssituation. Für ein „digitales Update“ stellen Bund und Länder mit dem Krankenhauszukunftsgesetz (KHZG) 4,3 Milliarden Euro bereit, damit Kranken- häuser unter anderem in moderne Notfallkapazitäten und die Digitalisierung investieren können. Mit voranschreitender Digitalisierung muss auch die Sicherheit der IT-Infrastruktur in hohem Maß sichergestellt werden. Besonders das KHZG besagt ausdrücklich, dass mindestens 15 Prozent der gewährten Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit zu verwenden sind (§ 14a Absatz 3 KHZG). Da Krankenhäuser laut aktuellen Studien vermehrt von Cyberattacken mit Ransomware und Phishingmails bedroht sind, kommt diese Maßnahme genau zur richtigen Zeit – denn ein Ausfall der IT in einem Krankenhaus muss mit aller Gewalt verhindert werden. Ein Virus ist genug! Diese Ausgabe soll Ihnen dabei helfen, einen Überblick über die Konzepte, Strategien und Produkte am Markt zu erhalten. Nutzen Sie diese Informationen für die passgenaue Lösung bei der Bedrohungslage für Ihr Haus. Wir wünschen Ihnen viel Spaß beim Lesen! Ihr Kim Wehrs Kim Wehrs Liebe Leser, die Digitalisierung hat weltweit ein hohes Tempo aufgenommen – massiv befeuert durch die Auswirkungen der Pandemie. Auch wenn Deutschland hier nicht gerade als Vorreiter gilt – laut EU-Index für die digitale Wirtschaft und Gesellschaft (DESI) für 2020 kommen die Dichter und Denker nur auf den 12. Platz – doch ohne funktio- nierende IT würde auch hier das Leben stillstehen.. Mit jedem Gerät, das neu ins Netz geht, steigt gleichzeitig die Abhängigkeit von der IT. Das macht die Gesellschaft auf einem Feld verwundbar, auf dem sich konstruktive und destruktive Kräfte in einen permanenten Wettlauf beﬁnden – Letztere aber keine noch so hinterhältige und ﬁese Methode auslassen, um sich einen Vorteil zu verschaf- erschaf erschaf fen. Dass oft global gut vernetzte und technisch vom Feinsten ausgestattete Cyberkri- minelle auch vor Krankenhäusern nicht Halt machen, zeigte der Fall am Uniklinikum Düsseldorf vergangenes Jahr auf dramatische Weise. Das Krankenhauszukunftsge- setz, das mit einem 4,3 Milliarden Euro schweren Fördertopf als Digitalisierungshilfe auf den Weg gebracht wurde, will ausdrücklich auch die IT-Sicherheit stärken. Unternehmen und Organisationen aller Art zu unterstützen, im Rahmen ihrer Digitalisierung eine erfolgreiche Verteidigung aufzubauen, ist das Kernanliegen von IT-SICHERHEIT – und das übrigens schon seit 27 Jahren. Gemeinsam mit unserem Kooperationspartner Krankenhaus-IT-Journal haben wir dieses Special ins Leben gerufen. Sie ﬁnden hier neben strategischer und technischer Unterstützung auch wich- tige Infos für einen aussichtsreichen Fördermittelantrag sowie einen Orientierungs-Guide mit einem Großteil der relevanten Security-Anbieter. Viel Freude und Erfolg mit dem gemeinsamen Produkt! Ihr Stefan Mutschler Stefan Mutschler SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 3

Inhalt 22 Gesundheitswesen verlagert Netzwerkmanagement in die Cloud Technologischer Fortschritt und IT-Sicherheit im Einklang 3 6 7 8 Editorial Digitalisierungs-Zuschuss soll auch fit für das Patientendaten-Schutz-Gesetz machen Krankenhäuser – doppelt gefördert, aber auch gefordert Sechs Tipps zur Auswahl einer E-Mail-Security- Lösung für Krankenhäuser Den Fördertopf gezielt nutzen Herausforderung bei der Suche eines passenden IT-Dienstleisters Sicherheit muss immer mit auf dem Schirm sein 10 Digitalisierung im Krankenhaus Sicherheit immer dabei 11 Effizient und DSGVO-konform E-Mail-Daten aufbewahren E-Mail: Backup oder Archivierung? 12 Interview: Ransomware den Schrecken nehmen Prävention für den IT-Notfall 13 Verteidigung sensibler Patientendaten durch Verschlüsselung Abwägungen in Sachen Cloud 14 Einfache Authentifizierung im Gesundheitswesen Offene Standards sind Trumpf 15 Mehr Patientendaten-Leaks und Cyberangriffe 2021 Gesundheitswesen unter Feuer 16 Wie sich die Ausfallsicherheit erhöhen lässt und gleichzeitig Wartungskosten sinken Drittwartung: Günstig „always on“ im Krankenhaus 17 Den Fokus auf das Schwachstellen- management im Krankenhaus legen Wie sichere IT jetzt umsetzbar ist 18 COVID-19-Impfung als Aufhänger für E-Mail-Angriffe Anstieg von Impfstoff-bezogenem Phishing 19 Nach dem Angriff auf das Uniklinikum Düsseldorf Mit KI gegen Ransomware 20 Patient Krankenhaus: IT-Gesundheit beginnt mit starken Endpunkten Security-Experten empfehlen den „Multi-Secured Endpoint“ 21 Die Cloud als Security-Therapie im Krankenhaus Mit Zero Trust zu mehr Sicherheit 4 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 23 Kluges Zugangsmanagement im Gesundheitswesen beugt Cyberangriffen und Datendiebstahl vor Falsche Ärzte – wahre Hacker 24 Herr über die eigenen Daten bleiben Digitale Prozesse helfen heilen 25 E-Mail als Basiskommunikations technologie im Gesundheitswesen Sicher und DS-GVO-konform? 26 Das Internet der medizinischen Dinge – ein bislang zu wenig beachteter Risikofaktor Hightech am Krankenbett – Lowtech bei der Sicherheit Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter Anbieter 28 Expertenteams in Zeiten gezielter Cyberangriffe immer wichtiger Gefahr erkannt, Gefahr gebannt: Wie geht gutes Threat Hunting? 29 Attacken im Stealth-Modus mit kommunizierenden Systemen stoppen Malware denkt (leider) mit – und IT-Teams müssen umdenken 30 IT-Sicherheit kann Leben retten 32 Krankenhaus digital Schritt für Schritt und ressourcenschonend zur modernen Netzwerkinfrastruktur 34 Datenschutzkonform mit externen Forschern zusammenarbeiten 36 Bedrohungen schneller erkennen und eindämmen 37 Ist ihr IT-System für sämtliche Angriffswege gerüstet? 38 Krankenhauszukunftsfonds Greenbone Networks bietet 100 Prozent förderfähiges Lösungs-Paket „SecureHealth“ 40 Patientendaten in Kliniken nicht ausreichend geschützt Identity- und Access-Management schließt Sicherheitslücken 41 tenfold – Next Generation Access Management 42 Sichere E-Mail-Übertragung: Einschalten, E-Mails schreiben, fertig. Erfahren Sie, wie.

43 Garantierter Schutz vor Schadsoftware mit Expertise im Gesundheitswesen Endpoint-Sicherheit in Kliniken: Nichts dem Zufall überlassen! 44 Warum das Gesundheits wesen einen betriebs zentrierten Ansatz zur Cybersicherheit braucht 46 Kliniken und Krankenhäuser brauchen mehr IT-Sicherheit Hacker haben immer öfter das Gesundheits- wesen im Fokus 47 Drucktechnologie Made in Germany 48 IT-Sicherheit im Krankenhaus: Nicht ohne den Faktor Mensch 50 E-Mail-Sicherheit über das Konjunktur- programm verbessern 52 Notfallpatient Datensicherheit 54 Krankenhauszukunft: Rundum sicher und gesetzeskonform 55 IT-Sicherheit im Krankenhaus Umsetzung von B3S für Krankenhäuser mit DocSetMinder 56 Retarus ermöglicht sichere Kommunikation im Gesundheitswesen 57 Wenn alle Daten verschlüsselt sind Backup ist die letzte Rettung 60 Controlware Cyber Defense Services Idealer Schutz für Krankenhäuser und medizinische Einrichtungen 61 MailStore Server: effiziente und datenschutz konforme E-Mail- Archivierung im Krankenhaus 62 Web-Isolation im Krankenhaus Gesundes Sicherheitsniveau 64 Patient Krankenhaus: Impfstoff für die IT-Infrastruktur 66 IT- und Cybersicherheit: Patientendaten und Netzwerke gleichermaßen geschützt 68 Digitalisierung im Gesundheitswesen: sicher mit Verschlüsselung 69 Krankenhauszukunftsgesetz fordert Maßnahmen für IT-Sicherheit: Worauf Krankenhäuser bei der Bedarfsanmeldung achten müssen 70 Boxcryptor: Cloud-Sicherheit „Made in Germany“ für die Gesundheits branche 72 KI-gestützte Angriffe und der Kampf der Algorithmen Inhalt 74 Integrierte Prozess digitalisierung zum Schutz kritischer Infrastrukturen (KRITIS) Oder die Grenzen von Excel und E-Mail in den einzelnen Silos 76 Gefährliche Cyberattacken: Krankenhäuser systematisch sichern 78 Patientendaten zuverlässig schützen 80 Digitalisierung im Krankenhaus, aber sicher 82 Damit Digitalisierung nicht zum Gesundheitsrisiko wird: IT-Sicherheit für Krankenhäuser 83 Micro Data Center: Kleines Rechen zentrum mit großem Nutzen 84 Ein digitalisiertes Gesundheitswesen muss auch sicher sein 86 IT-Abteilung entlasten durch neue Wege in Support und Wartung 88 Z1 HealthSecure schützt Ihre E-Mail- Kommunikation im Gesundheitswesen Secure E-Mail Gateway | KHZG – Fördertatbestand 10 90 Als Klinik mehr Digitalisierung wagen 92 Mehr Cybersicherheit ist gefragt: Warum Deutschlands Kliniken jetzt handeln müssen 94 Der digitale Arbeitsplatz „Made in Germany“ für das Gesundheitswesen Ihr Weg zu einem sicheren Datenaustausch – ohne Risiken und Nebenwirkungen 96 Moderne und sichere IT für das Gesundheitswesen Das Krankenhauszukunftsgesetz ist erst der Anfang 98 Wenn IT-Sicherheit zum Lebensretter wird 100 „Sicherheit ja, aber ich möchte mein KeePass behalten …“ Pleasant Password Server kennt die Nöte der IT-Admins 101 Netzwerke Made in Germany Das sichere Rückgrat moderner Klinik-IT 102 It’s all about Access: Zugänge kontrollieren, Mitarbeiter und Patienten schützen 104 Durch das Zukunftsprogramm für Krankenhäuser fließen Gelder für die IT-Sicherheit IT-Sicherheits-Update für Krankenhäuser SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 5

Digitalisierungs-Zuschuss soll auch fit für das Patientendaten-Schutz-Gesetz machen Krankenhäuser – doppelt gefördert, aber auch gefordert Im Rahmen des Konjunkturpakets zur Bewältigung der Corona-Pandemie stellt die Bundesregierung mit dem Kranken- haus zukunftsgesetz 3 Milliarden Euro bereit, um digitale Technologien an Kranken häusern zu fördern. Einen zwei- ten Fördertopf schießen die Länder und Klinikträger zu – mit weiteren 1,3 Milliar- den Euro. 15 Prozent der Förderung sind für IT-Sicherheit zu nutzen – ein klarer Wink, auch in angemessene Maßnahmen zur Datensicherheit zu investieren. Sicher eine gute Idee, denn ab 2022 wird das Patientendaten-Schutz-Gesetz für alle Krankenhäuser bindend. I n Sachen Digitalisierung schneiden deutsche Kranken- häuser im internationalen Vergleich nicht gut ab. Der Di- gitalisierungsgrad liegt, laut Krankenhausreport 2019, bei 33 Prozent – in vielen anderen Ländern Europas laufen da- gegen schon die Hälfte der Prozesse in Krankenhäusern digi- tal ab. Krankenhäuser geraten zudem immer häuﬁger ins Vi- sier von Cyberkriminellen. Ein damit verbundener IT-Ausfall kann gravierende Folgen haben, beispielsweise wenn lebens- bedrohlich erkrankte Patienten erst später behandelt werden können oder Neuaufnahmen von Patienten nicht möglich sind. Sind die IT-Sicherheitsmaßnahmen immer auf dem neu- esten Stand, können solche Risiken minimiert werden. Daher gilt ab 1. Januar 2022 auf Basis des Patientendaten-Schutz-Ge- setzes, dass alle Krankenhäuser, egal welcher Größe, „ange- messene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer in- formationstechnischen Systeme, Komponenten oder Prozesse“ treffen müssen. Branchenspezifischer Sicherheitsstandard (B3S) für alle Kliniken Bisher sind nur Kliniken mit mehr als 30.000 vollstationä- ren Fällen pro Jahr dazu verpﬂichtet, geeignete IT-Sicherheits- maßnahmen zu treffen, die dem Paragrafen 8a des Gesetzes des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen. Diese Kliniken gehören zur „Kritischen In- frastruktur“ (KRITIS). Durch Gesetzesbeschluss von September 2020 müssen auch kleinere Kliniken die gesetzlichen Vorgaben erfüllen – dies regelt der neue Paragraf 75c im Sozialgesetz- buch V (SGB V). Der Paragraf empﬁehlt ausdrücklich den branchenspeziﬁ- schen Sicherheitsstandard (B3S) der Deutschen Krankenhaus- gesellschaft (DKG). In seiner nächsten Version soll er speziel- le Regelungen für all jene Krankenhäuser enthalten, die unter dem Schwellenwert gemäß KRITIS-Verordnung liegen. Dies soll kleineren Kliniken helfen, die Maßnahmen zur Verbesse- rung ihrer IT-Sicherheit nach anerkanntem Standard umset- zen zu können. Krankenhäuser sollten jetzt ihre IT-Sicherheitsmaßnahmen überprüfen „Krankenhäuser sollten schnellstmöglich damit beginnen, angemessene IT-Security-Maßnahmen zu treffen oder diese zu aktualisieren, denn die gesetzte Frist bis zum 1. Januar 2022 klingt fern, ist aber knapp. Wir empfehlen dringend, sich am B3S zu orientieren“, so Jens Linstädt, Product Compliance Ma- nager Healthcare bei TÜV SÜD Management Service. Haben sie Maßnahmen zur IT-Sicherheit ergriffen, müssen Krankenhäu- ser diese spätestens alle zwei Jahre auf den aktuellen Stand der Technik prüfen. Zwar besteht für Nicht-KRITIS-Krankenhäuser keine Nachweis- oder Meldepﬂicht, trotzdem rät der Experte zu einer externen Prüfung: Im Schadensfall gilt sie als stichhalti- ger Beleg für angemessene IT-Sicherheitsmaßnahmen. Fördermöglichkeiten frühzeitig beantragen Die anfangs erwähnten Fördermittel im Rahmen des Kran- kenhauszukunftsgesetzes beinhalten auch Unterstützung bei organisatorischen und technischen Maßnahmen im IT-Sicher- heitsmanagement. Krankenhausträger sollten diese Förder- möglichkeiten frühzeitig beantragen, da die verfügbaren Mittel anteilig zugewiesen werden, bis sie ausgeschöpft sind. Infor- mationen dazu ﬁnden sich auf den Websites des Bundesminis- teriums für Gesundheit und des Bundesministeriums der Jus- tiz und für Verbraucherschutz. Anfang Dezember vergangenen Jahres veröffentlichte das Bundesamt für Soziale Sicherung zu- dem neue Förderrichtlinien. Demzufolge müssen Krankenhäu- ser, wenn sie Fördermittel aus dem Krankenhauszukunftsfonds für Digitalisierungsprojekte beantragen, den Erfolg nachweisen. Belegbar ist dies beispielsweise durch eine Zertiﬁzierung nach S.M. ISO 27001 oder eine Prüfung nach B3S. n 6 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

Sechs Tipps zur Auswahl einer E-Mail-Security-Lösung für Krankenhäuser Den Fördertopf gezielt nutzen E-Mail-Kommunikation ist in vielen Krankenhäusern die Achillesferse der IT-Sicherheit. Begünstigt durch die Fördermittel des Krankenhaus zukunfts gesetzes (KHZG) suchen viele Häuser derzeit eine neue E-Mail-Security- Lösung. Da Krankenhäuser spezifische Anforderungen haben, lohnt sich ein detaillierter Blick darauf. H äuﬁg fehlte es in Kliniken dem Bundesamt für Si- cherheit in der Informationstechnik (BSI) zufol- ge am ﬁnanziellen Budget, um die notwendigen Grundlagen für mehr IT-Sicherheit zu schaffen. Da kommen die KHZG-Mittel zum Austausch der E-Mail-Security-Lösung gerade recht. Bei der Auswahl einer neuen E-Mail-Security- Infrastruktur sollten Krankenhäuser ihre speziﬁschen Anfor- derungen als Checkliste verwenden: 1. Benutzerfreundlich und robust Der Zugriff auf Patienteninformationen erfolgt oft im Kontext der Behandlung und in kritischen Situationen. Die E-Mail-Security-Lösung darf hier keinen Mehraufwand er- fordern oder die Entschlüsselung einer E-Mail fehlschlagen. Niemand vom medizinischen Personal will sich mit Zertiﬁka- ten herumschlagen. Lösungen, die robust und automatisiert im Hintergrund arbeiten und so einen hohen Benutzerkom- fort bieten, sind somit klar im Vorteil. Eine wichtige Bewer- tung bietet hier das unabhängige jährliche User-Ranking von techconsult. 2. Gateway-basiert Die Anzahl netzwerkfähiger Geräte im Krankenhaus ist auch durch die Medizintechnik massiv gewachsen. Zwar ist die Zahl der E-Mail-fähigen Clients geringer, aber das Manage- ment der Geräte bleibt eine Herausforderung. Zentrale Gate- way-Lösungen haben hier gegenüber allen Client-basierten Technologien deutliche Vorteile und entlasten die IT. 3. Kontrollierte Offenheit und Standards Die Vernetzung der Ärzteschaft in Forschungsprojek- ten erfordert E-Mail-Kommunikation mit vielen externen Teilnehmern – national wie international. Hier muss die Lö- sung, beispielsweise ein Excel-Dokument mit wichtigen Stu- diendaten, sicherzustellen können, ohne gleich ein Scheunen- tor für Malware und Trojaner aufzumachen. Dazu braucht sie eine feingranulare Steuerung, wirksame Reputationsprüfung, selbstlernende White-Lists und eine zentrale Malware Intel- ligence. Auch muss sie eine sichere und einfache Verschlüs- selung und den Transfer großer Datenmengen ermöglichen. Häuﬁg vorgeschlagene proprietäre Übertragungsverfahren oder Portallösungen haben den Nachteil, dass nicht alle Kom- munikationspartner über die erforderliche Technik oder Zu- gänge verfügen. Zudem öffnen sie neue Sicherheitslücken, wenn sie nicht durch die IT-Abteilung kontrolliert werden, und der zusätzliche Aufwand für die Verwaltung der Zugän- ge ist immens. 4. Automatisierte Sicherheit Die Schutzwirkung von User Awareness im Kranken- haus ist durch häuﬁg wechselndes Personal und enormen Zeitdruck deutlich verringert. Wo immer Schutz automatisiert hergestellt werden kann, sollte das geschehen. Zudem sollte die E-Mail-Security-Lösung besonders sensibel auf Angriffs- methoden, wie CEO-Fraud und Social Engineering, reagieren können. Auch hier sind Lösungen mit intensiver Prüfung der Absenderreputation im Vorteil. 5. Efﬁziente Administration Hoher Personalbestand und hohe Fluktuation machen die IT-seitige Administration einer Lösung schnell zum Alb- traum, wenn diese nicht weitgehend automatisiert werden kann. Eine tiefe Integration mit AD-Gruppen und vollständig automatisierte Zertiﬁkatsverwaltung sind unverzichtbare Auswahlkriterien. 6. Made in Germany Auch E-Mail-Security-Lösungen vernetzen sich zu- nehmend für Cloud-Intelligenz. Mit Lösungen aus Deutsch- land sind Gesundheitseinrichtungen in Sachen Datenschutz auf der sicheren Seite. Zudem bieten lokale Hersteller in der Regel schnelleren und besseren Support. Krankenhäuser sollten mit dem Rückenwind der KHZG- Mittel jetzt eine leistungsfähige und zukunftssichere E-Mail- Security-Lösung einführen. Die Bedrohungslage nimmt stetig zu, Mittel stehen bereit, und es gibt gute Produkte, die den spe- ziﬁschen Bedarf im Krankenhaus efﬁzient decken und schnell einzuführen sind. n Bernd Hoeck, freier Journalist und IT-Experte SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 7

Herausforderung bei der Suche eines passenden IT-Dienstleisters Sicherheit muss immer mit auf dem Schirm sein Das Gesundheitswesen zeichnet sich durch besonders vielfältige und komplexe IT-Um- gebungen sowie strenge Compliance-Vorgaben aus. Die fortschreitenden Innovationen und Investitionen in die Digitalisierung machen die Suche nach einem passenden IT-Dienst leister nicht einfacher. IT-Sicherheit und -Risiken spielen für die IT-Fragen eine entscheidende Rolle. Die Auswirkungen, die mit dem Ausfall oder der Beeinträchtigung von IT-Systemen verbunden sind, sind erheblich. Geeignete Maßnahmen sind zu tref- fen, um Störungen und Ausfallzeiten kurz-, mittel- oder längerfristig zu überbrücken. B eim Einholen von Angeboten bezüglich IT-Services und IT-Dienstleistungen spielen viele Faktoren eine Rolle. Zu den wichtigsten zählen: Herausforderung an die fachgerechte Erstellung einer Anforderungsbeschreibung und des Leistungsumfangs Beurteilungsfähigkeit und Fachlichkeit Berücksichtigung individueller funktionaler und nicht funktionaler Anforderungen, IT-Infrastrukturen, der Geschäftsprozesse und geforderten Zertiﬁzierungen Marktposition und Marktmacht der Anbieter Geschäftsmodelle der Anbieter (Lizenz-, Servicemodelle, Leistungsbündelung) Hohe Investitions- und Projektkosten Steuerung der Services Abhängigkeiten und Risiken bei einer Fehlentscheidung Hohe Wechselkosten Erhalt der Innovationskraft Anforderungen an IT-Sicherheit und Datenschutz Service-, Reaktionszeiten, Erreichbarkeiten und auch Vorfalls- beziehungsweise Notfallmanagement Neben vielen objektiven Kriterien ist dem Vertrauen bei der Zusammenarbeit mit einem IT-Dienstleister eine heraus- ragende Bedeutung beizumessen. Denn laut statistischem Bundesamt gibt es in der entsprechenden Klassiﬁkation der Wirtschaftszweige (WZ-Code) über 92.700 IT-Dienstleister al- lein in Deutschland. Beim Suchprozess können sich daher folgende Fragestel- lungen ergeben: Wie ﬁnde ich nun als Einkäufer oder Unter- nehmen den passenden Partner für mich und meine IT-In- frastruktur im Einklang mit meinen Nutzeranforderungen? Benötige ich gar schon externe Hilfe bei der Suche und Aus- wahl der Dienstleister auf Basis der erhobenen Anforderun- gen und meines IT-Verbunds? Insbesondere in Notfällen, wie sie zum Beispiel in den letz- ten Wochen durch die Schwachstellen bei auch in Kranken- häusern häuﬁg eingesetzten MS-Exchange-Servern aufge- kommen sind, spitzt sich diese Problematik weiter zu. Diese Sicherheitsvorfälle demonstrieren einmal mehr die Notwen- digkeit einer schnellen Reaktionsfähigkeit im Unternehmen. Um Vorfällen zeitnah begegnen und die Komplexität der IT im Notfall beherrschen zu können, müssen Sofortmaßnahmen 8 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - f f o k n e d o r o G © : d l i B

und Rollen geregelt sein. Diese Maßnahmen treffen ebenfalls nach der Analyse des besonderen Schutzbedarfs der IT- und Anwendungen auf die zu veranlassende Priorisierung im Not- fall zu. Häuﬁg ist die Handlungskette – bestehend aus Schutz- bedarfsanalyse, Business Impact Analyse, Risikoerfassung, Risikobewertung, und Ableitung von Gegenmaßnahmen, Notfallplanung, Wiederanlaufplanung (BCM), Notfallvorsor- geplanung und auch Übungs- und Testplanung – nicht aus- reichend ausgeprägt. Die sich daraus ergebenden Schäden durch Betriebsbeein- trächtigungen oder -unterbrechungen, Einschränkung von Services, Kosten der Behandlung der Vorfälle, Kosten der Wie- derherstellung von Systemen und Kosten der Beteiligung und Einbindung von Aufsichtsbehörden sind häuﬁg sehr hoch. Im Krankenhaus können Betriebsbeeinträchtigungen der IT so- gar Menschenleben gefährden. Reputationsschäden, Verlust von Vertrauen in Services und Produkte, Fremdschäden (zum Beispiel gesetzliche, vertragliche oder anderweitige Verpﬂich- tungen gegenüber Dritten können nicht erfüllt werden) und weitere Folgekosten (zum Beispiel Maßnahmen zur Verbesse- rung der IT-Struktur) kommen dazu. Aus diesem Grund ist es erforderlich, bei der Auswahl der IT-Dienstleister klare Kriterien für sich zu erheben und auch die Bewertungskriterien vorab festzulegen. In Bild 1 sind die Bereiche der Bewertungskriterien aufgeführt, die auf jeden Fall berücksichtigt werden sollten. Bild 1: Herausforderungen und Ziele bei der Wahl des IT-Dienstleisters Mithilfe von festgelegten Einzelkriterien, welche die Be- wertungsgruppen unterfüttern, kann dann die Bewertung er- folgen. Wie das in der Praxis aussieht, zeigt Bild 2 am Beispiel Innovationsfähigkeit. Bild 2: Ausschnitt aus der Checkliste: Innovationsfähigkeit Für eine Vorauswahl bei der Suche nach einem IT-Dienst- leister kommen verschiedene Quellen in Frage: Branchenverbände Kammern Firmendatenbanken Verzeichnisse von Sachverständigen BSI/Allianz für Cybersecurity Transferstellen Verbände von IT-Dienstleistern IT-Netzwerke B2B-Plattformen Bei besonderen IT-Notfällen und ungenügender Vorsor- ge greifen die Suchen bei diesen Stellen eventuell weniger. Eine gute Adresse wäre dann beispielsweise das Cybersicher- heitsnetzwerk. Dessen reaktive Möglichkeiten werden aktu- ell vom Bundesamt für Sicherheit in der Informationstech- nik (BSI) gestärkt.(1) Neben der Rolle der Ansprech partner ist auch eine Ausbildung von Vorfallsexperten ein wesentlicher Erfolgsfaktor. Die Umsetzung der Rolle von Ansprechstellen bei IT-Vorfällen muss aber auch regional ausgeprägt werden. Insofern stellt diese Entwicklung eine besondere Chance für IT-(Sicherheits-)Netzwerke und deren Mitglieder dar. Für den Nachfrager nach IT-Dienstleistungen bieten sich neue Mög- lichkeiten, seine Suche gebündelt vornehmen zu können oder gegebenenfalls auch im Notfall auf einen Ansprechpartner zu- gehen zu können. Eine neue Studie im Auftrag des Bundesmi- nisteriums für Wirtschaft und Energie (BMWi) untersucht in diesem Zusammenhang, welche IT-Dienstleister mit KMU in IT-Sicherheitsprojekten zusammenarbeiten und welche Leis- tungen Sie KMU anbieten, beziehungsweise von Mittelständ- lern nachgefragt werden.(2) n Quellen: (1) https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen- und-Empfehlungen/Cyber-Sicherheitsnetzwerk/cyber-sicherheitsnetzwerk_node.html (2) https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/it-dienstleister-als-akteure-zur- staerkung-der-it-sicherheit-bei-kmu-in-deutschland.html Christian Köhler, Vorstandsvorsitzender it´s.BB e.V., NKMG mbH, Philip Steinkrüger NKMG SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 9

Digitalisierung im Krankenhaus Sicherheit immer dabei Digitale Infrastrukturen und moderne medizinische IT-Lösungen sollen im Kran- kenhaus weiter ausgebaut werden. Dazu werden die Innovationsfonds und Kran- kenhausstrukturfonds mit staatlichen Förderungen fortgeführt. F ür Krankenhäuser, die nach der KRITIS-Verordnung des Bundesamts für Sicherheit in der Informations- technik (BSI) zu den kritischen Infrastrukturen (KRI- TIS) gehören, gelten besondere Regelungen. Ihnen wurden in der Krankenhausstrukturfonds-Verordnung bereits vor dem Krankenhauszukunftsgesetz (KHZG) Mittel zur Verbesserung der IT-Sicherheit bereitgestellt. Das hauptsächliche Ziel der Fördertatbestände des KHZG ist nun die Stärkung der medi- zinischen Versorgung – unter Einbezug von IT-Sicherheit: In jedem Fördervorhaben sind 15 Prozent für IT-Sicherheit ver- anschlagt. Zusätzlich gibt es für Nicht-KRITIS-Krankenhäuser einen eigenen Fördertatbestand IT-Security. Dabei sollen sich Fördermittel speziell für Vorhaben zur IT-Sicherheit auf die Kernelemente der Sicherheitsarchitektur des Krankenhauses beziehen und eine einheitliche sichere Basis für die zahlrei- chen Anwendungen und Prozesse stellen. Standards und Sicherheitsanforderungen des B3S-Standards Krankenhäuser, die als kritische Einrichtungen deﬁniert wurden, müssen ihre IT-Sicherheitsmaßnahmen an einem branchenspeziﬁschen Sicherheitsstandard (B3S für Kranken- häuser) ausrichten. Für Nicht-KRITIS-Einrichtungen dienen der Standard und die Sicherheitsanforderungen als Orientie- rung beim Schutz ihrer kritischen Systembereiche: Mittelpunkt des B3S ist die Umsetzung eines Informati- onsrisikomanagements zur Identiﬁzierung und Einord- nung von Risiken für den Betriebsablauf. Darüber hinaus ist für wesentliche und kritische Syste- me, wie ausgewählte Medizintechnik, zentrale medizini- sche Anwendungen und bedeutende IKT Infrastruktur, die Umsetzung grundlegender Sicherheitsanforderun- gen festgelegt. IT-Sicherheit als Rückgrat Dieser grundlegenden Notwendigkeit von IT-Sicherheit trägt das KHZG Rechnung: Da in allen Fördervorhaben (bis auf den Fördertatbestand IT-Sicherheit selbst) ein Anteil von 15 Prozent auf IT-Security-Elemente fallen muss, sind Sicher- heitsmaßnahmen konsequent von Beginn an mitzudenken. Standardmechanismen, die nicht zuletzt auch über die B3S-Umsetzung geschaffen wurden, können so direkt in neu zu entwickelnde Lösungen integriert werden. Aber auch spe- zielle Sicherheitsmaßnahmen, die für bestimmte Zwecke zu- geschnitten sind – von Patientenportalen bis Machine Learn- ing – sind von vornherein umsetzbar. Dies bringt es unter anderem mit sich, dass Sicherheitsbeauftragte frühzeitig ein- gebunden werden und nicht, wie häuﬁg zu beobachten ist, hinterherlaufen müssen. Dass hier noch Potenzial besteht, zeigt eine Reihe von Sicherheitsvorfällen in den letzten Jahren. Ganz im Sinne der Krankenhausstrukturfonds: IT-Security ist wichtiger Bestandteil und Enabler einer dynamischen Digitalisierung. Sichere Anbindung medizinischer Wirkungskreise Die heutige Datenverarbeitung bündelt sich mehr und mehr in hyperkonvergente Infrastrukturen – virtualisierte zentralisierte Architekturen, die aufgrund von Compliance- Vorgaben häuﬁg noch „On-Premises“ betrieben werden und sich stark in Richtung Auslagerung (Cloud) bewegen. Um die lokalen Wirkungskreise medizinscher Versorgung – Labore, Medizintechnik, Auswerteanalytik, Medizinrobotik etc. – an- zubinden, werden Konzepte zu Edge Computing, Federated Machine Learning und Secure Cloud erprobt und pilotiert. Hier gilt es, wegweisende Sicherheitsfragen im Einklang mit der deutschen Gesetzgebung zu klären und die verfügbaren Sicherheitstechnologien als Basis für zahlreiche neue Anwen- dungen zu implementieren. n G A s k r o w t e N y t i r u c e S t e n u c e s : d l i B Torsten Redlich, Leiter Geschäftsentwicklung eHealth, secunet AG 10 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

Effizient und DSGVO-konform E-Mail-Daten aufbewahren E-Mail: Backup oder Archivierung? Täglich verarbeiten und übermitteln Krankenhäuser personenbezogene Patienten informationen sowie Gesundheits- und Behandlungsdaten. Aufgrund der höchst persönlichen Informationen müssen sie besonders geschützt werden und unterliegen dadurch stärkeren datenschutzrechtlichen Anforderungen. Doch inwiefern betrifft das die Archivierung von E-Mails, und wie unterscheidet sich diese Aufbewahrungsform vom Backup? I n Deutschland müssen Unternehmen Korrespondenzen, die ein Geschäft veranlassen, abschließen oder revidieren – auch in Form von E-Mails – vollständig, manipulati- onssicher und langfristig aufbewahren sowie jederzeit verfüg- bar halten. Grundlage dafür sind in erster Linie Bestimmungen der Abgabenordnung (AO) und des Handelsgesetzbuches (HGB). Krankenhäuser müssen zudem relevante Korrespondenzen unter denselben Vorgaben aufbewahren, die zum Beispiel Ge- sundheitsdaten oder Rechnungen über Behandlungskosten beinhalten können. Diese sind laut Art. 9 DSGVO besonders schutzbedürftig und dürfen nur mit expliziter Einwilligung der Patienten gespeichert, verarbeitet und versendet werden. Eine professionelle E-Mail-Archivierung kann Kranken- häuser dabei unterstützen, dass die Datengrundlage zu allen Zeiten lückenlos, vollständig und manipulationssicher verfüg- bar ist (Stichwort: „revisionssichere E-Mail-Archivierung“). E-Mail-Archivierung vs. Backup: Die wichtigsten Unterschiede 1. Vollständig, manipulationssicher, langfristig Backup-Lösungen reichen für E-Mails nicht aus, denn es fehlen wichtige Funktionen zur Einhaltung der rechtlichen Vorgaben. Der offensichtlichste Unterschied besteht im häu- ﬁg lückenhaften Backup-Datenbestand. Üblicherweise wer- den lediglich aktuelle „Momentaufnahmen“ des Mail-Servers („Snapshots“) auf einem externen Speichermedium oder ei- nem Cloud-Dienst abgelegt. Mitarbeiter können vorab wichti- ge Inhalte löschen oder manipulieren. Archivierungslösungen erlauben etwa die Journalarchivierung, was die lückenlose Ar- chivierung aller ein- und ausgehenden E-Mails erst möglich macht. Es gibt auch Unterschiede in der Aufbewahrungsdau- er: Die Backup-Lösung hält Mail-Daten üblicherweise lediglich kurz- bis mittelfristig fest, da der beschriebene Speicher nach einem gewissen Zeitraum gelöscht oder mit neuen Backups überschrieben wird. Archivierungslösungen sind hingegen langfristig angelegt. 2. Verfügbarkeit Angenommen ein Patient war vor einiger Zeit zur Be- handlung im Krankenhaus. Für den weiterbehandelnden Arzt und die Versicherung braucht er seine Gesundheitsdaten aus diesem Zeitraum. Das Krankenhaus sollte diese Daten mög- lichst efﬁzient zur Verfügung stellen können. Daher muss die Archivierungslösung über Funktionen verfügen, welche die Suche innerhalb der archivierten E-Mails ermöglicht und die Suchergebnisse in einem geeigneten Standardformat expor- tiert. Diese Funktionen sind bei Backup-Lösungen häuﬁg ein- geschränkt und in den meisten Fällen dem IT-Admin vorbe- halten. Professionelle Archivlösungen hingegen erlauben es dem Krankenhauspersonal, den Archivbestand selbstständig zu durchsuchen und Daten wiederherzustellen. 3. Individuelle Aufbewahrungsrichtlinien Im Gegensatz zu Backup-Lösungen unterstützen gute Ar- chivierungslösungen die IT-Abteilung durch umfangreiche automatisierte Funktionen zur Erstellung individueller Auf- bewahrungsrichtlinien. Damit können IT-Admins unter an- derem Fristen für E-Mail-Korrespondenzen deﬁnieren, nach deren Ablauf Daten automatisch gelöscht werden. Dies unter- stützt die Einhaltung rechtlicher Vorgaben, aber auch interner Vorgaben zur E-Mail-Governance. Das Ziel einer Backup-Lösung liegt in der kurz- bis mittel- fristigen externen Speicherung von Mail-Daten beziehungs- weise des ganzen E-Mail-Servers für die Disaster Recovery. Mit E-Mail-Archivierung lassen sich E-Mails sicher, langfristig und vor allem vollständig aufbewahren. n Roland Latzel, Director of Marketing bei MailStore SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 11 . . m o c e b o d a k c o t s - f d o o g o B x e A © l l : d l i B

Interview: Ransomware den Schrecken nehmen Prävention für den IT-Notfall Nicht erst seit Corona sind Krankenhäuser ein beliebtes Angriffsziel für Hacker. Die Folgen sind oft schwerwiegend: Der Klinikbetrieb wird gestört und Daten gehen verloren. Attacken sind kaum zu vermeiden. Aber Vorbereitung minimiert die Schäden, erklärt André Walsleben, Director Public bei Veeam Software. Wiederherstellungen fehlschlagen – in allen Wirtschaftsbe- reichen. Durch immer größere Datenvolumen auf ganz unter- schiedlichen Betriebsplattformen, vom Rechenzentrum bis in die Cloud, sind die Anforderungen massiv gestiegen. Es geht ja nicht nur um die Absicherung, sondern auch darum, Daten zuverlässig und schnell wiederherzustellen, damit sie für alle Klinikbereiche und -prozesse jederzeit verfügbar sind. ITS: Wie können denn alle Daten in solchen hybriden ITS: Warum werden immer mehr Krankenhäuser Opfer Infrastrukturen geschützt werden? von Cyberattacken? André Walsleben: In Krankenhäusern werden viele, sehr wertvolle Daten gespeichert. Das macht sie zu einem lukrati- ven Ziel für Datenklau und Erpressung. Oder Hacker wollen den Betrieb der kritischen Infrastruktur (KRITIS) in Deutsch- land stören, zu denen ja große Kliniken gehören. In den letz- ten Monaten sind die Cyberattacken auf Krankenhäuser um über 200 Prozent gestiegen. Das Dilemma ist, dass viele Kli- niken schon vorher enge IT-Budgets hatten. Mit COVID-19 ist so manche Digitalisierungsinitiative ins Stocken geraten. Hier soll das Krankenhauszukunftsgesetz (KHZG) jetzt Abhil- fe schaffen. ITS: Wie können sich Kliniken gegen Hackerangriffe schützen? André Walsleben: 100-prozentigen Schutz gibt es leider nicht, aber Prävention hilft, Schäden zu begrenzen. Das erfor- dert ein ausgeklügeltes IT-Sicherheitskonzept und umfassen- de Vorbereitung. Im Idealfall kann mit Prävention eine Atta- cke unterbrochen werden, zumindest aber läuft der Betrieb schnell wieder an und Datenverluste werden verhindert. Viele, gerade kleinere Krankenhäuser haben primär die Medizintechnik im Blick. Im Zeitalter vernetzter Prozesse und Geräte muss aber die IT-Technik genauso auf dem neuesten Stand sein. So sind zum Beispiel regelmäßige Software-Up- dates extrem wichtig. Alte Systeme sind ein willkommenes Einfallstor für Hacker und behindern eine zuverlässige Daten- sicherung. ITS: Datensicherung ist ja kein neues Thema. Gibt es trotzdem noch Deﬁzite? André Walsleben: Leider – wir haben gerade im Rahmen einer weltweiten Umfrage festgestellt, dass 14 Prozent aller Daten überhaupt nicht gesichert werden und 58 Prozent der André Walsleben: Eine einheitliche Plattform für Backup, Replikation und Disaster Recovery (DR) in Verbindung mit ak- tuellen Speicher- und HCI-Systemen und zentraler Steuerung sorgt für zuverlässige Datensicherung und schnelle Wieder- herstellung. Der Maßnahmenkatalog umfasst für den Ernst- fall zudem einen „unlöschbaren“ Backup-Speicher, eine Si- cherung ohne Viren, einen detaillierten Plan für die richtige Abfolge beim Restart sowie ein komplettes Notfallsystem, das ofﬂine bereitsteht. ITS: Nicht nur Pﬂegekräfte sind Mangelware, auch IT- Fachkräfte. Wie sollen Kliniken das denn lösen? André Walsleben: Möglichst viel automatisieren: Mit Soft- ware lassen sich zum Beispiel DR-Pläne deﬁnieren und auto- matisieren, inklusive Ausweichkonzept, Dokumentation, Tests und regelmäßigen Updates. Orchestrierung sorgt dafür, dass nach einem Ausfall die Systeme in der richtigen Reihenfolge wieder anlaufen. So halten Krankenhäuser auch Richtlinien und Auﬂagen ein, ob interne oder die des BSI. Der Ernstfall sollte außerdem öfter geprobt werden, damit jeder seine Auf- gaben kennt. Zusätzlich helfen Mitarbeiter-Schulungen, aber auch eine differenzierte Rechteverwaltung, um alle zu schüt- zen. ITS: Das Krankenhauszukunftsgesetz (KHZG) stellt jetzt Gelder bereit. Können die in Datensicherung investiert wer- den? André Walsleben: Unbedingt. Das KHZG fördert die Digi- talisierung im Interesse einer besseren Patientenversorgung. Investitionen, die zu Verbesserung von IT- und Cybersicher- heit beitragen, sind dort expliziert aufgeführt – und zuverläs- sige Datensicherung ist hier ein Kernthema. n S.M. 12 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

Abwägungen in Sachen Cloud Viele Organisationen wollen die Vorteile der Cloud nutzen, zögern jedoch aufgrund von Sicherheitsbedenken – besonders im Gesundheitswesen. Daten, die immer und überall zuverlässig verfügbar sind, stehen dem befürchteten Verlust der Kontrolle über ver trauliche, hochsensible Daten gegenüber. Doch gut umgesetzt ist eine Cloud-Strategie sicherer als eine aus eigener Kraft verwaltete Speicherlösung. Anbieter von Clouds sorgen in der Regel für ISO-27001-zertifizierte Rechenzentren und räumlich getrennte Server, womit die Verfügbarkeit oder ein Backup der Daten jederzeit möglich ist. Server, womit die Verfügbarkeit oder ein Backup der Daten jederzeit möglich ist. E s spricht vieles für die Cloud, aber die Verantwortung für die Sicherheit der Daten trägt schlussendlich im- mer das Unternehmen, dem die Daten gehören. So müssen Krankenhäuser, Kliniken oder Arztpraxen zu jeder Zeit selbst sicherstellen, dass die vertraulichen Daten ihrer Pa- tienten ausreichend geschützt sind. Verschlüsselung zum Schutz von personenbezogenen Daten Laut Bundesdatenschutzgesetz (BDSG) und Datenschutz- Grundverordnung der EU (DS-GVO, Art. 32) müssen Gesund- heitsorganisationen, die Daten verarbeiten, geeignete tech- nische und organisatorische Maßnahmen (TOM) zum Schutz von sensiblen personenbezogenen Daten umsetzen. Die Wahl der Sicherheitsmaßnahmen obliegt den Organisationen selbst, doch Verschlüsselung wird als wichtiges Mittel der Datensi- cherung empfohlen. Gesundheitsdienstleiter können durch das Verschlüsseln von Daten das Risiko des Verlusts vertrauli- cher Informationen extrem minimieren. Denn ganz gleich, wo die Daten gespeichert sind: Wenn sie verschlüsselt sind, kön- nen ausschließlich Personen, die den entsprechenden Schlüs- sel besitzen, darauf zugreifen. Die Verschlüsselung von Daten stärkt die IT-Sicherheit: Vertrauliche Daten werden in zufällige und unlesbare Zei- chenfolgen umgewandelt. Nutzer behalten die volle Kontrolle über ihre Daten, und kein unerwünschter Eindringling kann den Inhalt ihrer Dateien in der Cloud einsehen. Verschlüsselung ist nicht gleich Verschlüsselung Auch einige Cloud-Speicheranbieter verschlüsseln ihre Da- ten. Allerdings ist damit klar, dass diese Anbieter somit auch den Schlüssel besitzen, um sie wieder zu entschlüsseln. In der Theorie könnten die Cloud-Anbieter so auf die in der Cloud abgelegten Informationen zugreifen, zum Beispiel, wenn sie zur Herausgabe der Daten aufgefordert werden (beispielswei- se von US-Behörden im Fall der amerikanischen Cloud-Spei- cheranbieter). Zusätzlich zu den Sicherheitsfunktionen, die ein Cloud-Speicher selbst zu bieten hat, sollte eine Ende- zu-Ende-Verschlüsselung nach Zero-Knowledge- Standard eingesetzt werden. Ende-zu-Ende-Verschlüsselung stellt sicher, dass die Da- ten bereits auf dem Endgerät verschlüsselt werden und somit zu keiner Zeit in Klartext einsehbar sind. Bei Verschlüsselung nach dem Zero-Knowledge-Standard besitzt niemand außer dem Nutzer selbst den Schlüssel, mit dem die Dateien wie- der entschlüsselt werden können. Alle Mitarbeiter können wie gewohnt mit den Daten arbeiten und sie teilen, ohne dass sie durch die Sicherheitsmaßnahmen im Hintergrund im tägli- chen Arbeitsablauf eingeschränkt werden. Fazit Ende-zu-Ende-Verschlüsselung ermöglicht Beschäftig- ten des Gesundheitswesens, die Vorteile der Cloud zu nutzen und gleichzeitig Datenschutzbestimmungen nach BDSG und DS-GVO einzuhalten. Somit können sie sich darauf konzen- trieren, worauf es wirklich ankommt: gute Betreuung und Behandlung ihrer Patienten. Bei einem etwaigen Sicherheits- vorfall könnten Angreifer die gestohlenen Daten nicht lesen, geschweige denn in irgendeiner Weise verwenden. n Johanna Reisacher, Marketing Managerin, Secomba GmbH | Boxcryptor SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 13 . . m o c e b o d a k c o t s - 2 4 a r i a t © : d l i B

Einfache Authentifizierung im Gesundheitswesen Offene Standards sind Trumpf Da der Handel mit Patientendaten ein so lukratives Geschäft ist, gehört das Gesund heitswesen zu den Branchen, die am häufigsten ins Visier von Cyber- kriminellen geraten. Um sich proaktiv gegen diese und andere Datenschutz- verletzungen zu schützen, sollten Unter- nehmen auf starke Identitäts- und Zugriffs kontrollen setzen, die sich naht- los in ihre internen Prozesse einfügen und die mit einer Phishing-resistenten Authentifizierung gepaart sind. A uf dem Schwarzmarkt verdienen Kriminelle an Ge- sundheitsdaten etwa zehnmal so viel Geld wie mit dem Verkauf von Kreditkartendaten. Um an diese Daten zu gelangen, starten Cyberkriminelle oft gezielte Ran- somware-Angriffe. Meist steht am Anfang einer solchen Kam- pagne eine Phishingmail. Das im Oktober 2020 in Kraft getretene Krankenhauszu- kunftsgesetz (KHZG) stellt den Organisationen im Gesund- heitswesen Mittel zur Verfügung, um die Digitalisierung zu fördern und gleichzeitig die IT-Sicherheit zu erhöhen. Auf- grund des hohen ﬁnanziellen Drucks sind Krankenhäuser nicht ausreichend vor Cyberangriffen geschützt. Daher ge- winnen Maßnahmen zur Prävention, wie sichere Authenti- sierungssysteme, zunehmend an Bedeutung. Eine der häuﬁgsten Schwachstellen, mithilfe derer Cyber- kriminelle Zugang zu Daten im Gesundheitswesen erhalten, sind schwache Kombinationen aus Benutzername und Pass- wort, die zur Anmeldung bei Benutzer- und Administrator- konten verwendet werden. Diese Passwörter, die auf sensible Patientendaten zugreifen, werden oft unter Kollegen weiter- gegeben. Darüber hinaus sind häuﬁg aus Einfachheitsgrün- den Standardpasswörter im Einsatz. Vergessen Nutzer ihre Log-in-Daten, rufen sie den IT-Support an, was Kosten und Zeitaufwand in die Höhe treibt. Da sich Ärzte und Pﬂeger unzählige Male am Tag für jeden einzelnen Patienten, in jedem Zimmer und an jedem neuen Gerät anmelden müssen, brauchen sie eine einfache, prakti- sche, schnelle, sichere und bestenfalls kostengünstige Authen- tiﬁzierungslösung. FIDO macht Schluss mit lästigen Passwörtern Die Verwendung des FIDO2-Authentiﬁzierungsstandards ermöglicht es, Probleme zu beseitigen, die mit einem Sicher- heitssystem verbunden sind, das auf Passwörtern basiert. FIDO2 ist ein offener Authentiﬁzierungsstandard, der von der FIDO Alliance betrieben wird. Zwei seiner wichtigsten Mit- wirkenden sind Yubico und Microsoft. FIDO2 ist eine Erwei- terung von FIDO U2F und bietet das gleiche hohe Maß an Si- cherheit auf Basis von Public-Key-Kryptograﬁe. FIDO2 bietet erweiterte Authentiﬁzierungsoptionen, einschließlich starker Ein-Faktor- (passwortloser), Zwei-Faktor- und Multi-Faktor- (passwortloser) -Authentiﬁzierung. Durch das Ersetzen von Passwörtern mit FIDO2-fähigen Hardware-Sicherheitsschlüsseln können nur Benutzer, die im physischen Besitz des Schlüssels sind, auf sensible Daten zu- greifen. Im Gegensatz hierzu könnten Kennwörter, die mehre- re Kollegen verwenden, an jedem Ort eingesetzt werden. Der Hardware-Sicherheitsschlüssel ist quasi der Hausschlüssel für Daten. Die Authentiﬁzierung gelingt damit einfach, schnell und sicher. Er ersetzt schwache Passwörter durch starke hardwarebasierte Authentiﬁzierung mit Public-Key-Krypto- graﬁe zum Schutz vor Phishing, Session-Hijacking, Man-in- the-Middle- und Malware-Angriffen. Er kann über jede USB- Schnittstelle und jedes kompatible NFC-Lesegerät (Near Field Communication) angeschlossen werden. Außerdem ist es möglich, den Sicherheitsschlüssel als weiteren Faktor in einer Zwei-Faktor-Authentiﬁzierung mit einer Kombination aus Passwort und Sicherheitsschlüssel zu verwenden. Für zusätzliche Sicherheit kann der Schlüs- sel dank FIDO2 auch für eine Multi-Faktor-Authentiﬁzierung verwendet werden. Dies bedeutet, dass zusätzlich zum Besitz des Geräts ein PIN-Code oder eine biometrische Identiﬁkati- on erforderlich ist. Unternehmen des Gesundheitswesens, die FIDO2-fähige Sicherheitsschlüssel für ihre gesamte Organisa- tion einsetzen, ermöglichen die sichere Nutzung aller Dienste und Anwendungen mit einem einzigen Hardware-Authentiﬁ- zierungsgerät und begrenzen so das Risiko, Opfer eines Cyber- angriffs zu werden. n Patrick Schnell, Channel Manager DACH & CEE bei Yubico 14 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - r e h t o r B d a B © | . . m o c e b o d a k c o t s - y b s u x e n © : n e k fi a r G

Mehr Patientendaten-Leaks und Cyberangriffe 2021 Gesundheitswesen unter Feuer Die Corona-Pandemie hat das alltägliche Leben und auch das Gesundheitswesen nachhaltig beeinflusst. Cyberangriffe auf Covid-Impfstoffhersteller, Krankenhäuser oder Forschungseinrichtungen haben das Thema IT-Sicherheit im Healthcare-Sektor in den Fokus gerückt. Ein Ausblick auf Basis bisheriger Erkenntnisse führt zu dem klaren Schluss, dass Angreifer ihre Aktivitäten künftig noch deutlich intensivieren werden. D ie Welt kämpft nicht nur gegen den Virus, son- dern erlebt bis heute auch einen Wettlauf zwischen Pharmaunternehmen. Jeder bedeutende Durch- bruch wird hierbei vermutlich zu gezielten Cyberangriffen auf das jeweilige Unternehmen führen – mit dem Versuch sen- sible Daten zu stehlen. Generell wurde das Thema Gesundheit für eine Reihe von Attacken unterschiedlicher Komplexität missbraucht: von einfachen E-Mails mit schädlichen Anhän- gen über Phishing bis hin zu zielgerichteten Angriffen. Um die Nutzer zu täuschen, fälschten die Angreifer Aussagen und Do- kumente verschiedener medizinischer Einrichtungen, darun- ter der WHO, und versprachen Medikamente und Impfstoffe. Dabei wird es jedoch in diesem Jahr nicht bleiben. Angriffe auf kleine und mittelgroße Unternehmen (KMU) im Medizinsektor In Ländern mit einer hochentwickelten, öffentlich zugäng- lichen Gesundheitsversorgung werden KMU im privaten me- dizinischen Sektor verstärkt Angriffen ausgesetzt sein. Denn der Schutz von Patientendaten und technischen Infrastruk- turen ist relativ kostenintensiv und daher für einige Unter- nehmen – insbesondere in wirtschaftlich herausfordernden Zeiten – nur schwer zu implementieren. Leaks von Patientendaten bei Cloud-Diensten Die zunehmende Nutzung von Cloud-Infrastrukturen durch Gesundheitseinrichtungen sowie die Speicherung per- sönlicher Informationen in der Cloud bergen zusätzliche Risi- ken. Angesichts verstärkter Versuche von Cyberkriminellen, Zugriff auf gesundheitsbezogene Nutzerdaten zu erlangen, sind Healthcare-Einrichtungen gezwungen, ernsthafte Maß- nahmen umzusetzen, um ihre Cloud-Infrastrukturen vor Kompromittierungen möglichst umfassend zu schützen. Die Vergangenheit hat gezeigt, dass Sicherheitsvorfälle – wie die Wannacry-Epidemie, die im Jahr 2017 unter ande- rem Daten der Deutschen Bahn verschlüsselt hatte, oder im aktuellen Falle die Coronapandemie – Unternehmen im Ge- sundheitssektor dazu veranlasst, der digitalen Sicherheit ihrer Infrastruktur mehr Aufmerksamkeit zu schenken. Hier wird sich in den kommenden Monaten voraussichtlich eine positi- ve Entwicklung abzeichnen, die zu einem höheren und damit besseren Sicherheitslevel von Unternehmen und Organisati- onen im Gesundheitswesen führt. n Christian Milde, Geschäftsführer DACH bei Kaspersky SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 15 . . m o c e b o d a k c o t s - g n i r i p s n i t r a © : d l i B

Wie sich die Ausfallsicherheit erhöhen lässt und gleichzeitig Wartungskosten sinken Drittwartung: Günstig „always on“ im Krankenhaus Ausfallsicherheit zu gewährleisten ist die vordringlichste Aufgabe der IT-Abteilung in einem Krankenhaus. Und noch nie war sie wichtiger als in Zeiten der COVID-19-Pande- mie. Nicht nur, dass diese das Gesundheitssystem an seine Grenzen bringt, sie lenkt auch den Blick der Öffentlichkeit und der Politik auf die Kliniken. Gleichzeitig macht die Heterogenität der IT-Landschaft die Ausfallsicherheit zu einer immens schwierigen Aufgabe. Hinzu kommt, dass sich die IT-Abteilungen oft personell an der Belastungs- grenze bewegen. Über Drittwartung lässt sich die Situation deutlich entschärfen. V iele Krankenhäuser greifen für die Erhöhung der Aus- fallsicherheit ihrer IT auf Wartungsverträge mit den Herstellern zurück. Doch die stellen einen erhebli- chen Verwaltungsaufwand und Kostenfaktor dar. Gerade in der Pandemie sind attraktivere Konzepte gefragt. Die IT-Landschaft eines Krankenhauses zeichnet sich durch seine Vielfältigkeit an Systemen und Nutzern sowie durch die immer zahlreicher werdenden Schnittstellen mit medizintechnischen Geräten aus. Einen Überblick über die Geräte und Hersteller zu haben ist eine Herausforderung, die bei einer Störung innerhalb des Systems zum Problem wer- den kann. Die Gerätevielfalt hat zahlreiche Wartungsverträge mit unterschiedlichen Herstellern zufolge. Bei einer Störung müssen erst die richtigen Verträge gefunden und die Service- Level-Agreements gecheckt werden, bevor die Entstörung be- auftragt werden kann. Das ist aufwendig für die IT-Abteilung und kostet im Ernstfall wertvolle Zeit. Ein großer Vorteil für die Ausfallstrategie ist es, wenn die IT-Abteilung für eine Viel- zahl an Geräten nur einen Ansprechpartner hat, der rund um die Uhr an 365 Tagen im Jahr zur Verfügung steht. Viele Dritt- wartungs-Anbieter sind herstellerübergreifend ausgerichtet und in der Lage, Geräte unterschiedlicher OEMs instand zu halten. Das vereinfacht die Prozesse und reduziert den Auf- wand für die IT-Abteilungen. Zudem minimieren sich die Re- aktionszeiten, bis eine Entstörung durchgeführt wird. Um die Reaktionszeit weiter zu optimieren, bieten man- che Drittwartungs-Dienstleister eine Kombination aus Moni- toring und Wartung an. Relevante Systeme unterschiedlicher Hersteller werden vom Dienstleister überwacht. Tritt ein Feh- ler auf, wird automatisch und ohne Zeitverlust der Wartungs- prozess gestartet. Drittwartung sorgt auch nach EOSL für Sicherheit Der End of Service Life (EOSL) für Hardware wird von den Herstellern festgelegt. Allerdings kann Hardware wesentlich länger sicher genutzt werden. Drittwartungs-Spezialist Tech- nogroup IT-Service etwa hat in einer Studie 2019 die Teilneh- mer gefragt, wie lange deren Hardware im Rechenzentrum im Einsatz ist. 31 Prozent gaben an, Hardware zwischen sie- ben und zehn Jahre lang zu nutzen. Weitere 28 Prozent hat- ten Hardware sogar mehr als zehn Jahre lang im Einsatz. Es stellt sich die Frage, wie die Ausfallsicherheit der Hardware nach dem Ende des Hersteller-Supports gewährleistet wer- den kann. Third-Party-Maintenance-Anbieter übernehmen die Wartung über das Ende des Hersteller-Supports hinaus und gewährleisten so die Ausfallsicherheit auch für ältere Ge- räte. Das gibt Kliniken ﬁnanzielle Spielräume. Hohe Investiti- onen in neue Hardware können verschoben oder vermieden werden. Neben den oft wesentlich günstigeren Vertragskon- ditionen der Drittwartungs-Anbieter gegenüber den Herstel- lern ist das der wesentliche Punkt, weshalb das Analystenhaus Gartner zu dem Schluss kommt, dass herstellerunabhängige Drittwartung ein Einsparpotenzial von bis zu 70 Prozent bie- tet. Gerade jetzt, in Zeiten fehlender Einnahmen, ein Punkt, der einen Gedanken wert ist. n Klaus Stöckert, CEO Technogroup IT-Service GmbH 16 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - i r i k © : d l i B

Den Fokus auf das Schwachstellenmanagement im Krankenhaus legen Wie sichere IT jetzt umsetzbar ist Die Mischung aus komplexen Infrastrukturen, knappen Budgets und Mangel an IT-Experten in medizinischen Einrichtungen führt zu Sicherheitslücken, die Cyber- kriminelle ausnutzen können. Die Vorfälle in der jüngsten Vergangenheit haben gezeigt, dass die Zahl der Cyberangriffe stetig steigt. Mit einem ausgereiften Schwachstellenmanagement (englisch: Vulnerability Management) lässt sich das Risiko, Opfer dieser Angriffe zu werden, deutlich reduzieren. I n Krankenhäusern und Kliniken ﬁndet man heute eine stark vernetzte IT. Die eingebundenen Systeme und An- wendungen interagieren ständig miteinander. In dem Maße, wie Systeme für das Patienten-Management, für die Bildverarbeitung oder für das Monitoring in den Intensivab- teilungen, aber auch für das Gebäude-Management mitein- ander kommunizieren, entsteht eine riesige Angriffsﬂäche. Diese nutzen Cyberkriminelle immer stärker aus. Daher er- höht der Gesetzgeber auch ab 2022 die Sicherheitsstandards im Krankenhaussektor. Laut Patientendaten-Schutz-Gesetz sind dann nicht mehr nur KRITIS-Einrichtungen verpﬂichtet, den Sicherheitskatalog B3S (1) zu erfüllen, sondern auch alle Kran- kenhäuser. Doch das ist leichter gesagt als getan. Denn die Infrastruk- tur in vielen Einrichtungen ist aufgrund fehlender ﬁnanzieller Mittel veraltet. Dem will die Politik nun mit dem Kranken- hauszukunftsgesetz (KHZG) inklusive Krankenhauszukunfts- fonds (KHZF) (2) entgegenwirken. Bund und Länder fördern die nötige Digitalisierung im Gesundheitswesen mit insgesamt 4,3 Milliarden Euro. 15 Prozent der Digitalisierungsmaßnah- men der Healthcare-Einrichtungen müssen dabei die IT-Si- cherheit adressieren. Schwachstellen an der Tagesordnung Sicherheitslücken entstehen im Krankenhaus-Umfeld vor allem durch Legacy-Systeme, Medizintechnik, die sich nicht patchen lässt, oder falsche Konﬁgurationen. Die aktuelle Ge- fährdungslage veranschaulicht die Preview-Studie „Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic“ (3) von Alpha Strike Labs, Limes Security und der Universität der Bundeswehr für die CyCon-Konferenz der NATO im Mai 2021. So weisen die 1.500 gescannten deutschen (1) https://www.dkgev.de/ﬁleadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_ Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_ Krankenhaus/B3S_KH_v1.1_8a_geprueft.pdf (2) https://www.bundesgesundheitsministerium.de/krankenhauszukunftsgesetz.html (3) https://arxiv.org/abs/2101.07912 Krankenhäuser über 900 kritische Schwachstellen auf. Damit sind 36 Prozent der Healthcare-Einrichtungen angreifbar. Automatisiert gegensteuern Die Hauptaufgabe für Kliniken besteht daher darin, ihr Ri- sikopotenzial erheblich zu senken. Dazu müssen sie einen Vul- nerability-Management-Prozess (VM-Prozess) etablieren, der folgende Schritte umfasst: vorbereiten, identiﬁzieren, klassi- ﬁzieren, priorisieren, zuordnen, entschärfen und beseitigen, aufheben/wiederholen und, im letzten Schritt, verbessern. Das VM sollte in einer durchgängigen Security-Architektur mit anderen Sicherheitslösungen, wie Firewalls und Intrusi- on Detection Systems (IDS) oder Intrusion Prevention Systems (IPS), zusammenarbeiten. In der Konstellation obliegt es dem VM, digitale Risiken in kritischen Geschäftsprozessen sichtbar zu machen. Eine ausgereifte VM-Lösung prüft Systeme im Netzwerk größtenteils automatisiert und spürt Sicherheitslü- cken auf. Diese priorisiert sie nach Handlungsbedarf und gibt Hinweise, wie sie sich schließen lassen. Sichere Digitalisierung für das Wohlergehen des Patienten Krankenhäuser betreiben schwer abzusichernde IT-Um- gebungen. Gleichzeitig erhöht der Gesetzgeber ab 2022 die Si- cherheitsstandards im Krankenhaussektor. Daher bietet der 4,3 Milliarden Euro große KHZF die Chance, dass sich alle im Gesundheitssektor ein Sicherheitsfundament schaffen und ihre eigene Digitalisierung sicher vorantreiben. Denn die IT hat die Patientenversorgung unter allen Umständen zu ge- währleisten. Dafür müssen Krankenhäuser in der Lage sein, Schwachstellen schnell zu schließen. n Elmar Geese, COO bei Greenbone Networks (Foto: Greenbone) SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 17

COVID-19-Impfung als Aufhänger für E-Mail-Angriffe Anstieg von Impfstoff- bezogenem Phishing Eine Analyse, zwischen Oktober 2020 und Januar 2021 durchgeführt, zeigt, dass Hacker in ihren gezielten Spear-Phishing- Angriffen zunehmend E-Mails mit Bezug auf Impfstoffe verwenden. Nachdem Pharma unter nehmen Ende 2020 die Ver- fügbarkeit von Vakzinen angekündigt hatten, stieg die Zahl der Impfstoff-bezo- genen Phishing-Angriffe um zwölf Prozent. Bis Ende Januar stieg die durchschnitt- liche Anzahl der Impfstoff- bezogenen Spear-Phishing-Angriffe um 26 Prozent. W ährend die meisten der von Barracuda analy- sierten Phishing-Angriffe im Zusammenhang mit Impfstoffen Betrugsversuche waren, zeigten sich zwei vorherrschende Arten von Spear-Phishing-Angrif- fen, die Impfstoff-bezogene Themen verwenden: 1. Marken-Imitations-Angriffe (Brand Impersonation) Kriminelle nutzten Impfstoff-bezogene Phishingmails, um sich als eine bekannte Marke oder Organisation auszugeben. Die Nachrichten enthielten einen Link zu einer Phishing-Web- site, die für einen frühzeitigen Zugang zu Impfstoffen warb, Impfungen gegen Bezahlung anbot oder sich sogar als medizi- nisches Fachpersonal ausgab, das persönliche Daten zur Über- prüfung der Berechtigung für einen Impfstoff anforderte. 2. BEC-Angriffe: Kompromittierung von Geschäfts- E-Mails Angreifer nutzen die Kompromittierung von Geschäfts- E-Mails (Business E-Mail Compromise, BEC), um sich als Perso- nen innerhalb einer Organisation oder als deren Geschäftspart- ner auszugeben. In letzter Zeit haben sich diese sehr gezielten Angriffe auf Themen rund um Impfstoffe konzentriert. Schutzmaßnahmen gegen Impfstoff- bezogenes Phishing 1. Skepsis gegenüber allen Impfstoff-bezogenen E-Mails Einige E-Mail-Betrügereien beinhalten Angebote, den COVID-19-Impfstoff frühzeitig zu erhalten, sich auf eine War- teliste setzen zu lassen oder den Impfstoff direkt zugesendet zu bekommen. Nutzer sollten nicht auf Links klicken oder Anhän- ge in diesen E-Mails öffnen, da sie in der Regel bösartig sind. 2. Schutz vor Kontoübernahme Betrüger passen ihre E-Mail-Taktiken an, um Gateways und Spam-Filter zu umgehen. Deshalb ist es wichtig, eine Sicherheitslösung einzusetzen, die Spear-Phishing-Angriffe erkennt und vor ihnen schützt, einschließlich Marken-Imi- tations-Angriffe, Kompromittierung von Geschäfts-E-Mails und Übernahme von E-Mail-Konten. Unternehmen sollten eine speziell entwickelte Technologie einsetzen, die sich nicht nur auf die Suche nach bösartigen Links oder Anhängen ver- lässt. Mithilfe von maschinellem Lernen zur Analyse normaler Kommunikationsmuster innerhalb des Unternehmens kann die Lösung Anomalien erkennen, die auf einen Angriff hin- deuten könnten. 3. Einsatz von künstlicher Intelligenz Einige der verheerendsten und erfolgreichsten Spear- Phishing-Angriffe gehen von kompromittierten internen Konten aus. Daher sollte sichergestellt werden, dass Betrüger das Unternehmen nicht als Basislager für diese Angriffe miss- brauchen. Hier hilft eine Technologie, die mittels künstlicher Intelligenz erkennt, wenn Konten kompromittiert wurden, und die in Echtzeit Abhilfe schafft, indem sie Benutzer alar- miert und bösartige E-Mails entfernt. 4. Mitarbeitertraining, um Angriffe zu erkennen und zu melden Unternehmen sollten aktuelle Schulungen zur Sensibili- sierung für Phishing im Zusammenhang mit Impfungen, sai- sonalen Betrügereien und anderen potenziellen Bedrohun- gen anbieten. Die Mitarbeiter müssen die neuesten Angriffe erkennen können und wissen, wie sie diese sofort an die IT- Abteilung melden. Weiterhin empﬁehlt sich der Einsatz von Phishing-Simulationen für E-Mail, Voicemail und SMS, um die Anwender zu schulen, Cyberangriffe zu erkennen, die Wirk- samkeit der Schulungen zu testen und die am stärksten ge- fährdeten Anwender zu ermitteln. 5. Starke interne Richtlinien zur Betrugsprävention Unternehmen sollten Richtlinien zum richtigen Umgang mit persönlichen und ﬁnanziellen Informationen einführen und regelmäßig überprüfen. Sie sollten Verfahren einrichten, um alle E-Mail-Anfragen für Überweisungen und Zahlungs- änderungen zu bestätigen. Für alle Finanztransaktionen sollte eine Bestätigung und/oder Genehmigung durch mehrere Per- sonen verlangt werden. n Dr. Klaus Gheri, General Manager Network Security bei Barracuda 18 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

Nach dem Angriff auf das Uniklinikum Düsseldorf Mit KI gegen Ransomware Ransomware verursacht weiterhin Chaos und Unterbrechungen in Unternehmen auf Ransomware verursacht weiterhin Chaos und Unterbrechungen in Unternehmen auf der ganzen Welt – mit immer schwerwiegenderen Folgen und gegen zunehmend der ganzen Welt – mit immer schwerwiegenderen Folgen und gegen zunehmend hochrangige Ziele. Im September 2020 machte die Nachricht vom Tod einer Frau in Deutschland nach einem Ransomware-Angriff auf das Universitätsklinikum Düsseldorf Schlagzeilen. Sie bestätigte, dass die Bedrohung für Menschen nicht mehr theoretisch ist. Technologien aus der künstlichen Intelligenz (KI) könnten zur Abwehr solcher Angriffe hilfreich sein. R ansomware betrifft alle Branchen, aber im Jahr 2020 haben Cyberkriminelle zunehmend wichtige Dienste, wie das Gesundheitswesen, lokale Behörden und kri- tische Infrastrukturen, getroffen. Je mehr auf dem Spiel steht, desto wichtiger wird es, zu verstehen, wie man diese verhee- renden und weit verbreiteten Angriffe verhindern kann. Ransomware kann sich innerhalb von Sekunden quer durch die digitale Infrastruktur eines Unternehmens ausbrei- ten und innerhalb von Minuten ganze Systeme ofﬂine neh- men. Angreifer schlagen oft nachts oder an Wochenenden zu, wenn die Reaktionszeit der Sicherheitsteams langsamer ist. Angriffe mit maschineller Geschwindigkeit erfordern eine Ab- wehr mit gleicher Geschwindigkeit, die diese Bedrohung ohne menschliche Führung erkennen und darauf reagieren kann und die Bedrohung autonom blockiert. Einblicke aus einer echten Infektion In Beispiel Uniklinik Düsseldorf war der ursprüngliche Infektionsvektor Spear-Phishing. 2020 war die Verwendung von Phishingmails mit Pandemie-Thematik eine beliebte Me- thode, um Ransomware in Gesundheitsorganisationen einzu- schleusen. Die traditionellen Gateways ließen diese oft durch. Der Angreifer begann mit Netzwerk-Scan-Aktivitäten und Enumeration, um den Zugriff auf das Subnetz für Forschung und Entwicklung zu erweitern. Ein inﬁziertes Gerät stellte dann eine Verbindung zu einer verdächtigen Domain her, die mit der Ransomware verbunden ist, und das TOR-Browser- Bündel wurde heruntergeladen – wahrscheinlich für Com- mand-and-Control-Zwecke. Eine große Menge sensibler Daten aus dem F³E-Subnetz wurde auf eine seltene Domain hochge- laden. Dies ist typisch für bestimmte Arten von Ransomware, die als „doppelte Bedrohung“ angesehen werden, da sie nicht nur versuchen, wichtige Dateien zu verschlüsseln, sondern auch eine Kopie davon an den Angreifer zurückschicken. Diese Form des Angriffs, auch Doxware genannt, ver- schafft dem Angreifer ein Druckmittel für den Fall, dass die Organisation sich weigert, das Lösegeld zu zahlen – er kann die Daten im Dark Web verkaufen oder beispielsweise damit drohen, geistiges Eigentum an Konkurrenten weiterzugeben. Ransomware mit KI abfangen Um diese Bedrohungen zu bekämpfen, wenden sich Un- ternehmen Sicherheitslösungen zu, die unüberwachtes ma- schinelles Lernen nutzen, um neuartige Angriffe zu erkennen und darauf zu reagieren – ohne die Notwendigkeit von Regeln und Signaturen oder menschlichem Eingreifen. Unüberwach- tes maschinelles Lernen lernt die normalen Verhaltensmuster für jeden Benutzer und jedes Gerät im gesamten Unterneh- men. Dadurch kann die Technologie anomale Aktivitäten er- kennen, die auf Bedrohungen hindeuten, ohne sich auf fest kodierte Regeln und Signaturen zu verlassen. Gezielte Angriffe mit doppelter Bedrohung sind auf dem Vormarsch und extrem gefährlich – sie zielen zunehmend auf Umgebungen mit hohem Risiko ab. Ransomware-Angriffe wie diese zeigen Unternehmen, warum eine autonome Re- aktion im aktiven Modus nicht nur „nice to have“ ist – sondern notwendig, da schnelllebige Bedrohungen maschinenschnelle Reaktionen erfordern. n Max Heinemeyer, Director of Threat Hunting bei Darktrace SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 19 . . m o c e b o d a k c o t s - f f o k n e d o r o G © : d l i B

Patient Krankenhaus: IT-Gesundheit beginnt mit starken Endpunkten Security-Experten erten ertententen erten ten en den „ en den „ en „Mu empfehlen den „Men „Men „Men „Men „Men „Men „Men „en „Men „Men „Multi-ultultultilti-lti-lti-lti-Mu en „MMu en „Muulti-ulti-lti- Secured Endpopointointointointoint pondpoi ndpoipointint“ point point point point pointintint“nt“nt“nt“nt“nt“ int“ int“ int Sichere Rechner, sicheres Netzwerk: Die Erfolgsformel für malwarefreies Arbeiten in Krankenhäusern klingt einfach. Die Realisierung erfordert jedoch mehr als nur den Einsatz von Antivirenlösungen. Drei weitere Schutzmaßnahmen gelten bei Experten als zusätzliches Muss. M anchmal braucht es leider besondere Umstände, die als Initialzünder längst überfällige Verände- rungen vorantreiben. Ransomware-Vorfälle in Hospitälern und der Nachholbedarf in puncto Digitalisierung zeigen dies gerade in Bezug auf IT-Sicherheit in eindrucksvol- ler Weise auf. Klinik-Administratoren sollten jetzt die Chan- cen nutzen, die das Krankenhauszukunftsgesetz und die damit einhergehende Finanzspritze bieten. Im Zusammenspiel von Malwareschutz mit einer Festplattenverschlüsselungs- und Multi-Faktor-Authentiﬁzierungslösung sowie Cloud Sand- boxing verwandeln Administratoren PCs und Laptops in den sogenannten „Multi-Secured Endpoint“. Mit dieser Security- Viererkette sind sie überall perfekt gesichert: im Krankenhaus und im mobilen Einsatz gleichermaßen. Daten- und Netzwerkzugriff nur mit Multi-Faktor-Authentifizierung Für jeden Administrator ist es ein Albtraum, wenn sich je- mand ins Netzwerk einloggt oder Daten aufruft, dessen Iden- tität nicht eindeutig geklärt ist. Deshalb sollte eine Multi-Fak- tor-Authentiﬁzierung grundsätzlich implementiert werden. Es beﬁndet sich eine Reihe von Lösungen auf dem Markt, die einfach zu handhaben und kostengünstig in der Anschaffung sind. Beispielsweise ebnen professionelle Softwareprodukte den sicheren Zugang zu sensiblen Informationen und Netz- werkumgebungen. So lassen sich in weniger als einer Vier- telstunde komplette Netzwerke mit tausenden von Rechnern ausstatten. Zusätzliche Hardware-Anschaffungen sind unnö- tig, bestehende Smartphones per App, FIDO-Sticks oder andere Token lassen sich problemlos integrieren. 20 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Verschlüsselung stoppt Datenschnüffler Alle auf dem Endpoint gespeicherten Informationen soll- ten vor neugierigen Blicken oder im Verlustfall geschützt sein. Mit dem Einsatz einer Verschlüsselung schlagen Verantwort- liche zwei Fliegen mit einer Klappe. Cyberkriminelle können mit den codierten Daten nichts anfangen, und gleichzeitig kommt das Unternehmen Anforderungen aus der Daten- schutz-Grundverordnung nach. Voraussetzung für den Erfolg der Verschlüsselung ist die Akzeptanz der Anwender. Deswe- gen sollte die Lösung bei ihrer täglichen Arbeit kaum „spürbar“ und zuverlässig arbeiten. Cloud Sandboxing hält das Postfach sauber Das Entdecken schädlicher E-Mails oder Downloads ist ein wichtiger Eckpfeiler für gute Sicherheit. Gerade der Empfang von Ofﬁce-Dokumenten, PDFs und zuweilen auch ausführba- ren Dateien gehören zum Alltag im Krankenhaus. Nichts wäre schlimmer, als wenn durch dieses Schlupﬂoch beispielswei- se Ransomware eindringt, alle Daten ungewollt verschlüsselt und unzugänglich macht. Abhilfe schaffen in diesem Punkt Lösungen mit einer cloudbasierten Sandbox. Suspekter und potenziell gefährlicher Binärcode wird in einer gesicherten Umgebung ausgeführt und erst bei negativem Befund in das Postfach übermittelt. n Michael Klatte, PR-Manager bei eset . . m o c e b o d a k c o t s - n i r g d a v © l : k fi a r G

apie apie apie apie Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust Mit Zero Trust zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit zu mehr Sicherheit Gemäß dem IBM X-Force Threat Intelligence Index (1) haben sich 2020 die Attacken im Gesundheitswesen gegenüber dem Vorjahr etwa verdoppelt. Wie schafft man es also, der steigenden Bedrohung Herr zu werden und gleichzeitig Strukturen und Prozesse zu modernisieren? Die Nutzung der Cloud bietet hierfür eine ideale Möglich keit, die zudem durch das kürzlich in Kraft getretene Krankenhauszukunfts- gesetz (2) explizit gefördert wird. Entscheidend (auch für die Förderung) ist hierbei jedoch der Ausbau der IT-Sicherheit. A ngreifer nehmen verstärkt Krankenhäuser, Medizin- ausrüster und Pharmamunternehmen ins Visier. Zero Trust hat sich als neuer Security-Ansatz in den letzten Jahren immer mehr etabliert. Demnach darf niemand auf die Systeme und Ressourcen zugreifen, bevor die Zugangs- daten des Benutzers und des verwendeten Geräts überprüft wurden – und zwar bei jedem Zugriff auf eine Ressource. Dies erfordert granulare Rechte und Kontrollen, so darf beispiels- weise eine Ärztin auf ihrem Krankenhausrechner auf sensib- le Patientendaten zugreifen, mit ihrem Smartphone kann ihr das jedoch verwehrt werden. Es geht hier also in erster Linie um mehr Kontrolle über den Zugriff auf die eigenen Daten und darüber, wohin diese Daten übertragen und gespeichert werden dürfen, wenn sie das Netzwerk verlassen. Zu diesem Zweck muss man verstehen, wo sich welche Daten beﬁnden und wie sie klassiﬁziert werden sollten sowie Geräte und Benutzer identiﬁzieren, die Zugriff auf ver- schiedene Arten von entsprechend klassiﬁzierten Daten haben und benötigen. Traditionell haben sich viele Gesundheitseinrichtungen und Krankenhäuser wenig Gedanken über die Klassiﬁzierung ihrer Daten gemacht, da sie diese im eigenen Netzwerk sicher wähnten. Aber die Zeiten geschlossener Systeme sind schlicht und einfach vorbei, da Daten kontinuierlich das Netzwerk ver- lassen, sei es durch medizinische Geräte, die Daten in der Cloud speichern, oder die Nutzung von Cloud-Anwendungen durch das Personal. Erschwert wird die Situation in Krankenhäu- sern durch ein reges Kommen und Gehen von Benutzern und Geräten. So sind Ärzte nicht immer Angestellte des Kranken- hauses: Beispielsweise könnten Belegärzte ihre eigenen Gerä- te und Daten in das Krankenhaus mitbringen und andershe- rum auch Daten aus dem Kliniknetzwerk wieder mitnehmen. All dies macht es schwierig, die verschiedenen Daten, Ge- räte, Benutzer und Zugangspunkte in ein ganzheitliches Si- cherheitskonzept zu integrieren. Die Daten beﬁnden sich nicht mehr nur an einem Ort, sondern sind überall verteilt. Und die Situation wird sich in den nächsten Jahren eher verschärfen. Deshalb kommt es darauf an, schon jetzt die nötigen Grund- lagen für die effektive und vor allem sichere Verwaltung von Daten zu schaffen. Die Cloud wird sich auch in Krankenhäu- sern immer mehr durchsetzen, zumal sie auch eine ideale, da schnell umzusetzende und kostengünstige Möglichkeit dar- stellt, die oftmals in die Jahre gekommenen IT-Systeme zu modernisieren. Sicherheit für die Cloud kann aber nur aus der Cloud kom- men. Durch den Zero-Trust-Network-Access-(ZTNA-)Ansatz können – egal ob on-premises oder in der Cloud – einheitliche Richtlinien durchgesetzt werden. Das erhöht die Sicherheit in allen Bereichen. Autorisierte Benutzer erhalten basierend auf Benutzeridentität und dem Sicherheitsstatus der Gerä- te Zugriff auf ihre Anwendungen und nicht auf das gesam- te Netzwerk. So werden private Anwendungen und andere Netzwerk ressourcen effektiv geschützt. n (1) https://www.ibm.com/de-de/security/data-breach/threat-intelligence (2) https://www.bundesgesundheitsministerium.de/krankenhauszukunftsgesetz.html Frank Mild, Regional Sales Director, Central Europe SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 21 . . m o c e b o d a k c o t s - a t e z n e Z © : d l i B

Netzwerkmanagement in die Cloud Techn Technologischer Fortsch Fortschritt und IT- Siche Sicherheit im Einklang Sicherheit im Einklang Die Bedeutung von Technologie wächst stetig. Dieser Umstand beeinflusst auch das Gesundheitswesen und seine unter- schiedlichen Einrichtungen. Schließlich profitieren sowohl das Krankenhausper- sonal als auch die Patienten von neuen Therapiemöglichkeiten und Technologien, die den Klinikbetrieb effizienter gestalten. Hierzu zählen auch die vielfältigen Nut- zungsmöglichkeiten der Cloud. Angesichts der allgemeinen Entwicklungen im Markt und dem weitreichenden Einsatz in ver- schiedensten Bereichen ist auch die Öff- nung des Gesundheitswesens hin zur Cloud zwingend erforderlich. Moderne medizini- sche Anwendungen und Geräte verfügen heute vermehrt über Cloud-Schnittstellen oder sichern bestimmte Daten(typen) in einer Cloud. Effizientes Netzwerkmanage- ment erfordert zeitgemäße Lösungen. A uch das Netzwerkmanagement kann einfach und sicher in die Cloud verlagert werden. Hier liegt sehr großes Potenzial, um die Flexibilität und Skalierbar- keit und damit die Efﬁzienz eines Netzwerks zu erhöhen. Eine Umfrage zu Cloud-Lösungen im Gesundheitswesen aus dem Jahr 2020 ergab, dass 98 Prozent der Gesundheitsorganisatio- nen bereits mindestens eine Lösung in der Cloud hosten. Und es zeichnet sich ein Trend ab: Während heute 14 Prozent der Organisationen im Gesundheitswesen Cloud-Management nutzen, haben 41 Prozent Pläne, das Management ihrer Netz- werkinfrastruktur in den nächsten ein bis fünf Jahren in die Cloud zu verlagern. Gründe für diese Entwicklungen liegen auch darin be- gründet, dass besonders im Bereich der Datensicherheit in Deutschland die Akzeptanz gegenüber Cloud-Lösungen stark zugenommen hat. Denn zeitgemäße Managementsysteme aus der Cloud ermöglichen bereits heute einen auf Sicherheits- und Compliance- ordnung (DS-GVO Das Gesundheitswesen ist reif für die Cloud Die zur Netzwerkinfrastruktur gehörigen Daten müssen dabei keineswegs uneingeschränkt mit in die Cloud verlagert werden. Ein mögliches Szenario für das Gesundheitswesen kann folgendermaßen aussehen: Die Patientendaten und Da- ten zur Steuerung der Hardware (zum Beispiel Switches oder Access Points) verbleiben lokal in der Organisation. Informati- onen auf Verwaltungs- beziehungsweise Managementebene des Netzwerks werden in der Cloud gehostet. Somit werden keine personenbezogenen Daten unverschlüsselt in die Cloud übermittelt oder dort gespeichert. Dies schafft die Möglichkeit, die für einen automatisierten und efﬁzienten Betrieb notwen- dige Cloud-Anbindung völlig sicher zu schaffen und gleichzei- tig die Datensicherheit zu wahren. Auch eine dauerhafte Datenspeicherung zur Ausschöp- fung intelligenter Automatisierung kann gemäß den Daten- schutzbestimmungen umgesetzt werden, indem sämtliche Netzwerkdaten anonymisiert gespeichert werden. Cloud-Management-Lösungen sind in der Lage, komplexe Sachverhalte und Problemstellungen einfach und übersicht- lich darzustellen, was das Netzwerkmanagement immens er- leichtert. Diese Effekte sind auch im Bereich der IT-Sicherheit erkennbar. Automation und Einfachheit der Nutzeroberﬂäche ermöglichen eine ﬂexible Verwaltung von neuen Systemen und Geräten und damit eine sichere Anbindung an das Netz- werk. Von der Verbesserung der Netzwerkkonnektivität bis hin zur Optimierung der IT-Ressourcen mit zentralisiertem Sys- temmanagement – Netzwerkmanagement aus der Cloud bringt viele Vorteile mit sich. Alle tragen dazu bei, das medizi- nische Personal bei der Bereitstellung der bestmöglichen Pa- tientenversorgung zu unterstützen und gleichzeitig höchste Sicherheit zu bieten. n Andreas Helling, Manager of Systems Engineering bei Extreme Networks (Foto: Extreme Networks) 22 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - s s e n s u B y e k n o M © i : d l i B

Falsche Ärzte – wahre Hacker Mit gefälschten Urkunden verschaffen sich Hochstapler eine Einstellung als Arzt. Klini- ken und Praxen haben es schwer, die Betrüger zu erkennen – das wird für Patienten zur Gefahr. Genauso verhält es sich mit IT-Infrastrukturen von Kranken häusern – sie sind oftmals genauso wenig vor unerwünschten Eindringlingen aus dem Netz sicher. Bereits mit einem klugen Zugriffsmanagement ließen sich die Cyberrisiken deutlich minimieren. D ie Brisanz nimmt zu: In der Corona-Pandemie stellen Cyberattacken für die überlasteten Krankenhäuser eine noch größere Gefahr dar. Hacker dringen im- mer öfter in Computernetze von Krankenhäusern und ande- ren systemrelevanten Organisationen ein. So registrierte die Bundesregierung 2020 bis Anfang November 43 erfolgreiche Angriffe auf Gesundheitsdienstleister – mehr als doppelt so viele wie im gesamten vergangenen Jahr. Meist geht es Cyber- kriminellen darum, Daten der Kliniken und anderer Ein- richtungen zu verschlüsseln und Lösegeld für die Freigabe zu verlangen. Ein Drittel der Krankenhäuser weist Mängel in der IT-Sicherheit auf Ein Risiko für viele Gesundheitseinrichtungen – mit wach- senden Folgen: Bei mindestens einem Drittel der Krankenhäu- ser in Deutschland ist die IT-Sicherheit mangelhaft. In vielen Kliniken sind Server und Software veraltet, Datenbanken werden nur mit einem Passwort gesichert. Der Schutz vor Ha- ckerangriffen ist lückenhaft. Gerade Patientendaten sind nicht nur äußerst sensibel, sie sind häuﬁg auch besonders schlecht geschützt. Schmale IT-Budgets, mangelnde Sensibilisierung und unzureichend geschulte Mitarbeiter sowie ein überfor- dertes Management begünstigten die Attacken. Und es ist ein Wettlauf gegen die Zeit: Laut einem neuen Bericht von Black Book Market Research wird sich das Volu- men von Datenschutzverletzungen im Gesundheitswesen im kommenden Jahr voraussichtlich verdreifachen. Die Digita- lisierung im Gesundheitswesen trägt zur Vergrößerung der Angriffsﬂäche bei: breite Einführung von Electronic Health Records Systems (EHRS), die Integration der IoT-Technologie (softwarebasierte medizinische Geräte wie MRTs, EKGs, Infu- sionspumpen) und die Migration zu Cloud-Diensten. It’s all about access: Identitäts- und Zugriffsmanagement minimieren Risiken Hierfür braucht es nicht nur Notfallpläne, sondern die opti- male Abfolge von Schutzmaßnahmen, die die Sicherheit erhö- hen. Zentraler Bestandteil ist hier das Identitäts- und Zugangs- management. Pandemiebedingte verstärkte Remote-Zugriffe, die Abstimmung speziﬁscher Einsatzbereiche im Kranken- haus sowie schnelle Schichtwechsel im 24-Stunden-Betrieb erfordern eine kluge Identity-and-Access-Security-Strategie, um die Interaktionen mit sensiblen und vertraulichen Daten abzusichern und offene Einfallstore zu schließen. Eine be- darfsgerechte Zugriffskontrolle entlastet dabei nicht nur IT- Teams, sondern erleichtert auch die medizinische Versorgung. Mit dem 2020 von der Bundesregierung ins Leben geru- fenen Krankenhauszukunftsfonds können nun Gesundheits- einrichtungen bei der Digitalisierung ihrer Infrastrukturen ﬁnanziell gefördert werden. Mindestens 15 Prozent der IT- Inves titionen müssen dabei in die IT- und Cybersicherheit ge- hen. Gerade Kliniken, wo es um Leben und Tod sowie sensible Gesundheitsdaten geht, müssen einen Überblick über ihre Si- cherheitslücken und die Zugänge zu ihren kritischen Systemen haben. Alles andere ist fahrlässig. Hier wird die Risikovorsorge schließlich zur Lebensversicherung. n Stefan Rabben, Area Director DACH & Eastern Europe bei WALLIX SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 23

Herr über die eigenen Daten bleiben Digitale Prozesse helfen heilen Die derzeitige Corona-Pandemie stellt für Krankenhäuser in vielerlei Hinsicht eine große Herausforderung dar. Einige Einrichtungen beklagen immer wieder, dass ihre Kapazität voll ausgeschöpft sei. Neben diesen Begleiterscheinungen hat die aktuelle Situation aber auch deutlich gezeigt: Nach wie vor ist die digitale Transformation in Kliniken nicht weit genug fortgeschritten. Der Nachhol- bedarf zeigt sich sowohl in der Daten- nutzung und dem Datenaustausch als auch in der IT-Sicherheit. Tatsächlich werden Informationen immer noch per Fax und Post verschickt oder CDs und DVDs ausgetauscht; und das, obwohl durch das Krankenhauszukunftsgesetz Fördergelder in Höhe von insgesamt drei Milliarden Euro bereitgestellt wurden, damit Krankenhäuser in ihre Digitalisierung investieren können. I m Gesundheitswesen werden täglich zahlreiche sensib- le Patientendaten verarbeitet. Je nach Größe eines Kran- kenhauses können sich schnell Berge von Aktenstapeln ansammeln. Das macht es zu einer großen Herausforderung, den Überblick zu behalten. Hinzu kommt, dass Patientenda- ten nicht die einzigen Daten sind, die in den Einrichtungen dokumentiert und ausgetauscht werden. Auch zwischen den Abteilungen werden viele geschäftskritische Daten geteilt, die darüber hinaus auch an externe Parteien, wie niedergelassene Ärzte, Ämter, Rentenversicherungen, Krankenkassen oder an- deren Kostenträger, gesendet werden. Abgesehen davon, dass die Daten über einen sicheren Kanal ausgetauscht werden sollten, führt dies zu einem überaus hohen Papierverbrauch. Doch im Zuge der Digitalisierung dieser Prozesse steht einer sicheren Versendung und dem Verringern des ökologischen Fußabdrucks nichts im Weg. 24 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Weg vom Papier hin zum Digital Workplace Mittlerweile ist ein Ruck in Kliniken und Krankenhäusern zu spüren. Denn bei vielen ist die Digitalisierung zumindest in Teilbereichen in vollem Gang – mit Auswirkungen auf das ge- samte Gesundheitswesen. Um Papierberge zu reduzieren, Ab- läufe zu optimieren und zukunftstauglich zu machen, haben manche Gesundheitseinrichtungen bereits digitale Austausch- und Arbeitsplattformen etabliert. Solche Lösungen bieten zum Beispiel einen persönlichen Speicherplatz, der dann sinnvoll ist, wenn der Arzt seinen Diagnosebericht zunächst als Ent- wurf sicher abspeichern will, bevor er ihn endgültig an den Patienten weitergibt. Darüber hinaus lassen sich mit einer solchen Lösung alle Dokumente und Dateien unabhängig von ihrer Größe einfach, sicher und nachvollziehbar übermitteln. Dokumente müssen somit nicht mehr ausgedruckt werden. Auf dem Weg zur elektronischen Patientenakte Gleichzeitig sind digitale Lösungen in Krankenhäusern ein erster Schritt zur elektronischen Patientenakte, die ohne- hin bald eingeführt werden soll. Diese hat den Vorteil, dass sie jederzeit überall verfügbar ist und ständig vom autorisierten Personal eingesehen oder ergänzt werden kann. Während man mit Papierakten immer dem Risiko ausgesetzt ist, dass bestimmte Daten auch einmal verloren gehen können, hat man die Informationen auf den sicheren Plattformen zu jeder Zeit unter Kontrolle. Darauf hat auch nicht – wie beim Papier – jeder Zugriff, sondern es muss vorab eingestellt werden, wer welche Informationen einsehen darf. Auf diese Weise lässt sich nicht zuletzt auch der Datenschutz im erforderlichen hohen Maß gewährleisten. Zudem ist eine lückenlose Dokumenta- tion über die Verwendung der Daten verfügbar. n Markus Gringel, Mitglied der Geschäftsführung bei SECUDOS . m o c e b o d a k c o t s - a k n e h s V f a r G © i . : d l i B

E-Mail als Basiskommunikations- technologie im Gesundheitswesen Sicher und DS-GVO-konform? In wenigen Branchen hat die europäische Datenschutz-Grundverordnung (DS-GVO) so große Auswirkungen wie im Gesundheitssektor. Schließlich handelt es sich bei Gesundheits- und Patientendaten immer um personenbezogene Daten, die laut DS-GVO durch Verschlüsselung oder Anonymisierung geschützt werden müssen. Im Austausch mit weiterbehandelnden Abteilungen oder Einrichtungen ist eine Anonymisierung ungeeignet, folglich müssen personenbezogene Daten im Falle einer digitalen Übertragung verschlüsselt sein. D ie DS-GVO gilt seit 2018 und für einige Kommuni- kationsanlässe gibt es bereits geschlossene sichere Systeme wie den „eArztbrief“ oder die elektronische Abrechnung mit Krankenkassen. Für alle nicht standardisier- ten digitalen Kommunikationsfälle empﬁehlt sich statt des Faxgeräts mit all seinen Unzulänglichkeiten die Basistechno- logie E-Mail. Sie ist schnell, efﬁzient und ﬂächendeckend ver- breitet: Lieferanten, Behörden, Fahrdienste und auch Patien- ten und Angehörige sind per E-Mail erreichbar. Allerdings ist die E-Mail ohne zusätzliche Schutzmaßnahmen nicht sicher. E-Mails können recht einfach ausgespäht sowie abgefangen und manipuliert werden. Sehr strapaziert, dennoch zutref- fend, ist der Vergleich des Sicherheitsniveaus einer E-Mail mit dem einer Postkarte. Genau wie der Versand von Diagnosen oder Studienergebnissen nicht per Postkarte geschieht, ist auch eine unverschlüsselte E-Mail nicht zur Kommunikation sensibler Daten im Gesundheitswesen geeignet. Im Gesundheitswesen besser Inhalte als Übertragungswege verschlüsseln Eine einfach verfügbare Sicherung ist das Verschlüsselungs- protokoll TLS (Transport Layer Security), das den Transportweg der E-Mail schützt. Laut BSI (1) ist dies nur ein schwacher, oft lü- ckenhafter Schutz, der auch im Fall eines Audits nicht eindeutig nachgewiesen werden kann. Auch die Risiko- und Folgenab- schätzung nach DS-GVO spricht gegen TLS. Eine abgefangene E-Mail, die sensible Gesundheitsdaten enthält, kann die betrof- fene Person stark benachteiligen: von ausbleibenden Karriere- chancen bis zu schlechteren Konditionen bei Verträgen. Bereits heute sind im Gesundheitssektor die international anerkannten, zertiﬁkatsbasierten Verschlüsselungsstandards S/MIME und OpenPGP verbreitet. Diese verschlüsseln und sig- nieren den Inhalt der E-Mails inklusive Anhänge. So kann der Versand von personenbezogenen Daten gefahrlos über das In- ternet erfolgen. Die Verschlüsselung und Signatur mit Zerti- ﬁkaten sollte allerdings nicht ohne geeignete Software erfol- gen. Das manuelle Management der notwendigen Prozesse ist schon bei wenigen Usern faktisch kaum zu leisten und enorm fehleranfällig. Empfehlenswert ist der Einsatz sogenannter Secure E-Mail-Gateways. Diese setzen die Verschlüsselung und Signatur von E-Mails automatisiert nach festgelegten Regel- werken um, ohne die gewohnten Arbeitsprozesse der Mitar- beiter zu stören. Kommunikationsszenarien im Krankenhaus und die jeweilige Verbreitung von Zertifikaten für die E-Mail-Verschlüsselung. (Quelle: Zertifikon) Da Verschlüsselungszertiﬁkate bei Patienten, Angehörigen sowie kleineren Dienstleistern kaum verbreitet sind, bieten Secure E-Mail-Gateways für den Austausch mit diesen eine Verschlüsselung mit Passwort. Secure E-Mail-Gateways mit hohem Automatisierungsgrad sind in der Lage, die passende Verschlüsselungsmethode ohne Zutun der Mitarbeiter zu be- stimmen. Damit sind Krankenhäuser für die Digitalisierung der Kommunikation bestens gerüstet – einfach, sicher und DS-GVO-konform. n (1) https://bit.ly/2P9DF6V Peggy Hüpenbecker, Chief Marketing Officer bei Zertificon Solutions SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 25 . . m o c e b o d a k c o t s - s n o c i - r o t c e v - t © : d l i B

Das Internet der medizinischen Dinge – ein bislang zu wenig beachteter Risikofaktor Hightech am Krankenbett – Lowtech bei der Sicherheit Infusions- und Ernährungspumpen, EKG und Blutwäsche – in Deutschland arbeiten im Schnitt 10 bis 15 Geräte am Kranken- bett. Die intensiv-medizinische Überwa- chung der Gesundheitswerte eines Patien- ten, die Dosierung von Medikamenten, Alarmierung als Reaktion auf Ereignisse und Nachrichten an nachgelagerte Syste- me erfolgen mit hoher Qualität und Effizi- enz. Die rasante Digitalisierung und fort- schreitende Vernetzung erfordern für all diese Eingabe-, Ausgabe-, Visualisierungs- und Steuerungs-Geräte den Anschluss an das IP-Netzwerk des Krankenhauses. R egelmäßig werden neue Sicherheitslöcher bekannt. Aber die IT-Sicherheit tritt auf der Stelle: Viele Sys- teme besitzen historisch keinerlei Security-Funktion. Medizinische Zertiﬁzierungen entfallen bei eigenmächtigem Patchen der Betriebssysteme. Die Folge: Best Practices der IT- Sicherheit werden nicht konsequent umgesetzt. Zudem sind bestehende Netzwerke ﬂach und selten segmentiert. Keine Heilung: Security Updates für ältere Geräte fehlen Das Zusammenspiel in einer extrem heterogenen Gerä- telandschaft macht jedoch zusätzlich eine Abstimmung der Updates verschiedenster Geräte erforderlich. Gerätevielfalt und extreme Altersunterschiede verhindern zentrale Patches und Updates, da nicht alle Geräte zum Beispiel einen Proto- kollwechsel gleichzeitig vollziehen können. Und so entfallen Updates selbst auf modernen Geräten und alle Systeme ver- bleiben angreifbar im Netzwerk. Verantwortung: Wer pflegt die Systeme? Die Zuständigkeit ist dezentral. Haus-IT, medizinischer IT und Haustechnik fehlt oft die zentrale technische Inventari- sierung. Aber medizinische Geräte (med. IT) arbeiten dennoch mit verbundenen Workstations (Haus-IT) und Meldesystemen (Haustechnik). Die Vielzahl der Hersteller, der Geräte, verwen- deter Protokolle und Schnittstellen verhindert Durchblick in den Fachabteilungen. Schlimmer noch: Geräte sind komplett unbeobachtet. Therapie: Automatisches Erkennen, Klassifizieren, Absichern Hilfe bringt ein Verfahren mit automatischer Erkennung und Inventarisierung. Das gesamte Kliniknetz wird nach me- dizinischen Geräten durchsucht. Informationen zu Geräten und eingesetzten Protokollen werden gesammelt, klassiﬁziert und kategorisiert. Ergänzt mit Informationen über bekannte Schwachstellen gehen diese Informationen an ein Enterprise- Level-Security-Management. Kontrolle: Infektionen und Angriffe eindämmen und verhindern Diese Methode ermöglicht es, granulare Zugriffsregeln für medizinische Systeme auf den Firewalls an den Netzwerk- knotenpunkten einzusetzen. Zusammengehörige Systeme werden in Gruppen separiert und Datenverkehr gekapselt. Ein Security-Information-and-Event-Management-(SIEM-)System kann Ereignisse aufbereiten und Gefahren sichtbar machen. Die vorhandene Sicherheits-Infrastruktur wird nun auch ge- zielt zum Schutz medizinischer Geräte und hochsensibler me- dizinischer Daten wirksam. Risikobewertung und Ausblick Wo das Management der IT-Security-Infrastruktur bereits zentralisiert ist, kann das dargestellte Verfahren besonders ef- ﬁzient helfen. Erfahrene und im Bereich IT-Sicherheit zerti- ﬁzierte Spezialdienstleister können der Krankenhausleitung beim Risikomanagement und der IT-Abteilung beim Test eta- blierter Produkte und deren Einführung helfen. n Friedrich Taatz, Senior Security Consultant Kliniken ESC – Enterprise Security Center GmbH, ein Unternehmen der Swiss IT Security Group AG 26 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - h c y v e k n z © i

– FIRMENPROFIL – Expertenteams in Zeiten gezielter Cyberangriffe immer wichtiger GEFAHR ERKANNT, GEFAHR GEBANNT: WIE GEHT GUTES THREAT HUNTING? Threat Detection and Response (kurz TDR) ist eine Methode, die es Krankenhäusern ermöglicht, Cyberangriffe zu neutralisieren, bevor sie Schaden anrichten können. Denn es ist immer schwieriger, Cyberbedrohungen zu identifizieren und darauf zu reagieren. Und zwar so effektiv und effizient wie ein Großkonzern – ohne ein Heer an IT-Sicherheits- experten zur Verfügung stehen zu haben. Oftmals werden Angriffe heutzutage als sogenannte Blen- ded Attacks durchgeführt, die maschinelle und mensch- liche Angriffstechniken kombinieren. In der Folge kommen verschiedenste und oftmals unter dem Radar laufende Einzelangriffe zum Einsatz, die sich zudem individuell anpassen, wenn sich ihnen ein Hindernis in den Weg stellt. Threat Hunter und Analysten enthüllen diese verborge- nen Gegner, indem sie sich an verdächtigen Ereignissen, Anomalien und Aktivitätsmustern orientieren. Das Aufﬁnden der Bedrohung ist dabei nur der erste Schritt, im Anschluss ist die Zusammenarbeit im Teamwork wich- tig, um die Situation zu entschärfen. Das Ergebnis ist Threat Detection and Response. Während sich solche Expertenteams lange Zeit zumeist nur Großkonzerne oder staatliche Einrichtungen leisten konnten, öffnet Sophos diesen indi- viduellen Service mit seinem Manage Threat Response Service (MTR) nun auch stationären Einrichtungen jeder Größenordnung und lässt seine Cyber- crime-Experten für Kunden aktiv werden. Denn nur wenige Organisationen haben intern die richtigen Tools, Mitarbeiter und Prozesse, um ihr Sicher- heitsprogramm efﬁzient rund um die Uhr zu verwalten und sich gleichzeitig proaktiv vor neuen Bedrohungen zu schützen. Das Sophos MTR-Team infor- miert nicht nur über Angriffe und verdächtiges Verhalten, sondern ergreift auf Wunsch gezielte Maßnahmen direkt im Netzwerk, um selbst hochkom- plexe Bedrohungen unschädlich zu machen. Die Cybercrime-Experten über- nehmen dabei sieben Tage die Woche rund um die Uhr folgende Aufgaben: Proaktives Aufspüren und Prüfen von potenziellen Bedrohungen und Vorfällen Nutzen aller vorliegenden Informationen, um Ausmaß und Schwere von Bedrohungen zu bestimmen Anwenden geeigneter Maßnahmen je nach Risiko-Bewertung der Bedrohung Einleiten von Maßnahmen zum Stoppen, Eindämmen und Besei- tigen von Bedrohungen Bereitstellen konkreter Ratschläge, um die Ursache wiederholt auftretender Vorfälle zu bekämpfen Sophos MTR basiert auf Intercept X Advanced with EDR, einer Technologie zur Erstellung detaillierter Abfragen, um Bedrohungen aufzuspüren und IT Security Operations zu optimieren. Auf diese Weise werden leistungsstar- kes Machine Learning mit Expertenanalysen zu einem effektiven Teamwork vereint. Die Sophos EDR-Technologie basiert auf dem neuronalen Deep-Learning- Netzwerk von Sophos, das anhand von Hunderten von Millionen Beispielen und Bedrohungsindikatoren geschult ist. Security-Analysten und IT-Ad- ministratoren erhalten außerdem On-Demand-Zugriff auf Bedrohungsin- formationen aus den SophosLabs, die täglich mehr als 400.000 Malware- Samples verfolgen, zerlegen und analysieren. Auf diesem Wissen basiert der sogenannte Live-Discover-Service: Dieses Angebot erkennt vergangene und aktuelle Aktivitäten und speichert die Daten bis zu 90 Tage. Sofort einsatz- bereite SQL-Abfragen ermöglichen es, Fragen zur Bedrohungssuche und IT zu beantworten. Diese können aus einer Bibliothek mit vordeﬁnierten Optionen ausgewählt und von Benutzern vollständig angepasst werden. Die ﬂexible Query Engine bietet Zugriff auf hoch detaillierte Aufzeichnungen über Endpoint-Aktivitäten, die mit der Sophos Deep-Learning-Technologie kontinuierlich aktualisiert werden. n 28 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

– FIRMENPROFIL – Attacken im Stealth-Modus mit kommunizierenden Systemen stoppen MALWARE DENKT (LEIDER) MIT – UND IT-TEAMS MÜSSEN UMDENKEN . . m o c e b o d a k c o t s – e m L © i Cyberkriminelle schauen sich immer häufiger erst einmal unentdeckt in Netzwerken um, bevor sie mit aller Wucht zuschlagen. Intelligent vernetzte IT-Security-Lösungen schieben hier einen Riegel vor. Cyberkriminelle scannen Netzwerke mittlerweile so profes- sionell wie Penetration-Tester nach potenziellen Schwach- stellen und Angriffspunkten. Deshalb müssen IT-Security- Strategien und -Verteidigungslinien immer wieder neu überdacht und neu aufgesetzt werden. Im Sophos Threat Report war eins der großen Themen die Tatsache, dass Hacker ihre Opfer immer häuﬁger ausführlich stalken, bevor sie wirklich zuschlagen. Das bedeutet, dass Eindringlinge sich mittlerweile immer häuﬁger auf „Schleichfahrt“ durch die gekaperten Netzwerke begeben und erst dann mit voller Wucht zuschlagen, wenn möglichst viele Steuerungselemente unter ihrer Kontrolle bzw. eigene Schadprogramme heimlich installiert sind. Der Grund hierfür ist schnell gefunden: Die Endpoints in Krankenhäusern und anderen Einrichtungen sind immer besser geschützt, und die Cyberkriminellen fahnden nun nach dem nächsten schwächsten Glied in der Verteidigungskette. Entsprechend ändert sich auch der Aktionsradius der IT-Security-Verantwortlichen vom simplen „Protection Ž Detection“ hin zu einem intelligenten und auto- matisierten Sicherheitssystem, dass die Lateral-Movement-Attacken der Hacker erkennt und selbstständig isoliert. „IT-Abteilungen verfügen nicht über die nötigen Ressourcen, um auf das Volumen und die ständig wechselnden Cyberangriffe adäquat zu reagie- ren. Anspruchsvolle Bedrohungen erfordern intelligente Security-Lösun- gen, die vorausschauend, vielschichtig und systemübergreifend interagie- ren. Mit Sophos Intercept X in Kombination mit der XG Firewall verfügen Partner und Kunden über Next Generation Security-Technologien und pro- ﬁtieren von den Vorteilen der Synchronized Security“, erklärt Michael Veit, IT-Security-Experte bei Sophos. „Jede IT-Organisation, ob groß oder klein, braucht eine Sicherheitslösung, die innovativ, integriert und skalierbar ist.“ SICHERER KOMMUNIKATIONSKANAL ZWISCHEN ENDPOINT UND NETZWERK Synchronisierte Sicherheit von Sophos beinhaltet einen sicheren Kommu- nikationskanal zwischen Endpoint- und Netzwerk-Sicherheitslösungen. Erkennt die Firewall schädlichen Datenverkehr, benachrichtigt sie umge- hend den Endpoint-Agenten. Dieser reagiert dynamisch, identiﬁziert und hinterfragt den verdächtigen Prozess. In vielen Fällen kann er den Vorgang automatisch beenden und die restlichen inﬁzierten Komponenten entfer- - zeitig einen besseren Schutz von Daten garantieren – inklusive Next-Gen- Technologien wie Deep Learning oder Sandboxing. „Während Unternehmen zunehmend in die Cloud wechseln und das Re- mote-Arbeiten ermöglichen, erhöhen Cyberkriminelle den Einsatz und schrecken vor nichts zurück, um aus den erweiterten Angriffsﬂächen Ka- pital zu schlagen. Server und andere Endpoints sind oft unzureichend ge- schützt, wodurch Schlupﬂöcher entstehen, die von Angreifern ausgenutzt werden“, so Michael Veit. „Sophos EDR identiﬁziert diese Angriffe, verhin- dert Attacken und bringt Licht in ansonsten dunkle Bereiche. Live-Abfra- gen ermöglichen es, nach Indikatoren einer Kompromittierung zu suchen und den aktuellen Systemstatus zu ermitteln. Dieses Maß an Information ist entscheidend, um das wechselnde Verhalten der Angreifer zu verste- hen und die Verweildauer zu verkürzen.“ n SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 29

– ADVERTORIAL – IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN IT-SICHERHEIT KANN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN LEBEN RETTEN Die Aufgabe von Krankenhäusern, medizinischen Instituten und Laboren ist es, für das Wohlergehen und die Sicher- heit der Bevölkerung zu sorgen. Gleichzeitig haben sich in der Branche durch die Digitalisierung neue Herausforderungen in puncto IT-Security entwickelt. CYBERGEFAHREN IM KRANKENHAUS Immer mehr IT-Systeme sind untereinander vernetzt, mit dem Internet verbunden und dadurch auch per Remote-Zugriff erreichbar. Dies macht sie angreifbar, beispielsweise durch gezielte APT-Attacken (Advanced Per- sistent Threats). Datensätze und Patientenakten liegen zudem meist nur noch digital vor und enthalten umfassende Informationen über Einzelper- sonen. Sie stellen daher ein Paradies für jeden Cyberkriminellen dar, der Social Engineering betreiben möchte. Gerade vor dem Hintergrund der biometrischen Identiﬁkation kann mit der Manipulation von persönlichen physiologischen Details mehr Geld verdient werden als je zuvor. ANGRIFFE AUF IMPFSTOFF-FORSCHUNG Fakt ist: Im Healthcare-Sektor geht es um weit mehr als Identitätsdieb- stahl. Wenn OP-Rechner gehackt oder Blutdruckwerte verfälscht wer- den, stehen Leben auf dem Spiel. Die hohe Relevanz von IT-Sicherheit im Gesundheitswesen verdeutlichen beispielsweise auch die jüngsten Cyberangriffe im Rahmen der COVID-19-Impfstoff-Forschung. Kaspersky- Experten hatten bereits im Herbst 2020 zwei zielgerichtete Attacken auf ein Gesundheitsministerium und ein Pharmaunternehmen identiﬁziert. Die eingesetzte Malware verfügte in beiden Fällen über ähnliche Eigen- schaften, darunter eine voll funktionsfähige Backdoor, um den Computer des Opfers auf nahezu beliebige Weise zu steuern. Leicht vorstellbar, was derartige Bedrohungen für die Impfstoff-Entwicklung bedeuten könnten, wenn sie nicht frühzeitig erkannt und behoben werden. 30 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS andemie hat das Thema IT-Schutz im Gesund- onnen. Die Sicherheitsexperten von Kaspersky on aus, dass es in diesem Jahr verstärkt zu Leaks von Patienten- wird und Gesundheitsorganisationen sowie elhersteller zunehmend Cyberangriffen ausge- derungen sollten sich Krankenhäuser und Kliniken unab- tenvolumen jetzt stellen – und ihre IT-Secu- ocken. Zumal der Gesetzgeber dies ausdrück- uge des Patientendaten-Schutz-Gesetzes (PDSG) derungen an die Informations- und IT-Sicherheit enhäuser, die aufgrund des Schwellenwertes aktuell astruktur eingestuft sind. Auch sie müssen ab Januar önnen, dass sie dem Stand der Technik entsprechende orische Maßnahmen zur Vermeidung von Stö- egrität und Vertraulichkeit ihrer IT-Systeme, esse getroffen haben.

– ADVERTORIAL – Sie möchten mehr erfahren? Melden Sie sich jetzt zum Kaspersky-Webinar „IT-Sicherheit kann Leben retten“ am 06. Mai 2021 an: https://kas.pr/healthcare Über Kaspersky Healthcare Cybersecurity: www.kaspersky.de/enterprise-security/ healthcare unterstützt Kaspersky Krankenhäuser und Kliniken dabei, gesetzliche Richtlinien und Compliance-Vorgaben einzuhalten, sich professionell gegen Cyberbedrohungen aufzustellen und ihre IT-Sicherheit im Rahmen des Krankenhauszukunftsfonds zu optimieren. So lassen sich selbst komplexe Cyberangriffe verhindern und erkennen, Schäden minimieren sowie Mit- arbeiter für das wichtige Thema sensibilisieren. Ein Überblick, wie Sie Ihre IT-Infrastruktur mit Kaspersky schützen können und von der Security-Expertise im Bereich Healthcare proﬁtieren: Mehrstuﬁge Lösungen mit Next-Generation-Malware-Erkennung, proaktiven Abwehrtechnologien sowie automatisierter Reaktion und Wiederherstellung zum Schutz vor gezielten Angriffen (Advanced Persistent Threats) Cybersecurity Services: Unterstützung der eigenen IT-Abteilung durch Cybersecurity-Experten in den Bereichen Threat Hunting, Malware-Analyse, Reverse Engineering, Forensik, Incident Response und Notfallplanung einer interaktiven Online-Trainingsplattform, die typische Angriffs- szenarien behandelt: Teilnehmer können direkt an ihrem PC-Arbeits- platz die Lernmodule ﬂexibel bearbeiten und bei Bedarf jederzeit wiederholen Trainings zur Weiterbildung von IT-Fachkräften des Krankenhauses, um sich mithilfe interner Teams besser gegen Angriffe zu schützen Absicherung von IT-/OT-Infrastrukturen Entwicklung und Umsetzung von IT-Security-Strategien gemeinsam mit ausgewählten und zertiﬁzierten Kaspersky-IT-Dienstleistern, die Sie gem. § 21 – Krankenhausstrukturfonds-Verordnung (KHSFV) bei der Beantragung von Fördermitteln unterstützen SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 31

– ADVERTORIAL – KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS KRANKENHAUS DIGITAL DIGITAL DIGITAL DIGITAL DIGITAL DIGITAL DIGITAL DIGITAL Schritt für Schritt und ressourcenschonend zur modernen Netzwerkinfrastruktur modernen Netzwerkinfrastruktur E-Health wird ein zunehmend wichtiger Baustein in der Gesundheitsversorgung, und Krankenhäuser müssen nicht nur in der aktuellen Pandemie immer schneller und flexibler auf sich stets verändernde Situationen reagieren. Eine performante Netzwerkinfrastruktur bildet das Fundament für die notwendige durchgängige Digitalisierung im Klinikbetrieb. Mit der passenden Technologie lässt diese sich schrittweise und ressourcenschonend aufbauen – auch auf Basis älterer Netzwerkinfrastrukturen. Autor: Michael Schwanke-Seer, Vertical Account Executive bei Extreme Networks Dass die Chancen der Digitalisierung im Gesundheitswesen enorm sind, ist mittlerweile weithin bekannt: Der Ein- satz von vernetzen IoT-Geräten, mobiler Medizintechnik und digitalen Patientenakten ermöglicht Datenaustausch in Echtzeit und efﬁzientere Therapieabläufe. Doch auch Verwaltungsprozesse, Alarmsys- teme, Gebäudemanagement, Asset Tracking oder Catering lassen sich im Klinikalltag vereinfachen und optimieren. Medizinisches und Pﬂegeper- sonal wird entlastet und Patienten proﬁtieren von einer noch besseren Therapie-Erfahrung. Doch, obwohl die Chancen groß sind, stehen Gesundheitseinrichtungen häuﬁg vor Herausforderungen, wenn es an die durchgängige Digitalisie- rung und den Aufbau eines performanten Netzwerks geht: Krankenhaus- umgebungen sind überaus heterogen. Die Netzwerkinfrastruktur muss den speziﬁschen Ansprüchen der unterschiedlichen Nutzergruppen – von Mitarbeitenden über Patienten und Besucher bis hin zu externen Part- nern – entsprechen und dabei gleichzeitig regulatorische Richtlinien und potenziell lebenswichtige Anforderungen an Sicherheit und Zuverlässig- keit erfüllen. Erschwerend kommt hinzu, dass Verantwortliche in vielen 32 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

Krankenhäusern mit einer Netzwerkinfrastruktur arbeiten, die bereits vor mehr als 15 Jahren geplant wurde und den heutigen Anforderungen nicht mehr gerecht werden kann. SICHERHEIT DURCH SEGMENTIERUNG Von der Infusionspumpe bis hin zum Patientenmonitor – heute sollen Endgeräte als IoT-Devices inklusive der entsprechenden, ständig im Infor- mationsaustausch mit anderen Systemen und Servern stehenden Anwen- dungen direkt in die Netzwerkinfrastruktur eingebunden werden. Dieses Zusammenspiel aus modernem Medizingerät und veralteter Technik birgt ein erhebliches Sicherheitsrisiko. Moderne Technologie kann hier Abhilfe schaffen und ermöglicht eine ge- zielte Microsegmentierung in unterschiedliche Sicherheitszonen. Dadurch kann eine Trennung zwischen bestimmten Bereichen und unterschiedli- chen Funktionsgruppen im Klinikumfeld sichergestellt werden. Das heißt zum Beispiel einerseits Besucher- und Patienten und andererseits Mit- arbeiter und die auf der betreffenden Station eingesetzten Medizingerä- te. Durch Segmentierung mithilfe von moderner Technologie lassen sich nicht nur Therapiegeräte abhörsicher einbinden, sondern – genau wie bei der Digitalisierung von Fabriken – auch ältere Netzwerke punktuell absi- chern und schrittweise modernisieren. Eine fabric-basierte Netzwerkarchitektur erleichtert außerdem die Konﬁguration der Segmentierung, indem nur noch die Schnittstellen, an denen das Endgerät angeschlossen wird, konﬁguriert werden müssen. Das erlaubt eine praktische Durchführung im laufenden Betrieb. Alles Weitere übernimmt das Fabric-Protokoll. AUTONOME NETZWERKE: SMARTES UND RESSOURCENSPARENDES MANAGEMENT Der Vorteil einer schrittweisen und punktuellen Modernisierung liegt auf der Hand: Weil nicht die gesamte Netzwerkinfrastruktur auf einmal infra- ge steht, bleiben die ökonomischen Herausforderungen überschaubar. Weitere Efﬁzienzsteigerungen ergeben sich durch den Einsatz künstlicher Intelligenz: Sogenannte autonome Netzwerke ermöglichen es, Manipula- tionen schneller und einfacher zu erkennen und zu verhindern. Das kann beispielsweise das Hacken von medizinischen Geräten von extern sein oder aber die Installation von Schadsoftware zum Ausschalten der medizi- nischen Versorgung. Autonome Netzwerke überprüfen 24/7 mithilfe einer Anwendungsana- lyse, ob bei medizinischen Geräten „auffälliges Verhalten“ zu beobachten ist. Im Verdachtsfall geht sofort eine Warnmeldung an die verantwortli- chen Teams oder das Gerät kann automatisiert entfernt werden, um Schä- den zu minimieren bzw. zu verhindern. Die Automatisierung von Prozes- sen wie diesen ermöglicht ein umfassendes und ressourcenschonendes Management und Monitoring des Netzwerks. DIE NETZWERKSTEUERUNG IN DIE CLOUD VERLEGEN Flexibilität, Agilität und Skalierbarkeit sind so wichtig wie nie. So müssen beispielsweise angesichts der weltweiten COVID-19-Fälle kreative Lösun- gen gefunden werden, um Gesundheitsdienste kurzfristig auszubauen, zum Beispiel durch Pop-up-Zelte zur Ausweitung der Testkapazitäten und Behandlungsräume wie 2020 in New York gesehen. Netzwerke müssen solchen Szenarien Rechnung tragen können. Gleichzeitig steigt jedoch auch der Druck für Gesundheitseinrichtungen, Kosten zu sparen. s k r o w t e N e m e r t x E : r e d l i B – ADVERTORIAL – Cloud-gesteuerte Netzwerke ermöglichen mehr Flexibilität und Skalierbar- keit bei gleichzeitiger Kostenkontrolle und können unter anderem Aspekte wie eine schnelle und sichere Konnektivität für Notfallteams (beispielswei- se in mobilen Testzentren) sowie Telemedizin und Remote-Patientenüber- wachung abbilden. Sie sind besonders anwenderfreundlich und ermög- lichen eine efﬁziente, dezentrale Verwaltung der Netzwerkinfrastruktur sowie aller Geräte über mehrere Standorte hinweg. Das ist entscheidend für eine ressourcenschonende Netzwerkverwaltung, denn mehr als die Hälfte der Krankenhäuser erstrecken sich über mehr als elf Gebäude. Basierend auf den vier Säulen Flexibilität, Agilität, Sicherheit und Technologie (FAST) erfüllt die cloudbasierte Netzwerktechnologie ExtremeCloud IQ™ von Extreme Networks die für Netzwerke im Ge- sundheitswesen geltenden Anforderungen. Extreme Networks und seine Partner unterstützen Gesundheitseinrichtungen mit ihrem breiten Lö- sungsportfolio, individuellen Premium Services, umfassende Expertise zu geltenden Richtlinien und Fördervoraussetzungen sowie jahrzehntelan- ger Erfahrungen bei der technischen Planung und Implementierung von Modernisierungs- und Digitalisierungsprojekten. n Weiterführende Informationen und Beratung zum Krankenhauszukunfts gesetz sowie Unterstützung bei der Antragsstellung, einem IT-Reifegrad modell und/oder der IT-Strategie finden Sie unter de.extremenetworks.com/ sl_solutions/gesundheitswesen oder direkt beim Extreme Healthcare Team: Healthcare-Team.DACH@extremenetworks.com SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 33

– ADVERTORIAL – DATENSCHUTZKONFORM MIT EXTERNEN FORSCHERN ZUSAMMENARBEITEN Datengetriebene Prozesse und Algorithmen der Künstlichen Intelligenz (KI) ﬁnden auch im klinischen Umfeld immer mehr nützliche Anwendungen. So können Machine-Lear- ning-Modelle beispielsweise schnell und automatisch Veränderungen auf medizinischen Bildern – etwa im Bereich der Radiologie – erkennen und so dazu beitragen, den Diagnostik-Prozess efﬁzienter und treffsicherer zu machen. Für eine datenbasierte KI-Entwicklung müssen daher zunächst die vorhan- denen Daten zur weiteren Verwendung deﬁniert und freigegeben werden (dies ist meist ein sehr aufwendiger und langwieriger Prozess, bei dem ein Ethikrat das Anliegen prüft), und daraufhin entweder die KI-Experten in die Klinik kommen oder die Klinikmitarbeiter selbst die KI-Entwicklung vorantreiben. Da ersteres sehr aufwendig und oft unmöglich ist, entstehen derzeit viele spannende KI-Anwendungen in (universitären) Krankenhäu- sern, entwickelt von Ärztinnen und Ärzten, welche sich die notwendigen Grundkenntnisse des maschinellen Lernens selbst beigebracht bzw. an- gelesen haben. Wie viele erfolgreiche Beispiele zeigen, funktioniert dies erstaunlich gut. Jedoch ist anzunehmen, dass die Ergebnisse aus Zeitgründen (nicht selten werden diese Projekte neben dem medizinischen Tagesgeschäft im Kon- text von medizinischen Publikationen durchgeführt) und aufgrund fehlen- der Expertise oft nicht die Qualität erreichen, die möglich und für einen er- folgreichen späteren Einsatz der KI-Assistenten in der medizinischen Praxis wünschenswert wäre. Es bräuchte eine Lösung, welche den Datenschutz vollständig respektiert und es trotzdem ermöglicht, dass externe Experten gemeinsam mit den Medizinerinnen und Medizinern an diesen Daten arbeiten. DQ0 ist genau diese Lösung. DQ0 ermöglicht, dass externe Experten mit sensiblen Daten arbeiten, ohne diese Daten sehen zu müssen – mit mathematisch fundier- tem, höchstem Datenschutz. Die DQ0 Datenquarantäne sorgt dafür, dass die Daten dortbleiben, wo sie hingehören: bei den Dateneigentümern, in der Klinik. Die Analysen und KI-Modelle werden bei den Daten berechnet. Und DQ0s Privacy Checker garantiert, dass nur die destillierten, allgemein- gültigen Informationen aus den Daten von den Modellen genutzt werden und alle privaten Informationen privat bleiben. Das alles bietet DQ0 als sichere Plattform in einer komfortablen Entwicklungsumgebung zur Er- stellung von erweiterten Analysen und KI-Systemen. Mit DQ0 können Experten aus der KI mit Experten aus der Medizin ge- meinsam die bestmöglichen Anwendungen für die Krankenhaus-IT der Zukunft entwickeln. Ohne Kompromisse beim Datenschutz.n Gradient Zero Softwareentwicklungs GmbH KI-Systeme können dabei als virtuelle Assistenten den praktizierenden Ärztinnen und Ärzten zur Seite stehen und direkt und zuverlässig eine zweite Meinung zu den vorliegenden Befunden liefern. KI-Anwendungen versprechen zudem eine verbesserte individualisierte Therapie zu ermöglichen, indem sie aus einer für Menschen unüberschau- bar großen Menge an einzelnen Datenpunkten die relevanten Eigenheiten für den jeweils vorliegenden Fall bestimmen. Beim maschinellem Lernen, der Paradedisziplin der neueren KI-Algorith- men, lernt ein Computersystem aus Beispielen. Es ist daher grundsätzlich auf eine große Menge von qualitativ hochwertigen Daten angewiesen. In Kliniken sind diese Daten vorhanden. Aus Gründen des Datenschutzes dürfen diese Daten die Klinik jedoch nicht verlassen. 34 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

. . m o c e b o d a k c o t s - n e g o r c M © i Datenschutz in medizinischen Einrichtungen 21. September 2021 | Frankfurt/M. Referent: David Koeppe Schwerpunkte: ✓ Besondere rechtliche Rahmenbedingungen im Gesundheitswesen ✓ Patientendaten und Berufsgeheimnis ✓ Besondere Gestaltungsfelder in Arztpraxis und Krankenhaus ✓ Aspekte des Technikeinsatzes Jetzt anmelden: www.datakontext.com

– ADVERTORIAL – BEDROHUNGEN SCHNELLER ERKENNEN UND EINDÄMMEN Robert Mientus, Major Account Manager Healthcare bei Trend Micro Kaum eine Branche ist derzeit so stark von Cyberangriffen betroffen wie das Gesundheitswesen. Ab Januar 2022 müssen Krankenhäuser jeder Größe deshalb IT-Sicherheit auf dem Stand der Technik betreiben (§ 75c SGB V). Dazu zählt auch die Fähigkeit, Cyberangriffe zu erkennen und zu bekämpfen, welche die erste Verteidigungslinie bereits durchbrochen haben. Dank des Krankenhaus- zukunftsgesetzes proﬁtieren Krankenhäuser bei Investitionen in ent- sprechende Systeme und Services jetzt von staatlicher Förderung. LEICHTER GESAGT, ALS GETAN Gerade in Kliniken ist eine schnelle und zuverlässige Detection º Response, Gerade in Kliniken ist eine schnelle und zuverlässige Detection º Response, also die Erkennung und Eindämmung von Cyberangriffen, unverzichtbar. Denn medizinische Systeme verfügen häuﬁg über veraltete Software und sind dadurch besonders anfällig für Cyberattacken. In der Praxis gestaltet sich das jedoch alles andere als einfach: IT-Mitarbeiter haben täglich mit ei- ner Vielzahl an Warnmeldungen, historisch gewachsenen und komplexen Infrastrukturen und in Silos gespeicherten Daten zu kämpfen. Vor diesem Hintergrund können sie Cyberangriffe leicht übersehen. WAS JETZT? Krankenhäuser benötigen deshalb eine zuverlässige technische Lösung, die Transparenz über gefährliche Aktivitäten in der gesamten IT-Infra- struktur schafft, relevante Meldungen automatisiert herausﬁltert und zu verwertbaren Warnungen korreliert. Dabei ist es wichtig, dass dies nicht nur an den Endpunkten, sondern auch auf Netzwerkebene stattﬁndet. Hier ist Extended Detection and Response (XDR) gefragt, die sich über alle Vektoren erstreckt: Von den Endpunkten über E-Mails, Server bis hin zu cloudbasierten Workloads und Netzwerken. Eine XDR-Lösung, wie die von Trend Micro, minimiert die Flut an Sicher- heitsmeldungen zu einer überschau- und verwertbaren Anzahl von Warnungen. Außerdem gibt sie Empfehlungen für Gegenmaßnahmen. Somit können IT-Mitarbeiter schneller reagieren, Schaden eingrenzen und gesetzlichen Meldepﬂichten nachkommen. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - n W a t a h W © i : d l i B 36 CYBERKRIMINELLE HALTEN SICH NICHT AN BÜROZEITEN Gerade in Kliniken müssen Systeme jeden Tag rund um die Uhr funkti- onieren. Regelmäßig besteht in der IT deshalb eine Rufbereitschaft, um auch außerhalb der regulären Bürozeiten auf besondere Vorkommnisse reagieren zu können. Doch diese stellt eine hohe Belastung für die Mitar- beiter da und garantiert dennoch nicht die nötige Reaktionsgeschwindig- keit, um bei ausgefeilten Cyberangriffen schnell genug zu reagieren. Abhilfe schafft ein Managed Service, der eine zuverlässige Lösung für Extended Detection and Response mit hochqualiﬁziertem Expertenwis- sen kombiniert. Bei Trend Micro Managed XDR übernehmen spezialisierte SOC-Analysten die Auswertung und Einschätzung der Ergebnisse – rund um die Uhr an sieben Tagen pro Woche. Die Analysten bewerten die Kri- tikalität der Funde, empfehlen geeignete Gegenmaßnahmen mit einem Schritt-für-Schritt-Aktionsplan und können bei Bedarf auch selbst ent- sprechende Reaktionen einleiten. VON FÖRDERUNGEN PROFITIEREN Mit den Fördermitteln, die von Bund und Ländern im Krankenhauszu- kunftsfonds bereitgestellt werden, sollen unter anderem Investitionen in die IT-Sicherheit von Krankenhäusern unterstützt werden. Dazu zählen Systeme, welche die Detektion bzw. Mitigation von Informationssicherheitsvorfällen zum Ziel haben. Damit können Krankenhäuser, die jetzt in (Managed) XDR- Systeme investieren, von umfangreichen staatlichen Förderungen proﬁtieren.n trendmicro.com

– ADVERTORIAL – IST IHR IT-SYSTEM FÜR SÄMTLICHE ANGRIFFSWEGE GERÜSTET? IT-Sicherheitsgesetz, E-Health-Gesetz, Patientendaten-Schutz-Gesetz (PDSG) und Krankenhauszukunftsgesetz (KHZG): Auf die Kliniken prasseln derzeit eine Menge damit verbundener Auflagen ein. Durch das PDSG werden nun alle Krankenhäuser verpﬂichtet, ent- sprechende sicherheitstechni- sche Vorkehrungen zu treffen. Das im Oktober 2020 in Kraft getretene KHZG macht sogar die grundsätzliche Förderbarkeit aus dem Kranken- hauszukunftsfonds von Investitionen in die IT-Si- cherheit abhängig. Für rund 90 Großkliniken in Deutschland dürften darüber hinaus die verschärften Security-Vorga- ben aus der 2. Auﬂage des IT-Sicherheitsgesetzes relevant werden. Beispielsweise sollten Intru- sion-Detection-Systeme (IDS) in KRITIS-Kliniken bis zum 1.1.2022 nachgerüstet werden, sofern diese noch nicht existieren. Allen Krankenhäu- sern ist gemeinsam, dass sie vor dem Problem stehen, sämtliche Auﬂagen in der gebotenen Zeit ﬁnanziell stemmen zu müssen. Angesichts der rasant steigenden Komplexität von Angriffen keine leichte Aufgabe, zumal technische Imple- mentierungen für die speziellen Anforderungen des Krankenhaus-Alltags oftmals nicht ausrei- chen, weil sie meist ausschließlich auf die fach- lich-funktionale Seite ausgerichtet sind und nicht auf die Sicherheit. ANGRIFFSVEKTOREN … Dabei sind die Bedrohungen immens, wie folgen- de Graﬁk veranschaulicht: … UND DIE GEEIGNETEN ANTWORTEN HIERAUF Durch den Angriff auf Passwörter und Log-in- Daten können Hacker leichten Zugang zum Netz- werk der Klinik erhalten – insbesondere, wenn die Netzwerkstrukturen nicht zur Abwehr derar- tiger Angriffe gerüstet sind. IDS – Intrusion-De- tection- und auch UBA – User-Behaviour-Analy- sis-Systeme sind in der Lage, derartige Angriffe aufzudecken und zu vereiteln. Microsegmentie- rung und Zero Trust Networking können solche Attacken eingrenzen. Endpoint-Detection º Response-Systeme, wie zum Beispiel Tanium, erkennen zusätzlich zu den eingesetzten Antivirensystemen bereits frühzei- tig mögliche Angriffe. Dies gilt auch für Bedro- hungen, die Mitarbeiterinnen und Mitarbeiter neben der absichtlichen Schädigung durch Insi- der Threats unbewusst und unwissentlich mittels erfolgreicher Phishing-Kampagnen (aka Emotet) oder Drive-by-Downloads maliziöser Software im Browser auslösen. Eine andere Herangehensweise muss für Back- doors und Exploits in den Kliniksystemen gewählt werden. Hier wird die zugrunde liegende Syste- marchitektur direkt angegriffen – entweder über Fehler in der Software (Exploits) oder über mut- willig eingebrachte Hintertüren (Backdoors). Sind die Systeme selbst angegriffen, so kann dies an- hand des Verhaltens der Angreifer, zum Beispiel mithilfe von Host-Intrusion-Prevention-Syste- men (HIPS) oder Network-Intrusion-Preventi- on-Systemen (NIPS), erkannt werden. Zusätzlich sollte ein vorausschauendes Patch-Management stattﬁnden. Im Vorweg lassen sich solche Fehler in Kliniksys- temen durch Sicherheitsanalysen, wie Code Re- views, Sicherheitsscans und Pentests, ermitteln. Unterstützt wird eine solche Live-Analyse durch ein übergreifendes Logging, zum Beispiel mit Splunk, welches idealerweise in einem SIEM zu- sammengeführt wird und frühzeitig zu entspre- chenden Alarmen führt. Wir unterstützen Sie darin, das für Ihr Klinikum geeignete Sicherheitssystem zu implementieren und dieses mit bereits vorhandenen und dieses mit bereits vorhandenen Dienstleisterverträgen, komple- xen Systemarchitekturen entlang verschiedenster Verantwortlich- keiten sowie Schnittstellen in Einklang zu bringen.n Wenn Sie mehr zum Sicherheitsmanagement wissen möchten, kontaktieren Sie Florian Baitz/Consist unter: Florian Baitz PORTFOLIO MANAGER IT SECURITY Telefon: +49 (0)431 3993-567 Mobil: +49 (0)173 2836-768 E-Mail: baitz@consist.de Laden Sie sich das Whitepaper zum Thema SIEM herunter: consist.de/siem-info SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 37 . . m o c e b o d a k c o t s - p e t S y k c u L © : d l i b r e d a e H

– ADVERTORIAL – Krankenhauszukunftsfonds GREENBONE NETWORKS BIETET 100 PROZENT FÖRDERFÄHIGES LÖSUNGS-PAKET „SECUREHEALTH“ C yberkriminelle gehen immer professioneller vor. Meist gelangen sie über veraltete Betriebssysteme oder falsche Konﬁgurationen in Netzwerke und können dort großen Schaden anrichten. Eine Studie der Bundesregierung zeigt: Auch Krankenhäuser sind zunehmend betroffen. So gab es im Jahr 2020 bis Mitte November 43 Attacken, während es 2019 nur 16 waren.1 Erschwerend kommt hinzu: In Krankenhäusern ist das Budget oft knapp, und es fehlen Gelder, um die IT-Infrastruktur nachhaltig abzusichern. Bund und Länder haben mit dem Krankenhauszukunftsgesetz auf diese Entwicklung reagiert und den Krankenhauszukunftsfonds eingerichtet. Mit ihm stehen Gesundheitseinrichtungen insgesamt 4,3 Milliarden Euro Fördergelder für die sichere Digitalisierung zur Verfügung. GREENBONE NETWORKS FÖRDERT IT-SICHER- HEIT IN GESUNDHEITSEINRICHTUNGEN In Krankenhäusern laufen heute immer mehr Prozesse digital ab – von der Verwaltung digitaler Patientenakten bis hin zum OP-Roboter. Um die gesamte IT-Infrastruktur bestmöglich gegen Cyberangriffe zu härten, hat Greenbone Networks das Paket SecureHealth zusammengestellt. Mit- hilfe der Schwachstellenmanagement-Lösung des Security-Spezialisten können Gesundheitseinrichtungen ihre IT-Systeme automatisch, regel- mäßig und nachhaltig auf Sicherheitslücken überprüfen. SecureHealth ist über den Krankenhauszukunftsfonds bis zu 100 Prozent förderfähig. 70 Prozent der Kosten übernimmt dabei der Bund, weitere 30 Prozent können von den Ländern erstattet werden. Greenbone Networks unterstützt Krankenhäuser dabei, die Anträge fristgerecht einzureichen. Beim Bund ist dies bis Ende 2021 möglich, bei den Ländern enden die Fristen teilweise bereits im Mai 2021. Eine Übersicht über die Förderungsfristen kann hier eingesehen werden: www.ehealth- podcast.de/krankenhauszukunftsgesetz-khzg. 1 https://cn.reuters.com/article/deutschland-cyber-gesundheitseinrichtung-idDEKBN28D0TV 38 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS SO ARBEITET SECUREHEALTH Die Lösung von Greenbone Networks ist in unterschiedlichen Varianten verfügbar – abhängig von der Größe der Einrichtung und gemessen an der Bettenanzahl des jeweiligen Krankenhauses oder Krankenhausver- bundes – und kann je nach Wunsch als Hardware-Appliance, als virtuelle Appliance oder als Managed Service über die Cloud betrieben werden. Alle Produkte sind dabei selbstverständlich DS-GVO-konform. Die Lösung scannt die gesamte IT-Landschaft regelmäßig auf Schwachstellen, prio- risiert gefundene Sicherheitslücken nach ihrem Schweregrad und gibt Hinweise, wie sie sich schließen lassen. Zudem unterstützen Mitarbeiter von Greenbone Networks oder zertiﬁzierte Partner auf Wunsch bei der Ergebnisanalyse und Maßnahmenplanung. CHANCE NUTZEN UND IT-INFRASTRUKTUREN JETZT HÄRTEN Mit zunehmender Digitalisierung wird es für Gesundheitseinrichtungen immer schwieriger, ihre gesamte IT-Infrastruktur vor Hackerangriffen zu schützen – fehlendes Budget und Zeitmangel tun ihr Übriges. Um die Sicherheit von Patienten und sensiblen Daten jederzeit zu gewährleis- ten, sollten Health-Einrichtungen daher die Chance, die der Krankenhaus- zukunftsfonds bietet, jetzt unbedingt nutzen. Mithilfe der förderfähigen Lösung SecureHealth können sie ihre Infrastruktur nachhaltig gegen Cyberangriffe härten und Schwachstellen schließen, bevor sie zum Einfallstor für Hacker werden.n Mehr Informationen zu SecureHealth von Greenbone Networks ﬁnden Sie hier: www.greenbone.net/it-sicherheit-krankenhaus

Rechtssichere E-Mail- Archivierung made in Germany Einfach. Zuverlässig. Weltweit erprobt. V13 MailStore Server E-Mail-Archivierung für mittel- ständische Unternehmen auch im Gesundheitswesen Unterstützung bei der Erfüllung rechtlicher Anforderungen (GoBD) Hilfe zur Einhaltung der EU-DSGVO Ab 295 € FÖRDERFÄHIGKEIT NACH KHZG JETZT BEANTRAGEN! Verschlüsselte Speicherung und Compliance-Funktionen Regelmäßig unabhängig zertiﬁ ziert MailStore Soft ware GmbH · Clörather Str. 1-3 · 41748 Viersen, Deutschland Telefon: +49 (0)2162 - 502990 · E-Mail: sales@mailstore.com · www.mailstore.com Die Experten für E-Mail Archivierung

– ADVERTORIAL – Patientendaten in Kliniken nicht ausreichend geschützt IDENTITY- UND ACCESS- MANAGEMENT SCHLIESST SICHERHEITSLÜCKEN Autor: Helmut Semmelmayer, Senior Manager Channel Sales Corona-Pandemie schubst Kliniken in digitalen Fortschritt Lückenlos nachverfolgte Infektionsketten, computergestützte Voraussa- gen über globale Pandemien und Patientenakten, die nur noch als Daten- stränge in der Cloud existieren: Zukunftsmusik? Ja. Aber diese Zukunft ist nicht so weit entfernt, wie viele denken. Das hat eine Umfrage des Digitalverbandes Bitkom gezeigt, die unter mehr als 500 Ärztinnen und Ärzten durchgeführt wurde. Der Befragung zufolge drängen rund 80 Prozent der Klinikärzte auf ein erhöhtes Tempo beim Ausbau digitaler Angebote und fast zwei Drittel plädierten dafür, im Kampf gegen Corona verstärkt auf digitale Technologien zu setzen. Doch wo Daten digital verfügbar sind, besteht immer auch die Gefahr des Missbrauchs. Und vergangene Vorfälle haben gezeigt, dass Gesundheits- einrichtungen verstärkt im Visier von Cyberkriminellen und Maulwürfen stehen, die es auf sensible Daten abgesehen haben. Aufholbedarf beim Schutz von Patientendaten Der Befragung zufolge gibt es gegenwärtig große Unterschiede zwischen einzelnen Kliniken und Arztpraxen in Bezug auf den Umgang mit Patienten- daten und anderen sensiblen Informationen. Während die einen bereits die elektronische Patientenakte nutzen, sammeln andere noch tausendundei- nen Zettel im LEITZ-Ordner. Dieses Problem potenziert sich durch die hohe interne Fluktuationsrate in medizinischen Einrichtungen. Während On- und Offboarding-Prozesse normalerweise recht strukturiert ablaufen, verliert die Krankenhaus-IT spätestens beim Wechsel zwischen den Abteilungen die Übersicht darüber, welche Mitarbeiter auf welche Daten zugreifen können. Zugriffe limitieren, Patientendaten schützen Da unzureichend gesteuerte Zugriffsrechte im Gesundheitsbereich katas- trophale Folgen haben können, deﬁniert der branchenspeziﬁsche Sicher- heitsstandard (B3S) für das Gesundheitswesen im Abschnitt „Identitäts- und Rechtemanagement“ klare Vorgaben, die insbesondere von Kliniken im KRITIS-Umfeld einzuhalten sind. Ziel entsprechender Maßnahmen ist es, dass jede Person ausschließlich über jene IT-Berechtigungen verfügt, die für die Ausführung ihres aktuellen Aufgabenbereiches absolut notwendig sind. Maßnahmenempfehlungen nach BSI Der B3S empﬁehlt folgende Maßnahmen für den Umgang mit Benutzer- konten und Zugriffsrechten, die sich allesamt durch eine Software für Identity- und Access-Management (IAM) umsetzen lassen: Datenquelle: Benutzerdaten sollten aus einer verlässlichen Quelle stammen, aus der sich auch andere wichtige IT-Systeme, wie das Acti- ve Directory oder das Krankenhausinformationssystem (KIS), speisen. Dateneigentümer: Personen mit Fachwissen und Entscheidungs- kompetenzen sollten in die Prozesse eingebunden sein. Kontrolle: Sämtliche Berechtigungen sollten einer regelmäßigen Kontrolle durch die verantwortlichen Dateneigentümer unterworfen sein und bei Bedarf in sämtlichen Zielsystemen umgehend entfernt werden können. Personaländerungen über Rollen abbilden Benutzerfreundliche IAM-Lösungen bilden die Zugriffsberechtigungen im KIS über ein globales Rollenmanagement ab. Auf diese Weise kann nicht nur das Ausscheiden von Mitarbeitern abgebildet werden, sondern auch der (wesentliche komplexere) Fall eines Abteilungs- oder Positionswech- sels. Die Software entzieht dann automatisch alle Berechtigungen, die nicht mehr benötigt werden, und ordnet die für die neue Position erforder- lichen Rechte zu. Automatisierung spart Zeit und Fehler Fehler sind menschlich. Aber im Klinikumfeld haben sie trotzdem keinen Platz. Aus diesem Grund sollte eine IAM-Software für Krankenhäuser die Prozesse weitgehend automatisieren, um Fehler und/oder Sicherheitslü- cken infolge händischer Administration zu vermeiden. Um im hektischen Krankenhausbetrieb zeitlich efﬁzient zu bleiben, ist es darüber hinaus wichtig, dass die Abläufe zwischen IT und Dateneigentümern so unkompli- ziert wie möglich sind. Erst Patientendaten sichern, dann weiter digitalisieren Wenn die Digitalisierung, wie von der Ärzteschaft gewünscht, zum Vehikel des medizinischen Fortschritts und der globalen Pandemie-Bekämpfung werden soll, ist es zwingend notwendig, in einem ersten Schritt für eine zuverlässige und fehlerfreie Speicherung und Verarbeitung von Patienten- daten und anderen sensiblen Informationen zu sorgen. Je benutzerfreund- licher die ausgewählte IAM-Software ist, desto besser ist die Akzeptanz in der Belegschaft und desto schneller können kritische Sicherheitslücken geschlossen werden.n 40 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

– FIRMENPROFIL – tenfold – NEXT GENERATION ACCESS MANAGEMENT Die tenfold Software GmbH ist ein Hersteller von IT-Security-Software mit Sitz in Wien, Österreich. Bei dem Produkt „tenfold“ handelt es sich um eine Software für Identity und Access Management (IAM). IAM-Systeme helfen Unternehmen dabei, ihre IT-Zugriffs- rechte optimal einzustellen und die Vergabe von Berechtigungen gemäß den geltenden Compliance-Richtlinien zu organisieren und zu dokumentieren. tenfold gehört mit über 1.000 aktiven Installationen zu den führenden Anbietern im DACH-Gebiet. Zu den Märkten zählen außerdem Großbritannien und Nordamerika. Vordenker im Midmarket-Segment „tenfold“ ist speziell an die Bedürfnisse mittelständischer Organisationen angepasst. Für den optimalen Einsatz in Midmarket-Strukturen verfolgen wir einen pragmatischen Ansatz und übersetzen Komplexität in Benutzerfreundlich- keit. Im Vergleich mit den Wettbewerbern in dieser Produkt- kategorie ist „tenfold“ überdurchschnittlich schnell installiert, konﬁguriert und einsatzbereit. Cloud? Cloud! Die tief greifende Integration von tenfold in die Microsoft-Infrastruktur garantiert eine automatisierte und policy-konforme Verwaltung sämtlicher Berechtigungen – sowohl in Ihrem Unternehmensnetzwerk als auch in der Cloud. Neben gängigen On-Premises-Anwendungen unterstützt tenfold auch Microsoft Teams®, Azure Active Directory® und Exchange Online®. Access Management muss einfach sein Für uns ist es wichtig, dass tenfold-Nutzer gern mit der Software arbeiten und sämtliche Funktionen verwenden können, ohne zuvor ein Informatikstudium absolviert zu haben. Aus diesem Grund setzen wir auf standardisierte Prozesse, automatisierte Workﬂows und eine intuitive Benutzeroberﬂäche, über die Mitarbeiter im Self-Service Zugriffsrechte und IT-Ressourcen beantragen können. Wir integrieren (fast) alles Die Schnittstellen zu den wichtigsten Drittanbieter-Systemen (zum Beispiel SAP) sind out of the box nutzbar, gleiches gilt für die Schnittstelle zum Krankenhausinformationssystem ORBIS. Die Anbindung anderer KIS-Systeme (zum Beispiel i.s.h.med) ist ebenfalls möglich. Für Systeme, für die es kein Standard-Plug-in gibt, erlaubt die Software die Integration über REST und Scripting. Pressekontakt: Maggy Fituch tenfold Software GmbH Seidengasse 9 1070 Wien, Österreich Telefon: +43 1 6650633-118 E-Mail: maggy.fituch@tenfold-security.com SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 41

– FIRMENPROFIL – Sichere E-Mail-Übertragung: Einschalten, E-Mails schreiben, fertig. Erfahren Sie, wie. Die Zeit der unklaren Sicherheitsanforderungen beim E-Mail-Austausch mit sensiblen Daten – insbesondere Patientendaten – ist vorüber. Wegweisende Leitlinien der Daten- schutzkonferenz sowie erste gerichtliche Urteile eröffnen klare Lösungsperspektiven für DS-GVO-konforme E-Mail-Übertragung. Lesen Sie hier die Einordnung von comcrypto. Die Sensibilität der Daten im Gesundheitswesen ist jedem bewusst – gleichzeitig werden die Möglichkeiten der digitalen Zusammenarbeit, zum Beispiel zwischen Krankenhäusern und Spezialisten außer Haus, zunehmend erschlossen. Heterogene IT Landschaften verhindern geschlossene Systeme für die gemeinsame Nutzung der sensiblen Patientendaten. Legitimes Mittel zum Teilen dieser Informationen ist und bleibt die E-Mail – bislang jedoch verbunden mit einigen Unsicherheiten bezüglich der DS-GVO-Konformität. Gesundheitsanbieter können seit Mai 2020 auf eine klare Handlungs- empfehlung der deutschen Datenschutzaufsichtsbehörden setzen: Dabei wird für Nachrichten mit „hohem Risiko“ (wie Gesundheitsdaten) die Verwendung der sogenannten qualiﬁzierten Transportverschlüsselung (qTLS) zum Maßstab erhoben. Interessant für IT und Nutzer ist, dass dabei keine Pﬂicht zur aufwendigen Ende-zu-Ende-Verschlüsselung (oder Inhaltsverschlüsselung) dieser Daten besteht. Eine „obligatorische“ oder gar „opportunistische“ TLS- Verschlüsselung ist aber keinesfalls ausreichend, wie die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) klargestellt hat. Für eine ausreichende Übertragungssicherheit rückt nun qTLS in den Fokus. Die erste praxistaugliche E-Mail-Lösung mit qTLS ist das MXG E-Mail-Gateway der comcrypto GmbH aus Chemnitz. Entwickelt wurde MXG bereits seit 2017, lange vor der Orientierungshilfe der DSK. Es lag für die 25 Experten aus Mathematik, Informatik und Wirtschaft auf der Hand, eine E-Mail-Absicherung auf Basis verbreiteter Internet-Standards umzusetzen: Bei jeder E-Mail-Übertragung wird automatisch identiﬁziert, umzusetzen: Bei jeder E-Mail-Übertragung wird automatisch identiﬁziert, ob zum jeweiligen Empfänger die strengen Sicherheitsbedingungen von qTLS erfüllt sind, die sogar über die hohen Sicherheitsstandards einer heutigen Browser-Session hinausgehen. 42 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Dadurch konnten mehrere Probleme bisheriger Secure-Mail-Lösungen eliminiert werden, die bisher fast ausschließlich auf den Inhaltsschutz der versendeten E-Mails setzen: die administrative Verwaltung von Zertiﬁkaten und Passwörtern, der hohe Aufwand für manuelles Ver- und Entschlüsseln oder das Betreiben dezidierter Portale für den Austausch sensibler Daten. Ebenso entfällt der manuelle Aufwand für Passwort- Eingaben oder Sicherheitsabfragen der E-Mail-Empfänger. Neben fortschrittlicher und handhabbarer Technik spart MXG gleichzeitig Zeit und Geld: Unsere Erfahrungen im Gesundheitswesen zeigen, dass ohne Weiteres Einsparungen an Arbeitszeit und/oder Portokosten im Umfang von 100 Euro pro Nutzer (E-Mail-Konto) und Jahr erzielt werden können. Hinzu kommt eine erhöhte Prozess-Qualität, da Anwender vom „daran denken“ komplett entlastet werden.n Comcrypto steht für Sie als nach § 21 Absatz 5 KHSFV zertiﬁzierter Partner für die Umsetzung neuer IT-Sicherheitslösungen im Rahmen der Förderung durch den Krankenhauszukunftsfond bereit. Unser Compliance-Manager Andreas Stoff vereint langjährige Berufserfahrung in den Bereichen IT, Datenschutz und Gesundheit und ist Ihr Ansprechpartner für die Begleitung Ihrer IT-Projekte. Tel.: 03 71/25 62 06-14 E-Mail: andreas.stoff@comcrypto.de www.comcrypto.de

– ADVERTORIAL – Garantierter Schutz vor Schadsoftware mit Expertise im Gesundheitswesen ENDPOINT-SICHERHEIT IN KLINIKEN: NICHTS DEM ZUFALL ÜBERLASSEN! IT-Systeme von Krankenhäusern und Klinikverbünden sind mit höchster Priorität abzu- sichern – dass dies nicht immer gelingt, beweisen erfolgreiche Cyberattacken immer wieder. Moderne Whitelisting-Verfahren hingegen sorgen für maximalen Endpoint-Schutz. Die patentierte Lösung SecuLution Application Whitelisting hat nicht zuletzt deshalb im Klinikumfeld ihren größten und loyalsten Kundenstamm. Zugegeben, das Prinzip Whitelisting hat ein Imageproblem: Viele IT-Experten denken, es sei zu aufwendig. Dabei ist, wie nationale Sicherheits- behörden – darunter das BSI – seit Jahren betonen, Whitelisting dem Prinzip Blacklisting in puncto Sicherheit eindeutig vorzuziehen. Es müsste also eine Lösung her, die Whitelisting nutzbar macht, indem der Aufwand auf ein absolutes Minimum reduziert wird. Dieser Gedanke bewegte Torsten Valentin, Gründer und Geschäftsführer der SecuLution GmbH, als er vor über 20 Jahren SecuLution Application Whitelisting entwickelte. Das patentierte Automatisierungsverfahren sorgt für maximale Sicherheit bei trivialem Aufwand. Das kontinuierlich weiterentwickelte System ist inzwischen so kugelsicher, dass SecuLution als einziger Antivirus-Anbieter den Schutz vor sämtlicher Schadsoftware sogar schriftlich garantiert. Sogar vor den Folgen der verheerenden MS Exchange Server Hacks blieben SecuLution-Kunden verschont. 99 PROZENT DES AUFWANDS WERDEN AUSGELAGERT Immer mehr Unternehmen vertrauen auf SecuLution und genießen den bestmöglichen Schutz vor Schadsoftware bei einem Aufwand, der mit klassischen Antivirus-Produkten vergleichbar ist: Denn 99 Prozent des Aufwands werden durch die Prüfung der Hashes in der TrustLevel-Daten- bank ausgelagert! Ralf Plomann, IT-Leiter des Krankenhausverbundes St. Rochus, setzt SecuLution Application Whitelisting bereits seit mehr als 15 Jahren bei vielen Hundert Clients ein. „Unsere technischen Administ- ratoren schätzen das moderne, ganzheitliche User Interface und die nur noch trivialen Aufwände zur Installation”, so der IT-Spezialist. RALF PLOMANN, IT-LEITER KRANKENHAUSVER- BUND ST. ROCHUS: „EIN FUNKTIONAL STARKES UND STABILES IT-SICHERHEITSPRODUKT” Als Abteilungsleiter schätzt Plomann die Systemstabilität sowie die Option, im Bedarfsfall die Datenbank mit vordeﬁnierten Werten laden zu können: „Dies verschafft uns bei Personalengpässen eine größere Flexibilität. SecuLution 2.0 ist ein funktional starkes und stabiles IT-Sicherheitsprodukt in einer immer unsicherer werdenden IT-Welt. Der Betrieb einer komplexen IT-Infrastruktur ohne SecuLution ist für mich nur noch schwer vorstellbar.“ Dank automatisierter Prüfung der Hashes gegen die TrustLevel-Datenbank ersparen sich Admins mit SecuLution den bei Whitelists sonst üblichen Aufwand. BERND ZIMMER, IT-ABTEILUNG LUKASKRANKEN- HAUS NEUSS: „SO ETWAS WIE LOCKY KANN UNS NICHT MEHR PASSIEREN” Zu den Klinikkunden des Antivirus-Herstellers aus Werl zählt auch das Lukaskrankenhaus in Neuss. Die Locky-Attacke im Jahr 2016 hatte erhebli- che Auswirkungen auf den klinischen Betrieb, weshalb man sich anschlie- ßend für eine maximal sichere Lösung zur Absicherung der Endpoints entschloss – für SecuLution. Für IT-Mitarbeiter Bernd Zimmer steht der Sinn der Investition außer Frage: „Auf unseren mit SecuLution abgesi- cherten Systemen kann uns so etwas wie Locky nie wieder passieren.“ förderfähig im Rahmen des KHZG KEIN OUTSOURCING VON TECHNIK ODER SUPPORT Viele IT-Fachkräfte schätzen auch, dass SecuLution Qualität Made in Germany bietet. Vom Firmensitz in Werl über den deutschsprachigen Support bis hin zu bewusst gewählten Serverstandorten in Deutschland und den heimi- schen Softwarekomponenten – mit SecuLution erhalten Unternehmen und Verwaltungen zuverlässige Wertarbeit statt Outsourcing.n Mehr über den Einsatz von seculution im Klinikumfeld: 4ss.de/sicher www.seculution.de · info@seculution.com Tel. 0 29 22/95 89-210 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 43

– FIRMENPROFIL – WARUM DAS GESUNDHEITS WESEN EINEN BETRIEBS ZENTRIERTEN ANSATZ ZUR CYBERSICHERHEIT BRAUCHT Das Gesundheitswesen bekommt im Moment deutlich mehr Aufmerksamkeit als sonst. COVID-19 hat wirtschaftliche und betriebliche Prozesse massiv beeinträchtigt, während sich gleichzeitig alle bemühen, die Pandemie unter Kontrolle zu bekommen. Besonders das Gesundheitswesen ist in den Fokus von Cyberkriminellen gerückt, die versuchen, aus dem Druck in Zusammenhang mit der Pandemie Kapital zu schlagen. GESUNDHEITSWESEN UNTER BESCHUSS Während die Gesundheitsbranche um die Eindämmung der Pandemie ringt, nutzen Cyberkriminelle ihre Chance. Die teilweise unklare Situation und der wachsende Stresspegel im Gesundheitswesen machen es zu einem idealen Ziel für bösartige Operationen und Ransomware- Angriffe. Einrichtungen im Gesundheitswesen selbst, aber auch pharmazeutische Unternehmen und Forschungseinrichtungen sind vorrangige Ziele. DEN GESAMTEN CYBERANGRIFF IM AUGE BEHALTEN Effektive Cybersicherheit ist wie ein Puzzlespiel. Ein einziges Teil ergibt kein Gesamtbild. Malops™ – kurz für Malicious Operations – umfassen eine Vielzahl von Taktiken und Techniken (Puzzleteile), die ein Gesamtbild ergeben. Mithilfe der Indicators of Behavior (IoBs) ist es möglich, verdächtige oder bösartige Aktivitäten schnell zu identifizieren. Gleichzeitig schafft man Transparenz, erhält den notwendigen Kontext und bekommt Informationen, um schon frühzeitig Maßnahmen zu ergreifen und zu reagieren. Ein reaktives Cybersicherheitsmodell und das (meist vergebliche) Bemühen, eine überwältigende Anzahl von Alarmen zu bearbeiten, ist schlicht nicht effektiv genug, um diese Art aktueller Bedrohungen zu stoppen. Ein operationszentrierter Sicherheitsansatz erlaubt es demgegenüber, Angriffe früher zu erkennen und schneller Abhilfe zu schaffen – lange bevor sie das Ausmaß schwerer Sicherheitsverletzungen erreichen. Weltweit versuchen 44 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Zehntausende von Unternehmen und Behörden, nach den SolarWinds- und HAFINUM-Angriffen wieder auf die Beine zu kommen. Monatelang waren die Angreifer in den Systemen unterschiedlicher Unternehmen aktiv. Und bei jeder dieser Aktivitäten haben sie Spuren ihrer Anwesenheit hinterlassen. Nur, dass die Beweise schnell in dem schier endlosen Strom nicht zueinander korrelierter Alarme untergegangen sind. Ohne den nötigen Kontext, um die einzelnen Angriffe richtig zuordnen zu können, blieb das Ausmaß der globalen Operation weitgehend unentdeckt. Komplexe Netzwerkinfra- strukturen mit einem alarmzentrierten, isolierten Ansatz zu schützen, schafft Cyberkriminellen einen großzügigen Spiel- raum, um tief in das Netzwerk einzudringen. Jeder Versuch, einen Angriff zu erkennen, nachzuverfolgen oder zu beseitigen, wird erschwert bis nahezu unmöglich gemacht. Alarmzentrierte Ansätze treiben Unternehmen in eine unerbittliche Spirale, weil sie nur Symptome bekämpfen, nicht aber die Ursache. FAZIT Ein operationszentrierter Ansatz ermöglicht es, einen Angriff von den Grundzügen bis hin zum eigentlichen Zugriff auf betroffene Endpunkte zu erfassen. Wer den Zeitaufwand für das Erkennen und Beseitigen von Angriffen senken und Ressourcen für effektivere Sicherheits- initiativen freischaufeln will, der kommt an diesem Ansatz nicht vorbei. Mit seiner Hilfe können Unternehmen den Spieß umdrehen und sich gegen zukünftige Bedrohungen wappnen.n Melden Sie sich zu einer unserer Live Attack Simulationen an, um einen Hacker in Echtzeit zu beobachten! http://cybereason.com/attacksim-18may-2021 www.cybereason.com/de/

Need to know für CISO & Co W <kes> liefert strategisches Wissen für Security- Verantwortliche W <kes> informiert redaktionell unabhängig zu Manage- ment und Technik der Informations-Sicherheit W <kes> enthält das amtliche Organ des Bundes- amts für Sicherheit in der Informations- verarbeitung – BSI-Forum W <kes> kostet im Jahr weniger als zwei Beraterstunden Für 145 € jährlich (inkl. MwSt. und Versandkosten) erhalten Sie alle zwei Monate eine gedruckte Ausgabe und für bis zu fünf Mitarbeiter am beliefer ten Standor t Online-Zugriff auf alle aktuellen Beiträge sowie das <kes>-Archiv. D i e Z e i t s c h r i f t f ü r I n f o rm a t i o n s - S i c h e r h e i t Online bestellen: datakontext.com/kes oder per Mail: abo@kes.de

– ADVERTORIAL – Kliniken und Krankenhäuser brauchen mehr IT-Sicherheit HACKER HABEN IMMER ÖFTER DAS GESUNDHEITS- WESEN IM FOKUS Das BSI warnt Krankenhäuser und Kliniken: „Die Krankenhäuser holen in Sachen IT-Sicherheit gerade auf, aber noch nicht jedes ist dort, wo es sein sollte. Mindestens 15 Prozent der IT-Investitionen müssen in die IT- und Cybersicherheit gehen“, sagt Isabel Münch, Expertin für kritische Infrastruktur im Bundesamt für Sicherheit in der Informationstechnik (BSI). Zahlreiche Beispiele in den letzten Monaten zeigen die Zunahme der Angriffe auf das Gesundheitswesen und die Auswirkungen bis zum kompletten Stillstand einer Klinik. Während sich manches Krankenhaus zum digitalen Vorzeigeprojekt entwickelt hat, wurde die Be- deutung der IT-Sicherheit in den Infrastrukturen deutlich unterschätzt“, warnt Andreas Schlechter, Geschäftsführer von Telonic. Das Systemhaus sichert komplexe IT-Infrastrukturen mit pro- aktiven Mechanismen gegen Risiken von außen und innen ab und bietet mit TeVision.ai ein umfassendes Lösungspaket für die IT-Abteilungen von Kliniken und Praxiszentren. Die von Telonic entwickelten Tools überwa- chen Netzwerke rund um die Uhr auf alle Bedrohungen und Angriffe. Ein Expertenteam im eigenen Security Network Operation Center SNOC und dem Telonic T-CERT beobachtet und analysiert alle Security-relevanten Incidents und leitet umgehend die notwendigen Maßnahmen ein. ENTSCHÄRFUNG IN ECHTZEIT Ein Baustein und eigenes Produkt von Telonic ist HUMBOLDT, eine Security Action Platform, die automatisch alle Statusmeldungen der Netzwerk- komponenten durchleuchtet und versteckte Bedrohungen in kürzester Zeit erkennt. So kann eine Entschärfung möglicher Attacken nahezu in Echtzeit stattﬁnden. Über weitere, spezielle Überwachungsmechanismen können dabei auch bisher noch unbekannte Bedrohungen aufgespürt werden. Ähnlich wie bei einem Herzmonitor überwacht eine Software den gesamten Netzwerkverkehr und meldet sofort, wenn Vorkommnisse von der Norm abweichen und eine sofortige Reaktion erfordern. WLAN IN KRITISCHEN INFRASTRUKTUREN Drahtlose Netzwerke sind auch in Kliniken und anderen Institutionen der Gesundheitsversorgung im Einsatz, bilden jedoch auch ein potenzielles Einfallstor für Angriffe. Mit Telonic TEC steht eine schlüsselfertige Lösung zur Verfügung, die die Einrichtung und den Betrieb eines WLANs als Managed Service auslagert. Volle Skalier- und Hochverfügbarkeit rund um die Uhr sind gesichert, zumal der Betrieb einer umfassenden WLAN-Infra- struktur über ein großes Gelände mehr Planung beim Aufbau und mehr Wartung erfordert, als beispielsweise die bereits generell stark ausgelas- tete IT-Abteilung einer Klinik oder anderer Institutionen leisten kann. ZUGANG FÜR GÄSTE Gesonderte Internetzugänge für Gäste und Besucher über das WLAN bzw. ein separates Gästenetzwerk müssen ebenso bestimmte Voraus- setzungen erfüllen. Eine Portallösung für Gäste und Besucher benötigt Sicherheitsmechanismen, die den Trafﬁc rund um die Uhr auf Sicher- heitsrisiken oder illegale Maßnahmen überwachen und Gerätesperrun- gen vornehmen kann. Als besondere Alternative kann der Service noch weiter ausgelagert werden: In diesem Fall werden die Access Points bzw. Router vor Ort installiert und verbinden sich über das Internet mit einem Cloud- Rechenzentrum. Telonic hält dazu eigene Hardware in einem der sichersten Datacenter in Deutschland vor. Nur über diese Server werden die WLAN-Netzwerke der Kunden verwaltet, Störungen sofort be- hoben und die Performance rund um die Uhr überwacht. In den richtigen Händen kann eine IT-Infrastruktur nur gewinnen – während sich die eigenen IT-Abteilungen wieder auf den Ausbau der digitalen Zukunft konzen- trieren können.n www.telonic.de 46 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - n a y r a d h g u B n u s a s © : d l i B

– ADVERTORIAL – DRUCKTECHNOLOGIE MADE IN GERMANY muss. Virtualisierungsprozesse ermöglichen den IT-Abteilungen der Krankenhäuser, die Performance der Infrastrukturen zu erhöhen, Innovationen voranzutreiben und somit schnelle, kosteneffiziente und mobile Kommunikationswege zu realisieren. Ein ganz wesentlicher und zentraler Bestandteil der Digitalisierungsprozesse im Klinik-Alltag ist die Verwaltung der eigenen Druckinfrastruktur, die sich jedoch enormen Herausforderungen stellen muss. Die steigende Komplexität interner Strukturen und Anwendungen steht der Forderung nach einem störungsfreien und sicheren IT-Betrieb sowie einer wachsenden Mobilität gegenüber. Ohne eine funktionierende Druckinfrastruktur wären viele Stationen von der Patientenaufnahme bis in den OP nicht arbeitsfähig. Daher ist es an der Zeit, das Thema Drucken als vorrangiges Thema im Bereich der IT-Infrastrukturen zu behandeln und Möglichkeiten aufzuzeigen, wie das Drucken aus Spezialapplikationen, wie einem KIS oder AIS, störungsfrei gelingen kann. Seit 2005 hat die K-iS Systemhaus Unternehmensgruppe steadyPRINT als führende Softwarelösung in diesem Marktsegment etabliert. Eine speziell für das Gesundheitswesen entwickelte Version – die Medical-Edition – bietet optimale Unterstützung für IT-Leitungen, Administratoren und Anwender und leistet einen wichtigen Beitrag für einen funktionsfähigen IT-Betrieb im Krankenhaus. Eigene Print Security Services, Load Balancing und eine KRITIS-sichere Redundanz der Druckserver, Drucker und Druckströme im Krankenhaus sorgen für einen unterbrechungsfreien Prozessablauf im Klinikalltag. Von der Automatik, immer mit dem richtigen Drucker verbunden zu sein, über Ausfallsicherheit bis hin zur Sitzungsmitnahme für wechselnde Arbeitsplätze – steadyPRINT bietet verschiedene, zum Teil einzigartige funktionale Lösungen für die Druckerverwaltung im Krankenhaus. So können das Pﬂegepersonal bzw. die Ärzte und Ärztinnen, egal auf welcher Station oder in welcher Abteilung sie sich gerade beﬁnden, auf dem nächstgelegenen Drucker ausdrucken, ohne dass sie sich vom System ab- und wieder anmelden müssen, um den Drucker auf der jeweiligen Station nutzen zu können. Zusätzlich entfallen aufwendige administrative Prozesse im Bereich der Druckerzuweisungen, was wiederum den Administratoren eine größere Flexibilität und mehr Übersichtlichkeit in der Verwaltung der Druckerlandschaft und letztlich der gesamten IT-Infrastruktur bietet. Um die Modernisierung in Krankenhäusern voranzutreiben und somit auch Investitionen im Bereich Druckermanagement zu fördern, wurde das Krankenhauszukunftsgesetz (KHZG) ins Leben gerufen und den Krankenhauszukunftsfond (KHZF) in Höhe von 4,3 Milliarden Euro errichtet. Als vom Bundesamt für Soziale Sicherung (BAS) zertiﬁzierter IT-Dienstleister ist die K-iS Systemhaus Unternehmensgruppe befähigt, die Planung und Durchführung von Digitalisierungsprojekten, wozu auch Projekte in der Druckinfrastruktur gehören, zu unterstützen und die Beantragung von Fördergeldern zu begleiten. Auf diese Weise kann steadyPRINT als die führende Druckermanagement-Software in Deutschland in den Klinikbetrieb integriert werden.n Weitere Informationen zu steadyPRINT und den vielfältigen Einsatzmöglichkeiten erhalten Sie unter www.steadyprint.com. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 47

– ADVERTORIAL – IT-Sicherheit im Krankenhaus: NICHT OHNE DEN FAKTOR MENSCH letzten Jahr mehr Cybervorfälle gemeldet als der Gesundheitssektor. Auch der Gesetzgeber hat die Brisanz der Lage erkannt und ermöglicht es nun über das Krankenhauszukunftsge- setz (KHZG), in die dringend nötigen präventiven Maßnahmen zu investieren. SoSafe bietet KHZG-förderfähige Awareness-Schulungen, die sich einfach in den stressigen Arbeitsalltag des Personals integrieren lassen. astruktur hat im Awareness-Schulungen müssen im Krankenhauskontext und hinsichtlich des KHZG aber speziﬁsche Anforderungen erfüllen: Zeitefﬁzient: Das Krankenhauspersonal hat wenig Zeit. Kurze und modular aufgebaute E-Learnings lassen sich auch in enge Schichtpläne gut integrieren. Individualisiert: Die Inhalte der Schulungen sollten an die Richtlinien des jeweiligen Krankenhauses anpassbar sein. So werden Mitarbeitende passgenau sensibilisiert und interne wie externe Vorschriften erfüllt. DSGVO-konform: Um sensible Daten zu schützen, sollte auch der Anbieter der Awareness-Lösung alle Daten ausschließlich innerhalb der EU verarbeiten und speichern. Nur so ist Rechtssicherheit garantiert. Die interaktive Awareness-Plattform von SoSafe erfüllt genau diese Kri- terien. Dabei werden weder für die Implementierung noch für die Durch- führung von E-Learnings und Phishing-Simulationen interne Ressourcen benötigt. IT-Sicherheit darf nicht an personellen, zeitlichen oder ﬁnan- ziellen Ressourcen scheitern – denn letztlich hängt hiervon auch das Wohlergehen der Patientinnen und Patienten ab.n Mehr zu den Schulungsmöglichkeiten finden Sie auf www.sosafe.de ANGESPANNTE CYBER-BEDROHUNGSLAGE IM GESUNDHEITSWESEN Noch bis Ende des Jahres können Krankenhäuser eine KHZG-Förderung beantragen. Mindestens 15 Prozent des Förderbetrags sollen auf IT-Si- cherheitsmaßnahmen entfallen, explizit auch auf Awareness-Schulungen. Mit einem Blick auf die aktuelle Gefahrenlage wird deutlich, warum: Erst jüngst zeigte eine Angriffsserie in Frankreich, welches Ausmaß erfolgrei- che Cyberattacken auf den Klinikbetrieb haben. Mehrere Krankenhäuser konnten wichtige Behandlungen nicht anbieten, nachdem Ransomwa- re ihre Infrastrukturen lahmlegte. Auch in Deutschland kam es 2020 laut Bundesregierung zu doppelt so vielen Angriffen in Krankenhäusern wie noch 2019. ANGRIFFE ZIELEN AUF DEN FAKTOR MENSCH Insbesondere menschenbasierte Angriffe, wie Phishingmails und Erpres- sungstrojaner, treffen immer wieder Krankenhäuser – aus einer Vielzahl an Gründen. Sie verfügen über sensible Gesundheitsdaten, die im Dark- net hoch gehandelt werden. Für Cyberkriminelle ist sogenanntes Social Engineering, bei dem Opfer emotional erpresst werden, hier besonders lukrativ. Gleichzeitig werden Phishingmails in Krankenhäusern besonders oft geklickt – nicht zuletzt wegen der anspruchsvollen Arbeitsbedingun- gen, die sich während der COVID-19-Pandemie weiter verschärft haben. Ergebnisse aus dem SoSafe Human Risk Review 2021 zeigen: Die Klickrate bei simulierten Phishingmails ist in Krankenhäusern um 30 Prozent höher als im Durchschnitt. Krankenhäuser müssen den Faktor Mensch also aktiv miteinbeziehen, um Sicherheitslücken zu schließen. DAS RISIKO ERFOLGREICHER ANGRIFFE MINIMIEREN Krankenhäuser können das Risiko eines Vorfalls deutlich reduzieren, wenn sie ihre Mitarbeitenden zum richtigen Umgang mit IT sensibilisieren. 48 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

– ADVERTORIAL – E-MAIL-SICHERHEIT ÜBER DAS KONJUNKTUR- PROGRAMM VERBESSERN Mit dem Krankenhauszukunftsgesetz (KHZG) stellen Bund, Länder und Kranken- haus träger seit Jahresanfang 4,3 Milliarden Euro für die Modernisierung von Kranken häusern zur Verfügung. 15 Prozent der beantragten Fördergelder sollen genutzt werden, um die IT-Sicherheit zu verbessern. Ein guter Zeitpunkt also, um Einrichtungen/Kliniken nachhaltig vor Malware, Trojanern und weiteren Gefahren zu schützen. Ein gemeinschaftliches Angebot von Bechtle und Net at Work unterstützt Krankenhäuser – von der Beantragung der Mittel bis hin zum laufenden Betrieb. Nach einer Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus dem vergangenen Jahr müssen Krankenhäuser bei Themen zur IT-Sicherheit nachlegen. Die verlässliche und sichere E-Mail- Kommunikation steht bei den Verantwortlichen ganz oben auf der Liste der dringenden Anforderungen. Auch, weil betrügerische E-Mails zunehmend professioneller werden, immer schwieriger zu identiﬁzieren sind und im Ergebnis häuﬁger zum Erfolg führen. Geeignete Gegenmaßnahmen scheiterten bisher am notwendigen Budget, an der Akzeptanz der Nutzer oder an mangelnden Ressourcen zur Umsetzung und Betreuung. Für alle drei Hürden gibt es mittlerweile Abhilfe. FINANZIELLE MITTEL BEANTRAGEN Mit den bereitgestellten Mitteln aus dem KHZG erhalten Krankenhäuser eine Investitionsgrundlage für den Aufbau einer leistungsstarken Mail-Security, um der stetig wachsenden Bedrohungslage zu begegnen. Die Mittelgeber setzen voraus, dass 15 Prozent der beantragten Fördersumme für Maßnahmen zur Informationssicherheit genutzt werden. Keine Förderung ohne IT-Sicherheit Nach § 14a Abs. 3 Satz 5 des Krankenhauszukunftsgesetzes sind mindestens 15 Prozent der für die Förderung eines jeweiligen Vorhabens beantragten Mittel für Maßnahmen zur Verbesserung der Informationssicherheit zu verwenden. Da sich E-Mail als Querschnittsfunktion durch alle Bereiche zieht, kann E-Mail-Sicherheit mit fast jedem anderen Vorhaben zur Modernisierung kombiniert werden. 50 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Bis Ende des Jahres können Fördermittel beantragt werden. Gemeinsam mit Net at Work bietet Bechtle aktive und fundierte Unterstützung im Antragsprozess für die KHZG-Mittel. Auf Basis einer speziellen Softwarelösung und mit passgenauen Planungsmodellen ermitteln die Berater den speziﬁschen Bedarf und übertragen ihn in einen Erfolg versprechenden KHZG-Förderantrag. Ein Prozess, der IT-Verantwortliche und die kaufmännische Leitung im Krankenhaus gleichermaßen entlastet. MODERNE TOOLS BIETEN HÖCHSTE NUTZERAKZEPTANZ Mit NoSpamProxy steht eine umfassende Lösung für E-Mail- Sicherheit bereit, die nicht nur die besonderen Anforderungen im Krankenhaus perfekt erfüllt, sondern sich zudem durch besondere Nutzerfreundlichkeit auszeichnet. Das „Made in Germany“-Produkt bietet sicheren Schutz vor Spam, Phishing und CEO-Fraud mit modernsten selbstlernenden Verfahren und Ad-hoc-Schutz vor neuen Bedrohungen durch vorausschauende Schwarmintelligenz. Dabei trägt das Produkt den besonderen Anforderungen der Ärzteschaft an die externe E-Mail-Kommunikation – beispielsweise in Forschungsprojekten – durch die Kombination von Verfahren zur Absenderreputation und individuellem Level-of-Trust mit feingranularer und automatisierter Steuerung Rechnung. Die sichere Verschlüsselung von E-Mails, auch wenn der Empfänger keine Verschlüsselungsinfrastruktur besitzt, und ein eleganter Mechanismus zum Austausch sehr großer Dateien runden die Lösung ab. Das Besondere: Für den Nutzer geschieht das alles weitgehend im Hintergrund, und er muss sich nicht selbst darum kümmern – ein enormer Vorteil im hektischen Klinikalltag. Nicht zuletzt deshalb gewann das Produkt wiederholt das unabhängige Anwender-Ranking von techconsult, insbesondere in den Bereichen Benutzerfreundlichkeit und Performance. . m o c e b o d a k c o t s - . O T O F N H © : d l i B

– ADVERTORIAL – Die Lösung kann natürlich auch als Cloud-Service bezogen werden. türlich auch als Cloud-Service bezogen werden. Krankenhäuser, die das Thema E-Mail-Security sicher in die Hände Security sicher in die Hände agen wollen, können das routinierter Security-Experten übertragen wollen, können das Thema Managed Services individuell mit Bechtle gestalten. Das IT- es individuell mit Bechtle gestalten. Das IT- Unternehmen Bechtle ist mit über 250 Security-Spezialisten einer 250 Security-Spezialisten einer der größten Security-Integratoren in Deutschland und verfügt über en in Deutschland und verfügt über breite Erfahrung im Klinikumfeld. Bechtle bietet ein umfassendes Lösungsportfolio im Bereich ösungsportfolio im Bereich IT-Security, bestehend aus Hard- und Software-Lösungen ftware-Lösungen eller, entsprechende internationaler und europäischer Hersteller, entsprechende Beratungs- und Implementierungsdienstleistungen sowie tierungsdienstleistungen sowie Managed Services an. Neben technischer IT-Sicherheit verfügt echnischer IT-Sicherheit verfügt Bechtle über umfangreiches Know-how im Bereich der im Bereich der organisatorischen Sicherheit. Neben der Telematik-Infrastruktur Telematik-Infrastruktur tle im Gesundheitswesen auf (eHealth) spezialisiert sich Bechtle im Gesundheitswesen auf weitere Themenschwerpunkte, wie Security Operation Center (SOC), wie Security Operation Center (SOC), Information-Security-Management-Systeme (ISMS) und Security steme (ISMS) und Security Awareness (Mitarbeitersensibilisierung). EINMALIGE KOMBINATION VON TION VON KOMPETENZEN FÜR SCHNELLE NUTZUNG KOMPETENZEN FÜR SCHNELLE NUTZUNG DER KHZG-MITTEL Durch die Kombination von organisatorischer und fachlicher Durch die Kombination von organisatorischer und fachlicher Beratung mit technischen Services und einem hochwirksamen, benutzerfreundlichen Werkzeug können Krankenhäuser kurzfristig von den Mitteln des KHZG proﬁtieren und eine zukunftssichere und verlässliche E-Mail-Security aufbauen. n Vollständige Förderung durch KHZG-Mittel + ausgezeichnete Lösung für E-Mail-Sicherheit + Unterstützung beim KHZG-Förderantrag + fachliche und technische Umsetzungsberatung + Cloud & Managed Services Sichere E-Mail-Kommunikation, kostengünstig eingeführt Interessenten können ein unverbindliches und kostenfreies Beratungsgespräch vereinbaren unter: www.nospamproxy.de/de/it-sicherheit-krankenhaus ENTLASTUNG DER KRANKENHAUS-IT Nichts braucht das IT-Team im Krankenhaus weniger als eine weitere Anwendung, die wartungsintensiv verwaltet werden muss. NoSpamProxy administriert sich daher mit einem leistungsstarken und selbstlernenden Regelwerk weitgehend quasi selbst. Die intensive Nutzung von AD-Gruppen und die komplett automatisierte Zertiﬁkatsverwaltung für Signatur und Verschlüsselung machen die Lösung auch in großen und komplexen Anwenderlandschaften mit hoher Fluktuation efﬁzient. Net at Work war schon immer ein sehr verlässlicher Partner. Das Produkt NoSpamProxy ist eine der tragenden Säulen unserer IT- Sicherheitsarchitektur“ STEVEN ALHORN, Teamleiter IT-Infrastruktur beim Herz- und Diabeteszentrum NRW in Bad Oeynhausen Ansprechpartner: Herr Armend Saliaj, +49 7132 981 3394, armend.saliaj@bechtle.com ® Ansprechpartner: Herr Michael Neef, +49 5251 304-800, michael.neef@netatwork.de SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 51

– ADVERTORIAL – NOTFALLPATIENT DATENSICHERHEIT deutschen Krankenhäusern“ zeigt. Bedenken insbesondere hinsichtlich des Datenschutzes und der Compliance sind zwar immer noch vorhanden, gleichwohl beurteilen die Befragten Public-Cloud-Lösungen vorteilhafter als On-Premises-Lösungen. Entsprechend sind Cloud-Dienste und -Anwendungen im Gesundheitswesen fast schon obligatorisch, nicht zuletzt, weil die cloudbasierte Infrastruktur deutlich kostengünstiger ist. Durch das kürzlich in Kraft getretene Krankenhauszukunftsgesetz stellen Bund und Länder 4,3 Milliarden Euro nicht nur für moderne Notfallkapazitäten, sondern auch für Digitalisierung und IT-Sicherheit zur Verfügung. Hierbei werden auch explizit Cloud-Systeme als entsprechende Möglichkeit genannt. Doch wie lässt sich eine sichere Cloud-Nutzung umsetzen? ZUGANGSKONTROLLE Es ist selbstverständlich, dass jeder, der in einen Operationssaal möchte, sich die Hände desinﬁzieren und entsprechende Kleidung tragen muss, damit er keine Krankheitserreger einträgt. Auf die IT übertragen entspricht dies dem Zero-Trust-Ansatz: Niemand darf auf die Systeme und Ressourcen zugreifen, bevor die Zugangsdaten des Benutzers und des aufgrund der enormen Menge an Gesundheitsdaten: Ein größeres Krankenhaus hat Tausende, vielleicht Zehntausende Geräte in seinem Netzwerk, wovon etwa zehn Prozent schwer zu sichernde biomedizinische Geräte sind. Früher wurden die Daten, die diese Geräte sammelten, innerhalb des Krankenhauses aufbewahrt. Dies ist jedoch nicht mehr der Fall. Die Daten medizinischer Geräte werden mittlerweile oft elektronisch in der Cloud (etwa des Geräteherstellers) gespeichert. Und dies ist nicht der einzige Weg, auf dem sensible Daten das Netzwerk verlassen können. Wie können Krankenhäuser also ohne zentralisierte On-Premises-Speicher von früher sicherstellen, dass ihre Daten sicher aufbewahrt werden? AUF DEM WEG ZU ZERO TRUST Die Umsetzung eines Zero-Trust-Modells erscheint vielen Unternehmen und Organisationen als große Herausforderung. Wie jeder Weg zu einem großen Ziel, gliedert sich jedoch auch dieser in zahlreiche kleine und konkrete Schritte. Zunächst müssen jedoch die Grundlagen geschaffen werden, insbesondere müssen der Ansatz und seine Zielsetzung verstanden werden. Zero Trust heißt dabei nicht, dass überhaupt 52 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

– ADVERTORIAL – niemandem vertraut wird. Es geht hier in erster Linie um mehr Kontrolle über den Zugriff auf die eigenen Daten und darüber, wohin diese Daten übertragen und gespeichert werden dürfen, wenn sie das Netzwerk verlassen. Zu diesem Zweck muss man: verstehen, wo sich welche Daten beﬁnden und wie sie klassiﬁziert werden sollten; Geräte und Benutzer identiﬁzieren, die Zugriff auf verschiedene Arten von entsprechend klassiﬁzierten Daten haben und benötigen. Traditionell haben sich viele Gesundheitseinrichtungen und Kranken- häuser wenig Gedanken über die Klassiﬁzierung ihrer Daten gemacht, da sie diese im eigenen Netzwerk sicher wähnten. Aber die Zeiten geschlossener Systeme ist schlicht und einfach vorbei. Daten verlassen kontinuierlich das Netzwerk: Medizinische Geräte speichern sie wie beschrieben in der Cloud, das Personal nutzt Cloud-Anwendungen, Ärzte tauschen sich mit Forschungseinrichtungen aus, senden Daten an Gesundheitsämter und Institute. Auch der Trend zur Zusammenarbeit ist längst im Gesundheitssektor angekommen, mit der Folge, dass Daten die traditionellen Grenzen des Netzwerks verlassen. Erschwert wird die Situation in Krankenhäusern durch ein reges Kommen und Gehen von Benutzern und Geräten. So sind Ärzte nicht immer Angestellte des Krankenhauses: Beispielsweise könnten Belegärzte ihre eigenen Geräte und Daten in das Krankenhaus mitbringen und andersherum auch Daten aus dem Klinik-Netzwerk wieder mitnehmen. All dies macht es schwierig, die verschiedenen Daten, Geräte, Benutzer und Zugangspunkte in ein ganzheitliches Sicherheitskonzept zu integrieren. Die Daten beﬁnden sich nicht mehr nur an einem Ort, sondern sind überall verteilt. Und die Situation wird sich in den nächsten Jahren eher verschärfen. Deshalb kommt es darauf an, schon jetzt die nötigen Grundlagen für die effektive und vor allem sichere Verwaltung von Daten zu schaffen. Die Cloud wird sich auch in Krankenhäusern immer mehr durchsetzen, zumal sie auch eine ideale, da schnell umzusetzende und kostengünstige Möglichkeit darstellt, die oftmals in die Jahre gekommenen IT-Systeme zu modernisieren. Auch das Krankenhauszukunftsgesetz wird hier für einen gewissen Schub sorgen. Sicherheit für die Cloud kann aber nur aus der Cloud kommen. Durch den Zero-Trust-Network-Access-(ZTNA-)Ansatz können – egal ob On- Premises oder in der Cloud – einheitliche Richtlinien durchgesetzt werden und somit die Sicherheit in allen Bereichen erhöht werden. Autorisierte Benutzer erhalten basierend auf Benutzeridentität und dem Sicherheitsstatus der Geräte Zugriff auf ihre Anwendungen und nicht auf das gesamte Netzwerk. So werden private Anwendungen und andere Netzwerkressourcen effektiv geschützt. n SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 53 . . m o c e b o d a k c o t s - e v o L y r r a C © | s i m _ i l a t a n © : d l i B

– ADVERTORIAL – KRANKENHAUSZUKUNFT: RUNDUM SICHER UND GESETZESKONFORM Mit der Swiss IT Security Group (kurz SITS Group) können Sie Maßnahmen zur Verbesserung der Sicherheit ihrer IT-Infrastruktur und zur Digitalisierung umsetzen – und so die gesetzlichen Vorgaben mit einem Partner aus einer Hand erfüllen. Autor: Frank Schlottke, Geschäftsführer Applied Security GmbH (Mitglied der SITS Group) In einer Umfrage der Universität der Bundeswehr von 2019 namens „Projekt Smart Hospitals“ 1 wurden alle bayerischen Krankenhäuser zu Fragen der IT-Sicherheit und Digitalisierung befragt. Die Ergebnis- se lassen sich sicher aufs Bundesgebiet übertragen. 47 Prozent der Kliniken hatten mindestens einen IT-Sicherheitsvorfall in den letzten 12 Monaten, davon waren die meisten Ransomware-Vorfäl- le. 91 Prozent davon sind auf unbeabsichtigtes Fehlverhalten zurückzu- führen. Nur 44 Prozent der Umfrageteilnehmer haben eine Sicherheits- leit linie, nur 42 Prozent einen Wiederanlaufplan im (IT-)Katastrophenfall und gar nur 12 Prozent nutzen fortgeschrittene Sicherheitstechniken wie 54 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS SIEM – und das, obwohl 79 Prozent häuﬁg mit externen Dienstleistern zu Fragen der IT-Sicherheit zusammenarbeiten. Auf Basis dieser (und ähnlich gelagerter) Umfragen wundert es also nicht, dass der Gesetzgeber im SGB V, § 75c Abs. 1 folgende Regelung erlassen hat: „Ab dem 1. Januar 2022 sind Krankenhäuser verpﬂichtet, nach dem Stand der Technik angemessene organisatorische und technische Vor- kehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie […] zu treffen, die für die Funktionsfähigkeit des 1 Projekt Smart Hospitals – Sichere Digitalisierung bayerischer Krankenhäuser (unibw-muenchen.de)

– ADVERTORIAL – jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patien- teninformationen maßgeblich sind. […] Die informationstechnischen Sys- teme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.“ In der Smart-Hospitals-Umfrage wurden als größte Herausforderungen für die Verbesserung der IT-Sicherheit genannt: Identity und Access Management. Die zentrale und sichere Ver- waltung von Identitäten ist ein wesentlicher Baustein, um bedeutungs- volle digitale Prozesse nicht nur mit dem Patienten zu ermöglichen. Awareness-Schulungen. Die Schulung der Mitarbeiter ist ein we- sentlicher Schritt zur Verbesserung der IT-Sicherheit. Sicherer Cloud-Betrieb. Mit speziellen Microsoft Security Assets ﬁn- det sich ein sicherer Weg in die Cloud. Auditing und Pen-Testing. Überprüfung der getroffenen Maßnah- Zu wenig Fachpersonal. Es stehen nicht genügend Spezialisten für men und Aufzeigen weiterer Schritte. die IT-Sicherheit zur Verfügung. Zu wenig Budget. IT-Sicherheit und Digitalisierung kosten Geld. Die Bedeutung der IT-Sicherheit ist oft nicht in den zur Verfügung stehen- den Mitteln berücksichtigt. Zu viele neue Bedrohungen. Als IT-Verantwortlicher in einem Krankenhaus kann man aufgrund der Vielzahl an neuen und wechseln- den Bedrohungen den Überblick verlieren. Detailwissen zu einzelnen Bedrohungen ist oft nicht vorhanden. Praktikabler Datenschutz. Stellung eines externen Datenschutzbe- auftragten oder Unterstützung des internen Datenschützers. Wir unterstützen Sie gezielt und bedarfsgerecht. Ein Ansprechpartner kümmert sich um all Ihre Belange zum Thema IT-Sicherheit und Digitali- sierung. Wir sind nach dem Krankenhauszukunftsgesetz zertiﬁziert und können Sie in der Antragstellung zur Förderung unterstützen.n Die Budgetfrage sollte mit dem Krankenhauszukunftsgesetz und den ent- sprechenden Zuschüssen zumindest vorübergehend gelöst sein, sodass die Frage nach Fachwissen und Fachpersonal stehen bleibt. Hier kann die Swiss IT Security Group kompetent helfen. Unser Mitglied Applied Security GmbH freut sich auf Ihre Kontaktaufnahme +49 (0) 60 22/2 63 38- 0 • info@apsec.de Die Swiss IT Security Group (SITS Group) ist ein führender Anbieter von IT-Sicherheitslösungen. Ziel ist eine Welt, in der alle Daten angemessen geschützt sind. Dafür entwickelt die SITS Group mit Expertise und Leidenschaft passgenaue Lösungen. Mehr als 600 Mitarbeiter in den einzelnen Unternehmen kümmern sich um die Sicherheit von mehr als 3.000 Unternehmen und Organisation vom kleinen mittelständischen Unternehmen bis hin zum Weltkonzern. Mit 18 Niederlassungen werden Kunden in Deutschland, Österreich, Schweiz, der Niederlande und Belgien lokal und kompetent unterstützt. Weitere Informationen ﬁnden sich auf www.sits-group.ch Gleichzeitig wurde in der Studie auch deutlich, dass bestimmte Digitalisie- rungsthemen als sehr sicherheitskritisch gesehen werden, beispielsweise die einheitliche elektronische Patientenakte oder das elektronische Re- zept. Digitalisierung ohne Sicherheit ist also für die meisten Verantwort- lichen in den Krankenhäusern nicht denkbar. Für die Digitalisierung in Krankenhäusern in den kommenden zehn Jahren wurden mehr als 20 verschiedene Themen in der Studie der Universität der Bundeswehr angesprochen. Für 9 von 10 Kliniken sind dabei die E-Über- weisung, die elektronische Terminvereinbarung und die digitale, kranken- hausinterne Mitarbeiterkommunikation Felder mit sehr hoher Bedeutung. Nach gängigen Maßstäben ist die SITS Group ein Start-up: Gegründet im Jahre 2017 ist sie erst im vierten Jahr ihres Bestehens. Allerdings haben sich in der SITS Group 17 IT-Sicherheitsspezialisten aus fünf Ländern zusam- mengeschlossen, um ihren Kunden eine allumfassende Expertise in den Bereichen IT-Sicherheit und Digitalisierung zur Verfügung stellen zu kön- nen. Auf diese Weise vereint sich hochgradige Spezialisierung mit breiter Sicht auf Sicherheits- und Digitalisierungsthemen in einem Unternehmen. Die SITS Group bietet ein breites Leistungsspektrum, das sich u.a. ganz- heitlich um Sicherheit in Krankenhäusern kümmert. Sicherheitsberatung. Analyse der IST-Situation und gezielte Maß- nahmen, Umsetzung von ISO27001 und BSI-Grundschutz. Sichere Digitalisierung. Sichere digitale Prozesse einschließlich si- cherer Patientenidentiﬁkation und Zusammenarbeit mit KIS-Herstellern. Sichere Infrastrukturen. Von Network Access Control über Mana- ged Firewalling bis hin zu Managed SIEM werden alle Techniken zum Betrieb einer sicheren Infrastruktur abgedeckt. Sichere medizinische Geräte und IoMT. Spezielles Knowhow und Produkte zum sicheren Betrieb (insbesondere älterer) medizini- scher Geräte. Managed Service. Von Firewalls über E-Mail-Sicherheit bis hin zu Routern und Switches bietet die SITS Group vielfältige Dienstleistungen an, um Ihre IT zu entlasten und das Sicherheitsniveau dennoch zu halten. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 55

– ADVERTORIAL – IT-Sicherheit im Krankenhaus Umsetzung von B3S für Kranken- häuser mit DocSetMinder Krankenhäuser in Deutschland werden immer mehr in die Pflicht genommen, sich mit dem Schutz der verarbeiteten Daten und Informationen auseinanderzusetzen. Der Fokus liegt auf der Aufrechterhaltung der stationären Versorgung. Den Nachweis für die Umsetzung der notwendigen Maßnahmen können Verantwortliche über die Anwendung des Branchenstandards erbringen. Autor: Piotr W. Nürnberg, Allgeier GRC GmbH Die Etablierung eines Managementsystems für Informati- onssicherheit setzt eine entsprechende Priorisierung durch die Leitungsebene voraus. Diese muss für ein kompetentes Projektteam und Projektmanagement sorgen und die notwendigen Res- sourcen bereitstellen. Durch die hohen normativen Anforderungen an das Dokumentenmanagement kommt der Auswahl einer ISMS-Software für die Dokumentation der Planung und Umsetzung des Informationssicher- heitsprozesses eine wichtige Rolle zu. Strukturanalyse Das Ziel der Informationssicherheit liegt im Schutz der Daten und Infor- mationen selbst sowie der an ihrer Verarbeitung beteiligten Prozesse, Anwendungen, Dienste, Systeme, Kommunikation und Einrichtungen. Für die fortlaufende Inventarisierung dieser Assets bietet das ISMS-Tool DocSetMinder vorgefertigte, anpassbare Verzeichnisstrukturen und Doku- mentvorlagen. Zum Aufzeigen der logischen Zusammenhänge zwischen der Aufbauorganisation (Organisationseinheiten, Verantwortlichkeiten), Ablauforganisation (Prozesse und Verfahren) und IT (passive und aktive Netzwerkkomponenten, Serversysteme, Arbeitsplätze, Peripheriegerä- te, Dienste und Anwendungen, Gebäude, Gebäudesicherheit und Räume) werden Verknüpfungen genutzt. Risikomanagement Das Modul „ISMS“ in DocSetMinder orientiert sich unmittelbar an der High Level Structure der ISO 27001 und bietet neben vorgefertigten Dokument- vorlagen und Integration der branchenspeziﬁschen Sicherheitsanforde- rungen ein effektives und efﬁzientes Management der für die kritischen Dienstleistungen relevanten Risiken. Den Verantwortlichen steht eine aus der ISO 27005 abgeleitete Risikoanalyse zur Verfügung. Für die Risikoidenti- ﬁkation können die mitgelieferten, erweiterbaren Kataloge (Gefährdungen und Schwachstellen) herangezogen werden. Die qualitative Bewertung des Risikos nach Schadenshöhe und Eintrittswahrscheinlichkeit erfolgt in einer 4x4-Matrix. Die Dimensionierung der Matrix sowie die zugrunde liegen- den Parameter lassen sich organisationsspeziﬁsch deﬁnieren. Im Rahmen der Risikobehandlung festgelegte technisch-organisatorische Maßnahmen können per Aufgaben- und Workﬂow-Funktion an einzelne Mitarbeiter oder Gruppen delegiert und der Arbeitsfortschritt getrackt werden. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Reporting Für die Überwachung des Informationssicherheitszustands im deﬁnierten Geltungsbereich des ISMS bietet DocSetMinder eine performante Repor- ting-Funktion mit fertigen Berichten für ein Audit nach B3S. Die Berichte können nach speziﬁschen Parametern (zum Beispiel Maßnahmenstatus) geﬁltert und in gängige Formate, wie PDF, MS Word und Excel, HTML etc., exportiert werden. Fazit Die Lösung DocSetMinder bildet den Informationssicherheitsprozess über alle Phasen (Plan, Do, Check, Act – PDCA) hinweg ab. Die im Modul „ISMS“ enthaltenen Strukturen und Dokumentvorlagen orientie- ren sich an der für die Umsetzung der Anforderungen aus B3S vorgeschlagenen Schrittfolge und stellen ein für jede Organisation passendes Dokumentations- rahmenwerk dar. DocSetMinder ist Best Practice – und Sie sind jederzeit „Ready for Audit“.n . . m o c e b o d a k c o t s - r 3 t s a m © : d l i B 56

– ADVERTORIAL – RETARUS ERMÖGLICHT SICHERE KOMMUNIKATION IM GESUNDHEITSWESEN IM GESUNDHEITSWESEN Wie entscheidend funktionierende IT-Prozesse und verlässliche Patientenkommunikation sind, hat das vergangene Jahr deutlich gezeigt. Mit dem Krankenhauszukunftsgesetz soll Kliniken nun mit einem umfassenden Investitionsprogramm ein digitales Update verschafft werden. Dabei sind mindestens 15 Prozent der beantragten Mittel zur Verbesserung der Informationssicherheit zu verwenden. Mit Retarus digitalisieren Krankenhäuser unkompli- ziert ihre Kommunikationsprozesse, profitieren von einer rechtssicheren, effizienten und skalierbaren Geschäftskommunikation und realisieren deutliche Kostenvorteile. Autor: Sören Schulte, Senior Product Marketing Manager bei Retarus In der Kommunikation mit niedergelassenen Ärzten, Krankenkassen, Laboren und Patienten geht es immer darum, eine optimale Patien- tenversorgung zu gewährleisten. Allerdings hat sich laut Bundes- regierung die Anzahl der erfolgreichen Cyberangriffe auf Krankenhäuser 2020 verdoppelt. Auch Interpol warnte im vergangenen Jahr vor steigen- den Ransomware-Attacken gegen Institutionen des Gesundheitswesens. Herkömmliche Sicherheitsmechanismen bieten vor den ausgefeilten Angriffen keinen ausreichenden Schutz. Dagegen setzt Retarus Email Se- curity auf Advanced Threat Protection und die frühzeitige Erkennung zu- nächst unbekannter Bedrohungen per patentierter Patient Zero Detection. Damit sichern Krankenhäuser ihre E-Mail-Kommunikation optimal ab. EMAIL ENCRYPTION FÜR SICHERE VERSCHLÜSSELUNG Mit Retarus Email Encryption wahren Krankenhäuser zudem die Vertrau- lichkeit ihrer Kommunikation und setzen Datenschutzbestimmungen pro- blemlos um. Vertrauliche Nachrichten werden automatisch verschlüsselt. Ausgehende Nachrichten werden vor dem Verschlüsseln und eingehende Nachrichten nach dem Entschlüsseln auf Viren überprüft und gegebenen- falls blockiert. Auf Wunsch verwaltet Retarus die Schlüssel der Anwender sowie die Zertiﬁkate ihrer Kommunikationspartner. Administratoren wer- den somit vollständig vom aufwendigen Key Management entlastet. EMAIL CONTINUITY FÜR DEN ERNSTFALL 100-prozentige Verfügbarkeit ist für die Kommunikation im Gesundheits- wesen extrem wichtig. Falls das E-Mail-System ausfällt, etwa durch einen Security Incident beim Mailserver oder eine Cloud-Downtime, stellt die Retarus Email Continuity das Routing auf Webmail-Postfächer um. So können betroffene Anwender unterbrechungsfrei weiter kommunizieren. Die Webmail-Oberﬂäche ist selbsterklärend und funktioniert wie bei privat genutzten E-Mail-Diensten. Auch diese Ausweich-Postfächer sind vollständig durch Retarus Email Security geschützt. DATENSCHUTZ UND COMPLIANCE Die umfassenden Services der Retarus Secure Email Platform unterstützt Gesundheitsversorger bei den Herausforderungen eines immer digitaler werdenden Klinikalltags. Neben Krankenhäusern setzen auch weitere zentrale IT-Angebote des Gesundheitssektors, von der elektronischen Patientenakte bis zur bundesweiten Impfkampagne, auf die exzellente Servicequalität von Retarus. Die Services werden nach Nutzung abge- rechnet, Kosten für Hardware, Software oder Wartung entfallen, und die Cloud-Dienste lassen sich nahtlos in bestehende Betriebsabläufe und IT- Umgebungen integrieren. Dabei setzt Retarus gezielt auf Local Processing und verarbeitet alle Daten in selbstbetriebenen, auditierbaren Rechen- zentren in Deutschland, unter anderem nach ISO 27001 zertiﬁziert. Dabei erfüllt das Unternehmen neben branchenspeziﬁschen Standards und DS- GVO-Vorgaben auch höchste Compliance-Anforderungen. Zusätzlich sind die Retarus-Dienste nach SOC 1 und SOC 2 Type II examiniert.n www.retarus.com SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 57

– ADVERTORIAL – Wenn alle Daten verschlüsselt sind BACKUP IST DIE LETZTE RETTUNG Cyberattacken sind mittlerweile fast Normalität. Schnell ist der Geschäftsbetrieb für Wochen gestört, und die Schäden sind siebenstellig. Im Sekundentakt werden weltweit Unternehmen attackiert. Im Zuge von COVID-19 gerieten Krankenhäuser von dieser Seite zusätzlich unter Druck. Umso wichtiger ist es, auf den Ernstfall vorbereitet zu sein. Autor: Matthias Frühauf, Regional Vice President Germany, Veeam Software, München Hat eine Organisation bisher keine Ransomware-Attacke er- lebt, gehört sie mittlerweile zu einer Minderheit. Im Herbst 2020 geriet speziell die Gesundheitsbranche ins Visier der Hacker: Laut Check Point stiegen die Ransomware-Angriffe auf Kranken- häuser weltweit um 45 Prozent. Ob gezielte Attacke oder Phishingmail- Welle, der Branchenverband Bitkom schätzt den Schaden in Deutschland auf mehr als 100 Milliarden Euro. DATEN OFFLINE ABSICHERN Der Maßnahmenkatalog als Vorbereitung für den Totalverlust aller Pro- duktivdaten, umfasst ein zuverlässiges Datensicherungskonzept, einen „unlöschbaren“ Backup-Speicher, eine Sicherung ohne Viren, einen de- taillierten Plan für die richtige Abfolge beim Restart sowie ein komplettes Notfallset an Systemen, das völlig ofﬂine bereitsteht und keine aktive Ver- bindung zum Rechenzentrum hat. DIGITALISIERUNG ERFORDERT MEHR DATENSCHUTZ Mit der zunehmenden Digitalisierung und der Vernetzung medizinischer Geräte steigen auch die Komplexität und die Gefahr von Schwachstellen, die Patientendaten oder sogar die Patientensicherheit bedrohen können. Größere Kliniken, die zur kritischen Infrastruktur (KRITIS) zählen, sind in Sachen IT zumeist gut ausgestattet. Aber bei kleineren Kliniken steht oft moderne Medizintechnik im Fokus und es wird vergessen, dass mit der Digitalisierung auch die IT aktuellen Anforderungen gerecht werden muss. Veraltete IT-Technik ist ein Freifahrtschein für Hacker. Umfassende und kontinuierliche Datensicherung ist die Basis – für den Tagesbetrieb ebenso wie den Ernstfall. Um für alle Eventualitäten gerüs- tet zu sein, empﬁehlt Veeam grundsätzlich die 3-2-1-1-0-Strategie: drei Backup-Kopien gespeichert auf zwei unterschiedlichen Medien, davon ein Voll-Backup extern gelagert und ein weiteres ofﬂine, „air-gapped“. Das heißt, auf dieses Backup sollte kein Online-Zugriff möglich sein und es sollte nicht löschbar sein, auch nicht mit noch so hohen – aber eventu- ell gekaperten – Admin-Rechten. Mögliche Varianten sind etwa Ofﬂine- Tapes, die aber wirklich außerhalb der Tape-Library oder des Laufwerks gelagert werden, oder ein „immutable“ Backup. Die meisten Krankenhäuser sind auf Störfälle vorbereitet, wie etwa einen Stromausfall oder einen Teilausfall in der IT, der vergleichsweise schnell erkannt und behoben werden kann. Aber eine Ransomware-Attacke, bei der alle Daten verschlüsselt werden, hat eine andere Dimension, auf die sich viele Organisationen noch differenzierter vorbereiten müssen. Denn dann besteht die Chance, eine wahrscheinlich ineffektive (da unvorberei- tete) Reaktion auf eine Attacke zu vermeiden. Es geht ja nicht nur darum, Datenverluste zu minimieren, sondern auch schnellstmöglich und um- fassend wieder online zu sein, damit der Klinikbetrieb weiterlaufen bezie- hungsweise wieder aufgenommen werden kann. Eine Veeam-Umfrage1 bei IT-Entscheidern ergab kürzlich, dass 58 Prozent der Wiederherstellungen fehlschlagen und 14 Prozent aller Daten über- haupt nicht gesichert werden. Das bedeutet, Backup-Strategien werden nicht konsequent geplant und umgesetzt. Damit sind Geschäftsdaten ungeschützt und nach einem Angriff komplett verloren. Moderne Daten- sicherungssoftware, wie die Veeam Backup º Replication, stellt automa- tisch sicher, dass Backups wiederherstellbar und frei von Schadsoftware sind. Zusätzlich sorgen integrierte Monitoring- und Analysefunktionen für mehr Sicherheit: So können beispielsweise verdächtige Ransomware-Ak- tivitäten auf Produktiv-Systemen oder ungewöhnliche Größenverände- 58 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

– ADVERTORIAL – 4-in-1-Lösung für Backup, Replikation, Speicher-Snapshots und Continuous Data Protection (CDP) Veeam Backup „ Replication in der neuen Version 11 ermöglicht plattformübergreifende Datensicherung für Cloud-, virtuelle, physische und Enterprise-Workloads sowie zuverlässiges Datenmanagement für jede Phase im Datenlebenszyklus in komplexen Multi-Cloud- Umgebungen. Zu den wichtigsten Neuerungen zählt die CDP-Funktion für Workloads auf VMware vSphere, mit der ein Recovery Point Objective (RPO), also ein Sicherungsintervall von wenigen Sekunden deﬁniert werden kann. Geschäftskritische Anwendungen werden so umfassend vor Datenverlust und Ausfällen geschützt. Die Schutzfunktion „Immutable Backup Repositories“ erhöht die Absicherung gegen Ransomware, denn Backups können so nicht verändert werden und sind zum Beispiel vor Krypto-Trojanern geschützt. Die Kernaufgaben lauten: planen, automatisieren, testen und trainieren. In regelmäßigen „Fire-Drills“ können Szenarien und Abläufe geprobt und zugleich validiert werden. Damit in der Ausnahmesituation alle Beteiligten wissen, was zu tun ist, wie die einzelnen Rollen verteilt sind und auf wel- che automatischen Abläufe sie sich verlassen können. So erhöhen Orga- nisationen ihre Wiederanlauffähigkeit, steigern ihre Resilienz und sorgen für möglichst störungsfreien Geschäftsbetrieb. n 1 Datensicherungstrends 2021 – Veränderungen und Herausforderungen für die IT; https://go.veeam.com/data-protection-trends-executive-brief-de Weitere Informationen: Veeam Software GmbH, Tel. 0 89/20 70 42-800, www.veeam.com/de rungen bei inkrementellen Backups aufgedeckt werden. Je mehr automa- tisiert ist, desto reibungsloser läuft der Betrieb. Das erleichtert im Übrigen auch eine BSI-Zertiﬁzierung. DISASTER-RECOVERY-PROZESSE IMMER AKTUELL Um Disaster-Recovery-Szenarien immer auf dem neusten Stand zu hal- ten, empﬁehlt sich der Einsatz entsprechender Software. So kann das Disaster Recovery inklusive Notfallplänen sowie regelmäßigen Tests und Updates deﬁniert und automatisiert werden. Damit der Restart reibungs- los funktioniert, sollten auch diese Abläufe mithilfe einer Orchestrierungs- software automatisiert werden. So können IT-Teams beispielsweise mit Veeam Disaster Recovery Orchestrator ein Regelwerk von Abhängigkeiten und Prioritäten deﬁnieren und sicherstellen, dass Systeme, Anwendungen und Startreihenfolgen bei der Wiederherstellung korrekt ablaufen. Das ist auch ein Compliance-Thema. PRÄVENTION SENKT DEN STRESS-LEVEL Vorbereitung ist die beste Abwehrstrategie, denn IT-Ausfälle sind unver- meidbar, ob technische Störung oder Cyberattacke. Laut einer weltweiten Veeam-Umfrage 1, verzeichnen 95 Prozent aller befragten Organisationen unerwartete IT-Ausfälle, die im Schnitt knapp zwei Stunden dauern. Ran- somware-Attacken laufen kaum so glimpﬂich ab. Oft dauert es Tage oder sogar Wochen, bis ein Unternehmen alle Daten und Systeme wiederher- gestellt hat und der Betrieb in allen Bereichen wieder reibungslos läuft. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 59

– ADVERTORIAL – Controlware Cyber Defense Services IDEALER SCHUTZ FÜR KRANKENHÄUSER UND MEDIZINISCHE EINRICHTUNGEN MEDIZINISCHE EINRICHTUNGEN Cyberangriffe stellen eine der größten Bedrohungen für Krankenhäuser und damit für die medizinische Versorgung dar. Lag bisher der Fokus auf präventiven Schutzmaßnahmen, liegt dieser heute auf der Detektion und Bewertung von Angriffen. Bereits das Erkennen von Cyberangriffen ist für IT-Abteilungen intern kaum noch zu leisten. Hinzu kommt, dass es – neben dem Einsatz geeigneter Detektionslösungen – essenziell ist, den Kontext eines Angriffs zu verstehen, um angemessen reagieren zu können. Controlware bietet umfangreiche, modulare Cyber Defense Services und unterstützt Krankenhäuser aktiv bei der Be- wältigung von Cyberangriffen. Auf Basis dieser Services lassen sich die Herausforderungen des IT-Betriebs von medizinischen Ver- sorgungseinrichtungen erfolgreich adressieren: Wie lässt sich Risikotransparenz erreichen? Wie können moderne, gezielte Angriffsszenarien erkannt werden? Wie können Korrelationen über Ereignisse oder Ereignisketten hergestellt werden? Wer unterstützt mit verständlichen und umsetzbaren Anleitungen zur Risikobehandlung? Wie lässt sich überprüfen, ob durchgeführte Maßnahmen erfolgreich waren? DIE MODULAREN CONTROLWARE CYBER DEFENSE SERVICES Mit den Controlware Cyber Defense Services lassen sich Cybergefahren, Schwachstellen und Anomalien erkennen – ergänzt durch Dienstleis- tungen zur Analyse, Bewertung und Priorisierung von Security Incidents. Ein besonderer Schwerpunkt liegt unter anderem auf der ständigen Be- obachtung der weltweiten aktuellen Bedrohungslage, um Angriffsmus- ter zu verstehen und die Detektionsmechanismen kontinuierlich darauf anzupassen. VULNERABILITY MANAGEMENT SERVICE (VMS) Im Rahmen des VMS-Moduls wird eine Plattform zur Identiﬁzierung und Inventarisierung von Assets sowie zur Erkennung und Nachverfolgung von Schwachstellen innerhalb der IT-Infrastruktur bereitgestellt und be- trieben. Alle erkannten Schwachstellen werden priorisiert dargestellt und mit Handlungsempfehlungen versehen. ADVANCED LOG ANALYSIS (ALA) Die vom ALA-Modul zur Sammlung und Auswertung von Log-Daten be- reitgestellte Plattform dient der Erkennung Security-relevanter Ereignis- se. Über spezielle, von Controlware entwickelte Use Cases ist es möglich, Angreifer-Verhalten und eingesetzte Techniken in den unterschiedli- 60 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS chen Phasen eines Angriffs sicher zu erkennen. Darüber hinaus erfolgt eine Bewertung von Security Incidents im kundenspeziﬁschen Kontext. Gleichzeitig werden regulatorische Anforderungen nach Sammlung und strukturierter Auswertung von Log-Daten – sogenannte SIEM-Lösungen – erfüllt. Wichtig – alle Daten verbleiben grundsätzlich beim Kunden. Die Verarbeitung erfolgt im Rahmen der EU-Datenschutz-Bestimmungen. ADVANCED THREAT DETECTION (ATD) Im Rahmen des ATD-Moduls wird eine Plattform zur Erkennung von Ano- malien im Netzwerk-Datenverkehr, im Benutzerverhalten oder in E-Mails bereitgestellt und betrieben. ENDPOINT DETECTION & RESPONSE (EDR) Mit der EDR-Lösung zur Anomalie-Erkennung am Endpoint lassen sich neben dem unmittelbaren Schutz vor Cyberangriffen auch Hinweise auf Cyber-Security-relevante Vorgänge und Ereignisse feststellen und ana- lysieren. ANALYSE UND REAKTION – „SOC AS A SERVICE“ Die Cyber Security-Analysten im ISO 27001-zertiﬁzierten Cyber Defense Center von Controlware – am Standort Deutschland – analysieren, bewer- ten und priorisieren die Risiken. Anschließend werden konkrete Hand- lungsempfehlungen gegeben und die Kunden bei der Beseitigung der Cybergefahren und -risiken aktiv unterstützt. Controlware ist als Systemintegrator und IT-Dienstleister damit der ideale Partner – mit langjähriger Praxiserfahrung und tief greifendem Know-how.n Controlware GmbH Waldstraße 92 | 63128 Dietzenbach Tel. +49 6074 858-00 managedservices@controlware.de www.controlware.de blog.controlware.de

. m o c . e b o d a k c o t s f d o o g o B x e A l l | g n i r i p s n i t r a © : k fi a r G – ADVERTORIAL – MailStore Server: EFFIZIENTE UND DATENSCHUTZ KONFORME EMAILARCHIVIERUNG IM KRANKENHAUS Die Verarbeitung personenbezogener Daten – insbesondere Gesundheitsdaten – sowie deren Transfer per E-Mail steht in jedem Krankenhaus und jeder Arztpraxis auf der Tagesordnung. Dabei handelt es sich gemäß Art. 9 DSGVO häufig um besonders schutzbedürftige Infor mationen. Roland Latzel von MailStore erklärt, welche Rolle die E-Mail-Archivierung im Krankenhaus spielt und wie ITEntscheider die perfekte Lösung für ihre Anforderungen finden. In Deutschland müssen Unternehmen aus steuer- und handels- rechtlichen Gründen – darunter auch Krankenhäuser – Daten und Korrespondenzen für mehrere Jahre zuverlässig, revisions- und manipulationssicher aufbewahren und auf Anfrage verfügbar halten (Stichwort: Revisionssicherheit nach GoBD). Dieser Grundsatz schließt im Krankenhausumfeld ebenfalls E-Mails und Anhänge mit personenbezogenen Informationen und Gesundheitsdaten mit ein. Das Speichern im Postfach des Empfängers oder auf dem lokalen PC reicht dafür nicht aus: Dadurch bleiben die Daten nicht nur anfällig für nachträgliche Manipulationen, sondern bergen das Risiko von Datensilos, auf die nur der Empfänger Zugriff hat. Macht ein Patient beispielsweise Gebrauch von seinem Auskunfts- oder Löschungsrecht, kann das Informationsmanagement ganz schnell zum ineffizienten Albtraum werden. Software-Lösungen zur E-Mail-Archivierung können Krankenhäusern helfen, diese Herausforderungen zu meistern. WAS MUSS EINE PROFESSIONELLE LÖSUNG FÜR EMAILARCHIVIERUNG KÖNNEN? Sobald die IT die Rahmenbedingungen zur effektiven E-Mail-Nutzung und -Archivierung mit allen wichtigen Parteien (zum Beispiel Betriebsrat, Datenschutzbeauftragter) besprochen und festgelegt hat, können sie die Wahl des richtigen Archivierungstools in Angriff nehmen. Im Folgenden erhalten IT-Entscheider eine Checkliste zu Funktionen, über die die Lösung verfügen sollte, um sicher und DSGVO-konform zu archivieren: Eﬀizientes Management: Erfragt ein Patient die Löschung oder Herausgabe seiner Daten, muss das Archiv durchsuchbar sein, um diese Daten schnell ausfindig zu machen. Die Software MailStore Server bietet einen direkten Zugriff auf archivierte E-Mails samt Dateianhänge, zum Beispiel über eine Volltextsuche – auch für Compliance-Verantwortliche und Auditoren. Individuelle Aufbewahrungsrichtlinien: Je nach rechtlich bedingter Aufbewahrungsfrist müssen die Daten gelöscht werden. Über MailStore Server kann die IT individuelle Richtlinien zu unterschiedlichen Fristen definieren, woraufhin das System den Löschvorgang automatisch übernimmt. Sicherheit geht vor: Gesundheitsdaten sind gemäß Art. 9 DSGVO besonders schutzbedürftig. Hinzu kommt, dass die Daten vor möglichen Manipulationsversuchen und Datenverlust abzusichern sind. MailStore Server schützt archivierte Daten mittels moderner Verschlüsselungsverfahren. Des Weiteren sind manuelle Veränderungen am Archiv per Log nachzuverfolgen, dies ist wichtig im Fall eines Audits. Zudem sollte die Lösung möglichst passend zertifiziert sein, vor allem nach IDW PS 880 im Kontext der Revisionssicherheit. Self-Service für den Anwender: Die Krankenhaus-Mitarbeiter können nicht bei allen Archivierungslösungen eigenständig auf den E-Mail-Bestand zugreifen. Eine echte Entlastung für Ihre IT wird Archivierung vor allem dann, wenn Anwender eigenständig mit der Lösung produktiv im Archiv arbeiten können – egal ob per Outlook am PC, oder browserbasiert auf Smartphones und Tablets. MailStore Software GmbH Clörather Straße 1–3 41748 Viersen Deutschland www.mailstore.com E-Mail: sales@mailstore.com +49-(0)2162-50299-0 Tel.: +49 (0)2162-50299-29 Fax: SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 61

– FIRMENPROFIL – GESUNDES SICHERHEITSNIVEAU Ein ungehinderter Fluss von Informationen ist eine der wichtigsten Voraussetzungen für erfolgreiche Diagnose und Therapie: Patientenakten müssen zugänglich sein, Ärztinnen und Ärzte müssen auf aktuellste Studienergebnisse zugreifen können, der Austausch zwischen Fachgruppen im Krankenhaus und mit externen Spezialisten muss reibungslos verlaufen. Krankenhäuser sind daher immer mehr auf ihre digitale Infrastruktur angewiesen. Gleichzeitig sehen sie sich den gleichen Angriffsszenarien ausgesetzt wie alle vernetzten Unternehmen. Schadsoftware, wie beispielsweise Ransomware, und andere Zwischenfälle, wie Phishing-Attacken, betreffen immer wieder auch Einrichtungen im Gesundheitswesen und richten Schaden an, der nicht nur ﬁnanzieller Natur ist. Wie lässt sich Cybersicherheit gewährleisten, ohne den täglichen Betrieb zu belasten? Das Klinikum Fürth hat gute Erfahrungen mit secunet safe surfer gemacht. SICHERHEIT DURCH TRENNUNG VON ARBEITSPLATZ UND INTERNETZUGANG Das Einfallstor für Schadsoftware und Phishing ist häuﬁg der Internetzugang am Arbeitsplatz – trotz gängiger Sicherheitsmaßnahmen, wie Virenscanner, Firewalls oder Content-Filter. Den Internetzugang vollständig zu unterbinden ist allerdings in einer so heterogenen und informationsabhängigen Organisation wie einem Krankenhaus auch keine Option. Gefragt ist vielmehr eine Lösung, die den Nutzern einen komfortablen Zugriff auf Ressourcen im Netz gestattet und gleichzeitig das Eindringen von Schadsoftware effektiv unterbindet. 62 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS secunet safe surfer fungiert als Web-Isolation-Lösung und Datenschleuse für sichere Internetnutzung. Die Lösung wurde auf der Basis der BSI- Sicherheitsarchitekturen Remote-Controlled Browser System (ReCoBS) und Browser-in-the-Box entwickelt. Dabei ﬁndet jede Browser Session in einer abgeschotteten Umgebung innerhalb eines speziell gehärteten Linux-Systems statt, das wiederum in einem separierten Netzsegment läuft. Diese entfernt stattﬁndende Browser Session wird vom Arbeitsplatz lediglich per Videostream ferngesteuert – nur Bild- und Tondaten werden übertragen. Durch diese sehr grundlegende Trennung werden sogar hardwarenahe Angriffe abgewehrt – neben allen gängigen Gefahren wie infektiösen Webseiten. Dennoch gestattet safe surfer das Anlegen von persönlichen Favoriten sowie den Upload und Download von Dateien wie ein nativer Browser. Mit der Zusatzfunktion safe reader lassen sich zudem inﬁzierte E-Mail-Anhänge wirksam abblocken. Öffnet der Nutzer einen kompromittierten Anhang mit safe reader, kann die Malware keinen Schadcode nachladen, da keine direkte Verbindung zum Internet besteht. ERFOLGREICHE EINFÜHRUNG IM KLINIKUM FÜRTH Entscheidend für den Einsatz im Gesundheitswesen ist die Nutzer- freundlichkeit. Der safe surfer wurde so entwickelt, dass er wie ein herkömmlicher Browser mit allen Komfortfunktionen genutzt werden kann. Somit ist die Akzeptanz bei den Nutzern gut, und IT-Abteilungen werden nicht mit aufwendigen Schulungsmaßnahmen belastet. . e d n r o h - n a i t s i r h c - e fi a r g o t o f . w w w | n r o H n a i t s i r h C : o t o F

Das bestätigen auch die Erfahrungen aus dem Klinikum Fürth, das den safe surfer 2020 hausweit eingeführt hat. Anstoß für die Einführung des safe surfer gaben Berichte in der Fachpresse über Cyberangriffe auf große Kliniken sowie ein direkter Angriff (Emotet) auf das Klinikum im Dezember 2019. Im Februar 2020 nahm das Klinikum Kontakt mit secunet auf, ein erstes Webinar für ausgewählte Mitarbeiter aus der IT-Abteilung fand statt. Kurz danach wurde das Einführungsprojekt gestartet. AUSWEITUNG AUF WUNSCH DER MITARBEITERINNEN UND MITARBEITER In diesem bestätigte sich die erhoffte Akzeptanz der Lösung: In diesem bestätigte sich die erhoffte Akzeptanz der Lösung: „Schon in der einmonatigen Teststellung überzeugte die unkompli „Schon in der einmonatigen Teststellung überzeugte die unkompli- zierte Nutzung des safe surfer, sodass wir die Zahl der Lizenzen im Einfüh- rungsprojekt auf Mitarbeiterwunsch hin deutlich erhöht haben und damit nun alle Bereiche des Hauses mit einem sicheren Internetzugang versor- gen“, so Alexander Zetlmeisl, Leiter der IT am Klinikum Fürth. Pandemiebedingt verlief die Einführung von Frühjahr bis Sommer 2020 etwas langsamer als unter Normalbedingungen, seit Juli 2020 ist safe surfer nun aber im Produktivbetrieb. Eine ﬂexible Erweiterung wird auch zukünftig möglich bleiben, denn safe surfer ist skalierbar im laufenden Betrieb, mit einem transparenten Lizenzmodell. AKZEPTANZ AUCH AUF DEN STATIONEN Auch in den patientennahen Bereichen werde der safe surfer daher genutzt und habe nicht zu einem merklichen Anstieg der Supportanfragen an die IT geführt, berichtet das Klinikum Fürth. „Die Nutzung des Browsers funktioniert nahezu wie gewohnt. Ich kann beispielsweise Links in die Browserleiste kopieren, online Dateneingaben vornehmen oder entsprechende Daten sicher downloaden. Gerade in dynamischen Zeiten, wie in der aktuellen Pandemie, ist ein schneller, unkomplizierter und sicherer Datenaustausch mit anderen Kliniken – zum Beispiel auf Online-Portalen zu freien Behandlungskapazitäten – unerlässlich und für die tägliche Arbeit essenziell“, so Dr. Manfred Wagner, Medizinischer Direktor und Pandemiebeauftragter am Klinikum Fürth. Über das Klinikum Fürth: Das Klinikum Fürth – ein Klinikum der Schwerpunktversorgung und universitäres Lehrkrankenhaus der Universität Erlangen-Nürnberg mit 13 Fachabteilungen sowie Instituten und Zentren – ist ein in der Region fest verwurzeltes, wirtschaftlich erfolgreiches Klinikum der Versorgungsstufe 2 mit 771 Betten sowie 36 Betten in der geriatri- schen Rehabilitation. Mehr als 2.500 engagierte Mitarbeiterinnen und Mitarbeiter versorgen jährlich 42.000 stationäre sowie 58.000 ambulante Patienten auf höchstem medizinischem und techni- schem Niveau. Dazu gehört insbesondere auch die minimal-inva- sive, roboterassistierte Chirurgie. Mit der umfangreichen baulichen Erweiterung und Erneuerung hat zudem im Rahmen eines der größten Krankenhausprojekte Bayerns der moderne, zukunftswei- sende Umbau des Krankenhausstandortes Fürth bereits begonnen. – FIRMENPROFIL – Und auch sonst schont safe surfer die Ressourcen in der IT-Abteilung: Durch einen Managementserver lässt er sich für alle Abteilungen zentral verwalten. Zahlreiche standardisierte Schnittstellen helfen bei Integration und Automatisierung. NICHT NUR BEKANNTE ANGRIFFSVEKTOREN WERDEN ABGEWEHRT Das Klinikum Fürth ist zuversichtlich, mit dem safe surfer die optimale Lösung gefunden zu haben, um unbekannte Quellen isoliert zu halten. „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich dafür aus, den Zugriff auf das Internet über ein Remote-Controlled Browser System (ReCoBs) abzusichern. Dieser Empfehlung sind wir mit dem Einsatz von secunet safe surfer gern gefolgt, um auch in dieser Hinsicht den Anforderungen aus dem IT-Sicherheitsgesetz an ein KRITIS-Haus zu entsprechen“, so Herbert Motzel, Leiter der Stabstelle IT-Sicherheitssysteme am Klinikum Fürth.n Kontakt: Markus Ohnmacht markus.ohnmacht@secunet.com Interessierte Einrichtungen können kurzfristig einen Zugang zur Cloud-Testumgebung für secunet safe surfer erhalten und sich ein eigenes Bild von der Web-Isolationslösung machen. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 63

– ADVERTORIAL – Patient Krankenhaus: IMPFSTOFF FÜR DIE IT-INFRASTRUKTUR In den vergangenen Jahren hat die Professionalisierung im E-Crime- . m o c e b o d a k c o t s - s e g a m . I t u a h T © : d l i B klassischen Endpoint-Schutz als einzige Sicherheitsmaßnahme antreffen“, so Maik Wetzel, Strategic Business Development Director DACH bei ESET. „Das ist in etwa so, als wenn Sie bei einem neuen Auto in puncto Sicherheit einzig und allein auf Ihre Stoßstange vertrauen. In modernen, digitalisierten Kliniken sind Sandboxing, EDR, 2FA und Encryption unabdingbar. Es sind zudem dringend organisatorische und technische Maßnahmen notwendig, die dem heutigen Schutzbedarf angemessen sind. Ich denke hier insbesondere an die ISO 27001.“ Single Vendor „Made in EU“ Eine der großen Herausforderungen stellen gerade im Health-Care- Bereich Insellösungen dar, die nicht verzahnt ineinandergreifen. ESET hat dies frühzeitig erkannt und bietet Krankenhäusern mit seinem „Multi Secured Endpoint“-Ansatz ein am Markt einmaliges Lösungsportfolio an, das technologisch ausgereift ist und umfassend das nötige Schutzniveau gewährleistet. Der europäische Hersteller setzt dabei konsequent auf eigene Technologien – und das über alle gängigen Betriebssysteme hinweg, cloudbasiert oder On-Premises. Von der Endpoint Protection über die Multi-Faktor-Authentiﬁzierung bis hin zur Verschlüsselung können Kunden im Health-Care-Sektor auf ESET vertrauen. Das sogenannte „Single-Vendor-Prinzip“ macht es den Administratoren leichter und reduziert zugleich den Kostenaufwand. Alle ESET-Lösungen lassen sich über die Management-Konsole ESET PROTECT komplett administrieren. Bereich nachweislich weiter zugenommen. Neben deutschen Mittel- ständlern geraten aber auch Krankenhäuser immer stärker in den Fokus von Cyberangreifern. Die Unternehmensberatung Roland Berger stellte bereits 2017 fest, dass 64 Prozent der gut 2.000 Krankenhäuser in Deutschland Opfer eines Hackerangriffs wurden. Der Bund und die Länder tragen dieser Entwicklung Rechnung und haben im vergangenen Jahr mit dem Krankenhauszukunftsgesetz die notwendigen Investitionsweichen gestellt: Von den insgesamt 4,3 Milliarden Euro zur Digitalisierung der Kliniken sollen mindestens 15 Prozent in die IT-Sicherheit der deutschen Kliniken gesteckt werden. Doch mit welchen Lösungen sind Krankenhäu- ser in der Lage, den Diebstahl von Patientendaten, Ransomware-Angriffe oder den unerlaubten Zugriff auf Rechner zu verhindern? Analysieren und handeln Krankenhäuser müssen das Thema IT-Security als permanenten Prozess verstehen, der sich an verändernde Gefahrenpotenziale anpassen muss. Dafür ist es wichtig, die Ausgangslage und sich wandelnde Parameter genau zu erfassen. Konkret heißt das: Die eigene Situation sollte erst umfassend analysiert werden, um daraus den notwendigen Bedarf und das passgenaue Schutzniveau zu bestimmen. Das sollte idealerweise regelmäßig erfolgen, um neue Schwachstellen frühzeitig zu erkennen und sie mit entsprechenden Maßnahmen sowie IT-Security-Technologien und -Lösungen zu schließen. Doch vor welchen Herausforderungen stehen die Verantwortlichen? „In vielen Klinikbetrieben ist IT-Security ESET PROTECT: Umfassendes Lösungs- portfolio für den Health Care Sektor. 64 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

– ADVERTORIAL – oder Multi-Faktor-Authentiﬁzierung – hinzubuchen. ESET PROTECT wird als klassische Lizenzvariante oder als MSP-Modell (Managed Service Provider) angeboten. Neuer Sicherheitsansatz „Zero Trust Security“ ESET PROTECT basiert auf dem von der Harvard University konzipierten „Zero Trust“-Konzept zur IT-Sicherheit. Diese konzeptionelle Basis hat ESET aufgegriffen, weiterentwickelt und auf die Bedürfnisse unterschiedlicher Organisationsgrößen zugeschnitten. Kurz gesagt, es geht darum, alle internen und externen Geräte, Prozesse und Personen grundsätzlich als potenziell gefährlich einzustufen. In Zeiten von Corona und Homeofﬁce hat sich das als zwingend erforderlich erwiesen. Der „Zero Trust Security“-Ansatz von ESET besteht aus einem dreistuﬁgen, aufeinander aufbauenden Reifegradmodell. Je höher die Stufe ist, desto sicherer ist die Schutzwirkung – also „reifer“. Das Modell startet mit der Basisstufe „Grundschutz Plus“, die dem Prinzip des „Multi Secured Endpoint“ folgt. Diese eignet sich unabhängig vom individuellen Schutzbedarf für jede Organisation im Gesundheitswesen. Daran schließen sich zwei Zero-Trust-Stufen mit weiter steigenden Security- Maßnahmen und -Diensten an. n ESET PROTECT ist bei allen ESET-Fachhändlern in Deutschland verfügbar. Weitere Informationen erhalten Sie auch unter www.eset.de. ESET-Sicherheit aus einem Guss basiert auf dem Bekenntnis zu „Zero Trust Security“, also dem vollumfänglichen Schutz aller Geräte, sowohl intern als auch extern. Damit geht ESET sogar einen Schritt weiter, als es das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert. Dies ist insbesondere für alle Krankenhäuser und Kliniken entscheidend, die als kritische Infrastrukturen (KRITIS) eingestuft sind. ESET PROTECT: Passgenaue Security- Bundles für jede Organisationsgröße Das Herzstück der Lösungen ist die Management-Konsole ESET PROTECT, die auf allen gängigen Betriebssystemen oder als Cloud-Variante läuft. Die Konsole bietet einen kompletten Überblick über alle Endpoints in Echtzeit sowie die Verwaltung aller Geräte innerhalb und außerhalb einer Organisation. ESET PROTECT Advanced wurde im Hinblick auf die stetig steigende Bedrohungslage – und daraus abgeleitet, auf die Bedürfnisse von mittleren Organisationsgrößen und MSPs – optimiert. Das Bundle bietet Endpoint Protection, unter anderem auch vor Ransomware und Zero- Day-Bedrohungen, Sandboxing sowie Datenschutz durch vollständige Festplattenverschlüsselung. ESET PROTECT Complete besitzt zusätzlich den Schutz von Mail-Servern sowie genutzten Clouddiensten. ESET PROTECT Enterprise richtet sich an große Krankenhäuser und Klinikverbünde, für die eine umfassende Transparenz sowie strenge Sicherheitsanforderungen unerlässlich sind. Diese Variante bietet den höchsten Schutzfaktor für Unternehmenskunden mit einer der anpassungsfähigsten Endpoint-Detection- und Response-Lösungen auf dem Markt – dem ESET Enterprise Inspector. ESET PROTECT MAIL Plus bietet einen dedizierten Schutz für Mailserver (bzw. die Absicherung des gesamten E-Mail-Verkehrs) in Verbindung mit Cloud-Sandboxing. Flexible Sicherheit, die jederzeit mitwächst Die ESET-Bundles bieten eine hohe Flexibilität, denn sie eignen sich für den cloudbasierten oder On-Premises-Einsatz. Zudem kann ESET PROTECT individuell erweitert werden, sowohl in der Anzahl der Lizenzen als auch mit weiteren Sicherheitslösungen. Ähnlich wie beim Autokauf kann der Kunde zum „Grundmodell“ weitere Ausstattungen – Das ESET-Reifegradmodell zeigt, was für die Umsetzung des „Zero Trust Security“-Konzepts wichtig ist. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 65

100

– ADVERTORIAL – IT- und Cybersicherheit: PATIENTENDATEN UND NETZWERKE GLEICHERMASSEN GESCHÜTZT GLEICHERMASSEN GESCHÜTZT Datenschutz und IT-Sicherheit sind wichtige Themen des im Oktober 2020 in Kraft getretenen Krankenhauszukunftsgesetzes (KHZG). Rechtzeitig vor Auflegen des „Zukunftsprogramms Krankenhäuser“ der Bundesregierung hat die Beta Systems Software AG deshalb ein Maßnahmenpaket geschnürt. Es zeigt Einrichtungen aus dem Gesundheitssektor auf, wie sie sowohl den Zugriff auf Patientendaten steuern als auch den Betrieb ihres Netzwerkbetrieb absichern können. Investitionen in solche Systeme für Datenschutz und IT-Sicherheit sind förderfähig nach KHZG. Autor: Thomas große Osterhues, Director Marketing, Beta Systems Software AG S eine Gesundheitsdaten zu schützen, ist eine zentrale Compliance-Anforderung für jedes Unternehmen der Healthcare-Branche. Gesetzliche Grundlagen sind neben der Richtlinie zur Netzwerk- und Informationssicherheit (NIS) die EU-DS-GVO sowie § 203 StGB zur ärztlichen Schweigepﬂicht und zum Schutz medizinischer Daten vor unberechtigter Einsichtnahme. GESUNDHEITSDATEN BEGEHRTER ALS KREDITKARTENINFORMATIONEN Viele Beschäftigte und externe Partner eines Krankenhauses (oder anderer Unternehmen im Gesundheitssektor) arbeiten täglich mit IT-Applikationen, in denen sensible Patientendaten gespeichert sind. Solche Informationen sind sogar begehrter als Kreditkartendaten, da sie einzigartig sind und nicht einfach gesperrt werden können. Den Zugriff auf diese Daten durch Unbefugte gilt es daher mit allen Kräften zu verhindern. Mit Garancy IAM, der Lösung für Berechtigungsmanagement (Identity Access Management = IAM) von Beta Systems, kann eine Gesundheitsorganisation zentral regeln, welcher Beschäftigte bzw. externe Geschäftspartner mit welchen Systemen arbeiten und welche sensiblen Informationen sie dabei einsehen dürfen. Auf Basis ihres Aufgabenproﬁls werden den Nutzer*innen die benötigten Zugriffsrechte zur Verfügung gestellt. Die Software integriert sich dafür mit den typischen Healthcare-Applikationen KIS, Labor- (LIS) sowie Radiologie (RIS)-Informationssystem. FLEXIBLES UND SICHERES NETZWERK IM KRANKENHAUSVERBUND Eine zweite Säule der IT-Sicherheit bezieht sich weniger auf die Anwendungen als auf den Netzwerkbetrieb. Die Steiermärkische Krankenanstaltengesellschaft m.b.H. (KAGes), 100 % Tochter des Landes Steiermark, hat vor einiger Zeit die Software BICS des Berliner Anbieters Auconet eingeführt, einem Tochterunternehmen der Beta Systems Software AG. Sie dient der Kontrolle, dem Schutz und der 66 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Jedes Krankenhaus und jede Einrichtung innerhalb der Gruppe hat eine vollständige Echtzeitsicht des eigenen Netzwerks mit Sicherheit, Kontrolle und Verwaltung für jeden Port und jedes Endgerät.“ KARL KOČEVER, Leiter IT-Infrastruktur und Administrative Systeme bei der KAGes Services/OE Einhaltung von Sicherheitsvorschriften für die mandantenfähige IT-Netz- werkinfrastruktur der KAGes. Die IT-Abteilung betreibt im Netzwerk medizinische Komponenten und Computer einer Vielzahl von Hardwareanbietern. Karl Kočever, Leiter IT-Infrastruktur und Administrative Systeme bei der KAGes Services/OE: „Das Fehlen einer aktuellen Bestandsaufnahme und eines Überblicks über alle IT-Assets machte die Diagnose und Lokalisierung von Fehlern zu einem manuellen Prozess, der durch Vermutungen und Inefﬁzienz gekennzeichnet war.“ Mit Auconet BICS hat die KAGes eine robuste, herstellerunabhängige Sicherheitslösung eingeführt, mit der sie den Zugang zum Netzwerk in einer Mehr-Mandanten-Umgebung sicher regeln kann. Karl Kočever: „Jedes Krankenhaus und jede Einrichtung innerhalb der Gruppe hat eine vollständige Echtzeitsicht des eigenen Netzwerks mit Sicherheit, Kontrolle und Verwaltung für jeden Port und jedes Endgerät. Und im Headquarter können wir alle Netzwerke von einer zentralen Konsole aus überwachen.“ Dadurch sind Patientendaten und medizinische Geräte der KAGes jetzt sicher.n

101

Mitarbeiterinformation Datenschutz Mitarbeiter einfach und rechtssicher sensibilisieren Bestseller Bestseller millionenfach millionenfach verkauft verkauft W ideal für alle Mitarbeiter W leicht verständlich W anschaulich illustriert W firmenindividuell gestaltbar W in 5 Sprachen verfügbar jetzt bestellen: datakontext.com/mitarbeiterinformation

102

. . . . m m o o c c e e b b o o d d a a k k c c o o t t s s - - l l s s b b a a n n e e e e © © l l : : d d l l i i B B – ADVERTORIAL – DIGITALISIERUNG ALISIERUNG IM GESUNDHEITSWESEN: IM GESUNDHEITSWESEN: SICHER MIT SICHER MIT SICHER MIT VERSCHLÜSSELUNG VERSCHLÜSSELUNG VERSCHLÜSSELUNG VERSCHLÜSSELUNG VERSCHLÜSSELUNG Die Digitalisierung macht auch vor dem Gesundheitssektor nicht halt. Gerade Daten von Patienten gilt es vor unberechtigten Zugriffen zu schützen, ohne dass dafür besondere IT-Kenntnisse der Mitarbeitenden verlangt oder Arbeits- prozesse stark beeinﬂusst werden. Hierfür stellen insbesondere Cloud-Speicher mit zusätzlicher Absicherung, zum Beispiel durch Verschlüsselung, eine geeignete und vor allem sichere Lösung dar. Arbeiten mit Patientendaten in der Cloud – aber sicher? Aufgrund der strengen Regularien beim Umgang mit Patientendaten scheuen sich einige Krankenhäuser und Arztpraxen noch davor, Cloud- Speicher zu nutzen. Datenschutz und Cloud-Nutzung schließen sich jedoch nicht aus: Um zu verhindern, dass unberechtigte Personen Zugriff auf vertrauliche Patientendaten erhalten, sollten diese lokal – also bereits auf den Geräten in Krankenhäusern bzw. Arztpraxen – nach Stand der Technik verschlüsselt werden. So können Daten sicher an das eigene Team oder auch an die Krankenkasse übermittelt werden. Gerade für kleinere Arztpraxen oder Krankenhäuser, ohne spezielles IT- Wissen oder Budget für eigene Systeme, empﬁehlt sich hier der Einsatz bereits verfügbarer Verschlüsselungssoftware. Mit der Auslagerung der Datensicherheit an spezialisierte Unternehmen bleiben Ihre Ressourcen zudem für Ihren Alltagsbetrieb erhalten. Entscheidungskriterien der Verschlüsselungslösung Bei der Wahl einer geeigneten Verschlüsselungslösung gibt es einige wichtige Kriterien. Sensible Patientendaten sollten ausschließlich Ende-zu-Ende verschlüsselt an Dritte übermittelt werden. So wird sichergestellt, dass niemand unberechtigt Zugriff auf die jeweiligen Daten erlangt. Achten Sie auf Anbieter mit Zero-Knowledge-Standard, da diese Ihr Passwort nicht kennen sowie keinen Einblick in Ihre Dateien erhalten können. 68 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS Datenschutzkonformität ohne großen Aufwand Verschlüsselung nach Stand der Technik ist als eine technische und organisatorische Maßnahme (TOM) zur Absicherung von personen- bezogenen Daten in der Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union aufgeführt. Wenn Sie solche TOMs eingerichtet haben, ist Ihr Unternehmen geschützt und – in diesem Bereich – DS-GVO-konform. Zudem entfällt bei verschlüsselten Dateien die Mitteilungspﬂicht, sollte es zu einem Datenverlust kommen. Der Grund ist, dass ein Angreifer mit verschlüsselten Dateien nichts anfangen kann – ob sie nun brisante Informationen enthalten oder nicht. Förderung dank KHZG Mit dem Krankenhauszukunftsgesetz (KHZG) fördern Bund und Länder Investitionen des Gesundheitswesens in verschiedenen Bereichen der IT mit insgesamt 4,3 Milliarden Euro. Förderberechtigt sind auch IT- Systeme, die für „die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind“. Zu diesen Systemen gehört unter anderem Boxcryptor mit den führenden Ende-zu-Ende-Verschlüsselungsstandards AES-256 und RSA-4096. Patientendaten können einfach und vor allem sicher im Team geteilt sowie bearbeitet werden. Mithilfe der Zwei-Faktor-Authentiﬁ- zierung werden Konten zusätzlich vor potenziellen Angriffen geschützt. Verschlüsselungslösungen, wie Boxcryptor, können Sie sich mit dem KHZG fördern lassen und Patientendaten absichern. So einfach und sicher kann Digitalisierung sein!n Erfahren Sie mehr über den Einsatz von Verschlüsselung zum Schutz sensibler Daten in der Gesundheitsbranche.

103

Krankenhauszukunftsgesetz fordert Maßnahmen für IT-Sicherheit: – ADVERTORIAL – Während der Fördertatbestand 10 sich ausschließlich mit der IT- und Cybersicherheit befasst, müssen bei den Fördertatbeständen 1 bis 9 und 11 mindestens 15 Prozent der beantragten Leistungen aus dem Krankenhauszukunftsge- setz (kurz KHZG) in Maßnahmen der IT- und Cybersicherheit ﬂießen – so will es der Gesetzgeber (gemäß Nr. 5.2 in der Förderrichtlinie nach § 21 Abs. 2 KHSFV). Für Krankenhäuser heißt das, dass sie konkrete Maßnahmen einplanen müssen, wenn sie von den vom Bund für die Krankenhausinf- rastruktur bereitgestellten Mitteln in Höhe von insgesamt 4,3 Milliarden Euro proﬁtieren wollen. Die Krux: „Wenn Krankenhäuser beispielsweise planen, ein neues Patientenportal durch die Förderung zu implementie- ren, haben sie dabei oft die IT-Sicherheit gar nicht auf dem Schirm und riskieren damit die Ablehnung der Bedarfsanmeldung“, sagt Thomas Alt- hammer, Geschäftsführer der Althammer º Kill GmbH º Co. KG. „Die In- vestitionen in die Sicherheit der Systeme sind aber extrem wichtig. Anders als beim Krankenhausstrukturfonds werden hierbei auch kleinere Häuser berücksichtigt, denn gerade die Corona-Pandemie hat gezeigt, dass sie eine enorme Rolle bei der Abwehr nationaler Bedrohungslagen spielen. Aber gerade diese Krankenhäuser sind in Sachen IT-Sicherheit oft nicht gut aufgestellt.“ Laut einer Umfrage der Unternehmensberatung Roland Berger vom Mai 2017 wurden bereits zwei Drittel aller Krankenhäuser Op- fer eines Hackerangriffs, welche nicht nur hochsensible Patientendaten gefährden, sondern bei Komplettausfall der IT-Systeme auch eine Gefahr für Leib und Leben darstellen können. Die Prävention muss Hand-in-Hand gehen mit konkreten Handlungsplä- nen für den Fall von Cyberangriffen. Insbesondere im Krankenhausumfeld muss der reibungslose Ablauf aller Systeme Tag und Nacht gewährleistet sein. Ein stichhaltiges und wirksames IT-Notfallmanagement nach BSI 200-4 aufzubauen und zu etablieren ist dabei essenziell. Fazit Krankenhäuser müssen schon bei den Bedarfsanmeldungen für Förder- mittel nach dem KHZG konkrete Maßnahmen zur Erhöhung der IT- und Cybersicherheit mit einbeziehen. Denn Ziel ist es, die Verfügbarkeit, die Integrität und die Vertraulichkeit für alle informationstechnischen Syste- me, Komponenten und Prozesse im Krankenhaus sicherzustellen.n 1 https://www.bsi.bund.de/DE/Themen/ZertiﬁzierungundAnerkennung/ Managementsystemzertiﬁzierung/Zertiﬁzierung27001/GS_Zertiﬁzierung_node.html Weitere Details unter: www.althammer-kill.de/khzg Wie können die Projektvorhaben in den ver- schiedenen Fördertatbeständen konkret um IT-Sicherheitsmaßnahmen ergänzt werden? Krankenhäuser müssen den Status quo der IT-Systeme bewerten und mit gezielten Maßnahmen die Sicherheit erhöhen. Vorhaben zur Prävention und Detektion von Informationssicherheitsvorfällen, die Steigerung und Aufrechterhaltung des Bewusstseins gegenüber IT-Vorfällen sowie die Bedeutung von IT- und Cybersicherheit und der Aufbau eines Informa- tionssicherheitsmanagementsystems (nach ISO 27001/BSI IT-Grundschutz1 und weiterer Sicherheitsstandards (B3S)) stehen dabei besonders im Fo- kus. Folgende konkrete Maßnahmen sollten bei der Förderung nach dem KHZG Berücksichtigung ﬁnden: 1. Erstellung von Berechtigungs- und IT-Sicherheitskonzepten 2. Risikomanagement und Datenschutz-Folgenabschätzungen 3. Security-Awareness und Penetrationstests 4. Einführung Informationssicherheitsmanagementsysteme nach ISO 27001 und B3S Leistungen, die Althammer & Kill zu den Fördertatbeständen 10, 1 bis 9 und 11 anbietet. (Quelle: Althammer & Kill GmbH & Co. KG) SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 69 . . m o c e b o d a k c o t s - r e b t s e b © : d l i B

104

– FIRMENPROFIL – Boxcryptor: CLOUD-SICHERHEIT „MADE IN GERMANY“ FÜR DIE GESUNDHEITS BRANCHE und bei dem Cloud-Speicher-Anbieter ankommen. Sollen Patientenakten oder Abrechnungsunterlagen nun an Kollegen, Kolleginnen oder die Kran- kenkasse übermittelt werden, ist das in wenigen Schritten erledigt. Auch eine gemeinsame Bearbeitung von Dateien ist problemlos möglich, da Boxcryptor eine eigene Zugriffsverwaltung hat. BOXCRYPTOR – KURZ ZUSAMMENGEFASST: Sicherheit durch die führenden Ende-zu-Ende-Verschlüsselungs- standards AES-256 und RSA-4096; sicheres Teilen von Dateien mit anderen Nutzern und Nutzerinnen für eine einfache Zusammenarbeit; zusätzlicher Kontoschutz durch Zwei-Faktor-Authentiﬁzierung. Erfahren Sie mehr über den Einsatz von Verschlüsselung zum Schutz sensibler Daten in der Gesundheitsbranche. WARUM KRANKENHAUSDATEN GESCHÜTZT WERDEN MÜSSEN Da immer mehr Menschen von zu Hause oder aus der Ferne arbeiten, wird es auch immer schwieriger, auf eine einfache und gleichzeitig si- chere Weise zusammenzuarbeiten. Die Nutzung von Cloud Computing ist bequem: Ein Cloud-Speicher bietet Krankenhäusern unter anderem Flexi- bilität, einfache Integration und geringere Kosten. Allerdings leiden Kran- kenhäuser, die Daten in der Cloud speichern, unter einem erhöhten Risiko von Datendiebstahl. Daten nicht nur auf internen Servern, sondern auch auf Cloud-Speichern zu speichern, bedeutet, dass die Kontrolle über die Krankenhausdaten wie beispielsweise Patientendaten aufgegeben wird. ENDE-ZU-ENDE-VERSCHLÜSSELUNG MIT ZERO- KNOWLEDGE Boxcryptor ist eine Zero-Knowledge-Verschlüsselungslösung. Alle priva- ten und sensiblen Informationen der Nutzer werden ausschließlich in ver- schlüsselter Form und niemals in Klartext übertragen. Dabei verschlüsselt Boxcryptor die Dateien einzeln und erstellt keine Container. Zur Verschlüs- selung werden die sicheren AES-256- und RSA-Verschlüsselungsalgorith- men verwendet. BOXCRYPTOR FÜR ÜBER 30 CLOUD-ANBIETER ENTWICKELT Boxcryptor unterstützt alle großen Cloud-Speicher-Anbieter, zum Beispiel OneDrive, Google Drive und Dropbox. Somit liegt die Entscheidung beim Kunden, welchen Cloud-Anbieter dieser verwenden möchte. Ebenso kön- nen Daten an anderen Speicherorten, wie NAS, Fileserver, USB-Sticks oder lokal gespeicherte Daten, verschlüsselt werden. Boxcryptor unterstützt zudem auch eine sichere Dateiablage in Microsoft Teams. BOXCRYPTOR FÜR DIE GESUNDHEITSBRANCHE Der verantwortungsvolle Umgang mit sensiblen Patientendaten ist in der Zeit von immer neuen digitalen Bedrohungsszenarien sehr wichtig. Gleichzeitig steigt durch die voranschreitende Digitalisierung aber auch der Anspruch an Flexibilität bei der Datenverarbeitung. Doch besonders bei sensiblen Daten im Cloud-Speicher ist Vorsicht geboten, da Sie die Kontrolle abgeben und nie genau wissen können, wer darauf Zugriff hat. Zusätzliche Verschlüsselung von Boxcryptor löst dieses Sicherheitspro- blem und wahrt das Arztgeheimnis. 70 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

105

mit Beispielen zur Gestaltung von „Cookie-Bannern“ inklusive rechtlicher Bewertung mit Muster Lösch- konzept und weiteren Arbeitshilfen zum Download Datenschutz-Audits, interne Kontrollen und Überwachung effektiv, nachweis- bar, risikoorientiert organisieren. Datenschutz-Wissen aus erster Hand Datenschutz und ePrivacy bei Websites, Social Media und Messengern Löschen nach DS-GVO in der Praxis Autoren: Schwartmann/ Benedikt/Reif 1. Auflage 2020 100 Seiten DIN A4 ISBN: 978-3-89577-854-4 59,99 € mit E-Book (PDF) Autor: Sascha Kremer 1. Auflage 2020 122 Seiten DIN A4 ISBN: 978-3-89577-851-3 99,99 € mit E-Book und Arbeitshilfen (PDF) Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO Autoren: Ralf Herweg/ Thomas Müthlein 1. Auflage 2020 88 Seiten DIN A4 ISBN 978-3-89577-853-7 69,99 € mit E-Book (PDF) Bestellen Sie direkt unter: datakontext.com

106

– ADVERTORIAL – KI-GESTÜTZTE ANGRIFFE UND DER KAMPF DER ALGORITHMEN 88 Prozent der Cybersicherheitsexperten gehen davon aus, dass KI-gesteuerte Angriffe zum Mainstream werden. Da die Open-Source-Forschungstools, die für solche Angriffe benötigt werden, bereits verfügbar sind, ist es nur eine Frage der Zeit, wann sie zuschlagen werden, nicht ob. Um sie abzuwehren, müssen Sicherheitsteams die Bedrohung verstehen, mit der sie konfrontiert sind – und Technologien implementieren, die sich dagegen wehren können. Lesen Sie diesen Bericht über KI-gestützte Angriffe, um zu erfahren, wie Cyber kriminelle Künstliche Intelligenz (KI) in jeder Phase der Kill-Chain nutzen können, um den Prozess zu rationalisieren und die Effizienz zu steigern. 72 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

107

In Gesprächen über die Zukunft der KI und von Cyberbedrohungen fragen wir uns oft, wann wir wohl die ersten KI-gestützten Angriffe in ganz normalen Nutzerumgebungen erleben werden. Noch gibt es keine eindeutigen Anzeichen dafür, aber dieser Bericht wird zeigen, dass es bereits alle Tools und Open-Source-Ressourcen gibt, die KI-gestützte An- griffe möglich machen. Wir müssen also damit rechnen, dass KI-basierte Cyberangriffe nicht erst irgendwann in einigen Jahren stattﬁnden, sondern sehr wahrscheinlich in absehbarer Zeit. „Diese neue Ära der offensiven KI nutzt verschiedene Formen des maschinellen Lernens, um Cyberangriffe zu optimieren, was zu unvorhersehbaren, kontextabhängigen, schnelleren und heimlicheren Angriffen führt, die ungeschützte Organisationen lahmlegen können.“ – Forrester Dieser Bericht dokumentiert einen Angriffslebenszyklus von Anfang bis Ende und beschreibt, wie in den einzelnen Phasen Elemente des KI-Tool- kits genutzt werden könnten, um den Ablauf zu optimieren. Angreifer werden ihre Tools natürlich weiterentwickeln, um efﬁzienter vorgehen zu können. Das passiert aber in vielen Schritten und nicht von heute auf mor- gen. Es ist zwar sehr wahrscheinlich, dass Angreifer bereits in gewissem Maße auf KI zurückgreifen, um einzelne Angriffsphasen zu verbessern, aber der in diesem Bericht beschriebene, durchgehend KI-gestützte Angriff ist lediglich als Gedankenexperiment zu verstehen. DIE WICHTIGSTEN FAKTEN Cyberkriminelle missbrauchen offensive KI für zunehmend personali- sierte, gezielte und schwer erkennbare Cyberangriffe in großem Stil. Es gibt mittlerweile Open-Source-Tools für die Entwicklung von KI-ge- stützter Malware, und es wird nicht mehr lange dauern, bis uns solche Angriffe in ganz normalen Nutzerumgebungen begegnen. Mit KI fallen die menschlichen Elemente eines Angriffs weg, sodass die Angreifer nur schwer zu identiﬁzieren sind. Unternehmen müssen dringend auf KI-gestützte Abwehr setzen, um gegen diese neue Angriffsgeneration gewappnet zu sein. AUTONOMOUS RESPONSE „Eine der einzigen Möglichkeiten, wie Sie [offensive KI] erkennen können, ist die Verwendung defensiver KI, um Sie sicherer zu machen.“ – Edward Green, Principal Digital Architect, McLaren Autonomous Response ist eine KI-Technologie, die von Darktrace entwi- ckelt wurde, der weltweit führenden KI-Plattform für Cyberabwehr. Sie ist die einzige Technologie, die in der Lage ist, Maßnahmen gegen laufende Cyberangriffe zu ergreifen, und zwar dann, wenn die Sicherheitsteams am meisten darauf angewiesen sind – am Wochenende, nachts oder wenn einfach gerade niemand vor Ort ist, um auf sich rasch ausbreitende Bedrohungen zu reagieren. Darktrace Antigena, die weltweit erste Autonomous-Response-Lösung, reagiert gezielt und angemessen, sobald sie auffällige anormale Akti- – ADVERTORIAL – vitäten feststellt, und macht die Bedrohung unschädlich, ohne den Ge- schäftsbetrieb zu stören. Die Technologie kann in jeder noch so komple- xen Umgebung eingesetzt werden. Wir dürfen nicht länger den Kampf von gestern führen, sondern müssen uns für das wappnen, was uns in Zukunft erwartet. Natürlich gibt es Be- strebungen, noch bessere Hacking-Tools zu entwickeln, damit die Angrei- fer in noch größerem Stil agieren können und sich ihr Aufwand ﬁnanziell lohnt. Dieser Bericht zeigt aber, dass ein Angreifer mit KI noch viel mehr erreichen könnte und vieles davon bereits öffentlich zugänglich ist. Und wer weiß, was nationalstaatliche Akteure und andere bestens ﬁnan- zierte Cyberangreifer hinter verschlossenen Türen bereits entwickelt haben. Wir beobachten auch, dass Cyberkriminelle verstärkt Open-Source- Tools und Open-Source-Communities nutzen, anstatt sich auf ihre eigenen internen Helfer zu verlassen. Um der Entwicklung der Bedrohungslandschaft Rechnung zu tragen, in der wir jederzeit mit KI-gestützten Angriffen rechnen müssen, setzen wir defensive KI-Lösungen ein. Clevere Angreifer versuchen bereits, sich in ganz normale Nutzerumgebungen einzuschleichen und im regulären Betrieb unterzutauchen. Nutzen die Angreifer erst einmal KI-gestützte Methoden, werden diese Angriffe zunehmen. Cyber-KI gibt den Verteidigern Kontrolle zurück, indem es menschliche Sicherheitsteams verstärkt und jede Ecke des digitalen Unternehmens beleuchtet. Während offensive KI auf bestimmte Eindringpunkte beschränkt ist, lernt defensive KI die normalen Verhaltensmuster, die sogenannten „Patterns of Life“, für jeden Benutzer, jedes Gerät und alle Beziehungen zwischen ihnen, um selbst die subtilsten Abweichungen vom „Normalen“ zu erkennen. Die KI von Darktrace kann diesen umfassenden Kontext nutzen, um auto- nome, präzise Maßnahmen in Maschinengeschwindigkeit zu ergreifen, um eine Bedrohung angemessen zu neutralisieren, ohne das Unternehmen zu stören, und um fortgeschrittene Angriffe zu stoppen, bevor sie eskalieren. In einer Ära, in der Algorithmus gegen Algorithmus antritt, ist KI kein nettes Accessoire – sie ist ein grundlegender Verbündeter für menschliche Teams, die den heutigen Cyberbedrohungen allzu oft unterlegen sind. Erfahren Sie in dem Whitepaper „KI-gestützte Angriffe und der Kampf der Algorithmen“ von Darktrace, wie Angreifer KI nutzen können, um ihre Angriffskette zu verstärken, und wie Unternehmen auf diese Herausforde- rung reagieren. n Das vollständige Whitepaper können Sie von der Website von Darktrace unter www.darktrace.com/de/supercharged-ai/ kostenlos herunterladen. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 73 n a i j i . x / m o c k c o t S © i : d l i B

108

– ADVERTORIAL – Integrierte Prozess digitalisierung zum Schutz kritischer Infrastrukturen (KRITIS) ODER DIE GRENZEN VON EXCEL UND E-MAIL IN DEN EINZELNEN SILOS Autor: Ernst Söllinger, Head of Governance, Risk and Compliance Advisory, ITSM Group Um den besonderen Anforderungen der IT-Sicherheit in Kliniken begegnen zu können, empfahl der Branchen- arbeitskreis Medizinische Versorgung (BAK MV) 2017, unabhängig von der Einstufung als KRITIS, dringend eine Reihe von Maßnahmen umzusetzen. In den letzten Jahren wurden daher geeignete Organisationsstrukturen eingeführt, und alle stationären Patientenversorgungsprozesse sowie die diese unterstützende IT-Infrastruktur, IT-Verfahren und Schnittstellen wurden identiﬁziert. Dabei zeigte sich deutlich, dass durch die Vernetzung der Organisation und deren Prozesse eine große Abhängigkeit der Versorgungsdienstleis- tungen untereinander aber auch von anderen KRITIS-Sektoren besteht. Ein solches System reagiert daher besonders sensibel auf Veränderungen, was den Status der Kritikalität von Prozessschritten oder Wirkungsketten bei Störungen oder Ausfällen betrifft. Für einen sicheren Betrieb von kritischer Infrastruktur sind die Dimen- sionen Mensch, Organisation und Technik gleichermaßen gefordert. Deshalb unterstützt die iTSM Group mit dem vielfach bewährten integ- rierten Ansatz, um Anwendern das Leben mit KRITIS sicherer und leichter zu machen. Dies ist ohne integrierte Digitalisierung nicht möglich! Die iTSM Group setzt im Rahmen der technischen Dimension daher auf die ServiceNow®-Plattform. Bei der Umsetzung kommen ServiceNow® IRM, ServiceNow® Security Operations sowie die Funktionen der Plattform zum Einsatz. Das Serviceportal ermöglicht rasche und direkte Kommunikation sowohl 74 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS zu Compliance als auch Risikothemen, falls notwendig auch über einen virtuellen Agenten. Die integrierte Knowledge Base, stellt über Workﬂow- Funktionen immer die gültigen Fassungen der Richtlinien, die auch automatisch aus den Maßnahmenzielen erstellt werden können, zur Verfügung. Nur ein paar Beispiele, warum das Arbeiten in Silos mit Excel und E-Mail mehr und mehr an Wirkkraft verliert. ORGANISATION Die Einführung einer geeigneten Organisationsstruktur geht über die je- weiligen IT-Abteilungen hinaus. Mit dem Ansatz der iTSM Group ist jede betroffene Rolle, allen voran der Informationssicherheitsbeauftragte, je- derzeit über die aktuelle Situation der Informationssicherheit im Bilde und kann entsprechende Entscheidungen treffen und Aufgaben verteilen. Alle MitarbeiterInnen melden informationssicherheitsrelevante Vorkomm- nisse direkt in das System und ermöglichen so eine rasche Reaktion auf eventuelle Bedrohungen. Auch externe Quellen melden weltweit bekannte Bedrohungen in das System. Diese werden mit den aktuell verwendeten IT-Systemen verknüpft und entsprechende Aufgaben in die Wege geleitet. PROZESSE Alle Patientenversorgungsprozesse der stationären Versorgung und die unterstützenden Prozesse sowie die IT-Infrastruktur, IT-Verfahren und Schnittstellen sind im System abgebildet. Damit ist im Rahmen des Business Continuity Managements (BCM) die Auswirkung auf Kritikalität von Prozessen oder Abteilungen auch bei Ausfall von Einzelkomponenten sofort sichtbar. Ein integriertes Risikomanagementsystem (IRM) sorgt für die Verbindung der IT-Risiken mit den Unternehmensrisiken. Geeignete sowie angemessene technische und organisatorische Maßnahmen zur Reduktion der Risiken sind direkt mit den Risiken verbunden und werden l I s e g a m e p o e P / s e g a m I y t t e G © : d l i B

109

– ADVERTORIAL – automatisch auf ihre Wirksamkeit überprüft. Alle Veränderungen sind mit dem IRM verbunden und sorgen dafür, dass eventuell veränderte Kritikalitäten oder Fallzahlen automatisch bearbeitet werden. Ein Compliance-Managementsystem sichert den Betrieb des Information Security Management Systems (ISMS) und stellt die Einhaltung der für KRITIS wichtigen Regularien sicher. ihren Mitarbeitern durch aktive Information, Automatisierung und KI- unterstützte Prozesse. Um rasch Erfolge zu erzielen, ist es sinnvoll, in kleinen Schritten vorzu- gehen und als erstes die Prozesse auszuwählen, die eine hohe Kritikalität haben und deren Umsetzung für möglichst viele MitarbeiterInnen im täglichen Arbeiten einen Vorteil bietet. PROJEKT Wie bei allen Digitalisierungsprojekten ist auch bei der Digitalisierung der Prozesse zum Schutz kritischer Infrastrukturen darauf zu achten, dass die Organisation als gesamtes berücksichtigt wird. Das iTSM-Vorgehensmodell unterstützt und optimiert den Implementierungsprozess, damit die gesteckten Ziele in Zeit, Budget und Qualität erreicht werden können. ServiceNow® überwacht nicht nur die Systeme, sondern ServiceNow® spannt die Brücke zwischen den IT-Systemen und der Organisation mit So bleibt die Motivation im Projekt hoch, und die Organisation gewöhnt sich an iterative Abläufe. n ServiceNow wurde 2004 in einer Welt gegründet, in der leistungsfähige ERP-Systeme und Fachverfahren mit hoher fachspeziﬁscher Funktionalität und Integration die betriebswirtschaftliche Planung und Steuerung von Unternehmen zuverlässig ge- währleisteten. Ziel von ServiceNow war von Beginn an, das Leben der Endanwender, die mit dieser IT-Welt interagieren, leichter zu machen. Für eine Welt, in der Arbeit weniger Arbeit macht – das ist die Vision von ServiceNow. ServiceNow bietet die technologisch führende, cloudbasierte No-Code-/Low-Code-Plattform zur Workﬂow- und Service- Automatisierung mit Anwendungen für IT-Management, Mitarbeiter-Services, Verwaltungsprozesse und Kunden- management sowie einer App Engine für Entwicklungen. Mit der Now Platform® lassen sich Prozesse durchgängig digitalisieren sowie neue Fachanwendungen entwickeln und in bestehende Applikationslandschaften integrieren. Mitarbeiter und Kunden bekommen schnellen, unkomplizier- ten Zugriff auf Informationen und Dienstleistungen, so, wie sie es aus ihrem Privatleben gewohnt sind. Routine-Aufgaben werden strukturiert und automatisiert, Machine Learning und Künstliche Intelligenz steigern die Efﬁzienz und helfen, Fehler zu vermeiden und Probleme proaktiv zu adressieren. ServiceNow bedient weltweit über 6.000 Kunden, darunter zahlreiche globale Unternehmen, wie Siemens, Wayfair und Boehringer Ingelheim. iTSM Group – Menschen, Prozesse, Technologien und Partner als ganzheitliche Einheit gestalten Der digitale Wandel ist allgegenwärtig und Teil unserer immer agiler werdenden Lebenswirklichkeit. Die Herausforderungen von Unternehmen sind dabei so vielfältig wie der Wandel selbst. Für erfolgreiche Projekte ist es daher elementar wichtig, die individuelle Kundenanforderung und Zielsetzung bestmöglich zu verstehen, um eben- so maßgeschneiderte Lösungen zu entwickeln. Die iTSM Group gehört seit nunmehr 20 Jahren zu den führenden Experten für die digitale Transformation im Enterprise-Service-Management. Wir inspirieren rund 750 nationale und internationale Kunden und helfen ihnen dabei, ihre digitalen Services ganzheitlich zu meistern. Unser Portfolio reicht von der Bedarfsanalyse über Strategie und Realisierung bis zum fortlaufenden Betrieb für den Kunden. Wir sind Macher mit Berater-Gen – wir setzen um und erzeugen Ergebnisse, die unseren Kunden nutzen. Weil Beratung und Training heute anders funktioniert als noch vor 20 Jahren, fungieren wir als Dienstleistungsexperten. Wir versprechen Ihnen Inspiration und interdisziplinäre Projektteams als ganzheitliche Beratung für einen echten Wettbewerbsvorteil. Dies gelingt, weil wir Menschen, Prozesse, Technologien und Partner als Einheit gestalten. Mit den Services der iTSM Group versetzen wir unsere Kunden in die Lage, ihre Services zu rationalisieren und zu beschleunigen, um so den größt möglichen Innovationsschub sicherzustellen. Bei allen Unterschieden haben unsere Projekte eines gemeinsam: Wir agieren mit der Überzeugung, dass das Arbeiten des Einzelnen vereinfacht werden muss. Wir sehen den Menschen im Mittelpunkt und stellen ihm die Technik zur optimalen Nutzung! Dafür steht unser Markenversprechen: Create your future and become better! Inspiring and Tailored Service Mastery for your digital success. Über 200 Mitarbeiter leben und stützen diese Firmenphilosophie. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 75

110

– ADVERTORIAL – Gefährliche Cyberattacken: KRANKENHÄUSER SYSTEMATISCH SICHERN Ein unachtsamer Klick. Und schon ist es passiert. Durch das Öffnen eines E-Mail- Anhangs oder den Klick auf eine Verlinkung zu einer scheinbar seriösen Webseite verbreitet sich eine Schadsoftware. Rasend schnell sind Daten des „Opfers“ entweder im großen Stil gestohlen oder so verschlüsselt, dass die Computersysteme blockiert werden. Eine Erpressungssituation entsteht. Autor: Thomas Schuy, Senior Consultant Security-IT bei der WISAG Sicherheit & Service Holding GmbH & Co. KG Weltweit kommt es aufgrund der zunehmenden Digitalisierung immer häuﬁger zu Cyberattacken. Während bei Unternehmen vor allem ein ﬁnanzieller Schaden droht, können bei Angriffen auf Kliniken leicht Menschenleben in Gefahr geraten. Im Fall eines Angriffs muss deshalb sehr schnell gehandelt werden – ein optimales Druckmittel für die Täter und ihre Forderungen. Hinzu kommt: Je mehr IT-Technik zum Einsatz kommt, je mehr verschiedene High-Tech-Geräte vernetzt werden, desto mehr Ansatzpunkte für Angriffe gibt es. ANGRIFFE NEHMEN ZU – AUCH DAS (HAFTUNGS-)RISIKO STEIGT Die erhöhte Verwundbarkeit medizinischer Einrichtungen ist Hackern bewusst – die Zahl der Angriffe auf die IT-Systeme von Krankenhäusern steigt kontinuierlich. Allein für den Zeitraum von Januar bis November 2020 verzeichnete die Bundesregierung 43 Cyberattacken.1 In der Kliniklandschaft setzt sich daher die Erkenntnis durch, dass die voranschreitende Digitalisierung konsequent abgesichert werden muss, um die drohende Gefahr von massiven Störungen und Eingriffen 76 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

111

zu minimieren. Zumal auch Haftungsrisiken für Geschäftsführer und Prokuristen bestehen: Bei unzureichender IT-Sicherheit können additive Bußgelder, die vier bis zehn Prozent des weltweiten Jahresumsatzes betragen können, verhängt werden. SICHERHEITSLÜCKEN KONSEQUENT SCHLIESSEN Bei der Abwehr von Angriffen auf die IT-Infrastruktur geht es nicht nur um digitale Schutzmechanismen wie Antivirenprogramme oder Firewalls. Größtmögliche Effektivität können Krankenhäuser erzielen, wenn drei Bereiche interdisziplinär ineinandergreifen: IT-Sicherheit physische Security Safety Die WISAG Sicherheit ˆ Service entwickelt ganzheitliche Sicherheits- konzepte, die diese drei Aspekte optimal in Einklang bringen: Sicherheit gegenüber Angriffen von Außen- und Innentätern (Security und IT- Security) sowie Sicherheit gegenüber menschlichem und technischem Versagen oder Unfällen (Safety). Dabei werden die Fluchtwege (Safety) als Angriffsvektor im Security-Kontext ebenfalls abgesichert. Durch dieses integrierte Vorgehen können bestehende Sicherheitslücken wirksam – und vor allem ganzheitlich – geschlossen werden. OPFER WERDEN AUSSPIONIERT Kliniken zu schädigen – sei es durch einen Cyberangriff oder einen klassischen Diebstahl – ist häuﬁg ein Ziel organisierter Kriminalität. Ihr Fokus: einen möglichst großen ﬁnanziellen Nutzen aus den Taten zu ziehen. Hier bietet sich neben der Erpressung durch Datendiebstahl auch die Entwendung teurer medizinischer Geräte an. Der Schaden durch letztgenannte Vergehen beläuft sich seit dem Jahr 2015 auf über 25 Millionen Euro.2 Bei der Planung und Durchführung setzen die Kriminellen häuﬁg auf eine Kombination von digitalen Attacken und physischen Erkundungen vor Ort. Sie hacken beispielsweise Systeme, um an Bau- und Lagepläne sowie Zutrittskontrollsysteme zu gelangen. So ﬁnden sie heraus, wo Geräte gelagert werden und was der günstigste Fluchtweg ist. Vor Ort werden dann weitere Erkundungen durchgeführt, wobei wirkungsvolle Maßnahmen der physischen Security, etwa durch durchdacht platzierte Sicherheitstechnik, Zugangskontrollen oder auch die Präsenz von Sicherheitsmitarbeitern, abschrecken und ein Verbrechen verhindern können. Doch sogar, wenn es das Ziel ist, Daten zu stehlen oder verschlüsseln, nutzen die Täter oftmals verschiedene Zugänge, um Zugriff auf die IT-Infrastruktur zu erhalten. Nicht selten versuchen sie, vor Ort auszuspionieren, an welcher Stelle sie am besten in ein IT-System eindringen können. Gibt es beispielsweise im Gebäude Angriffsvektoren, um Fremdgeräte zu platzieren? Bei einem solchen Szenario sind es ebenfalls physische Security-Maßnahmen, die den geplanten Angriff auf die IT erschweren. An beiden Beispielen wird deutlich, dass es nicht sinnvoll ist, IT-Sicherheit losgelöst von der physischen Sicherheit einer Einrichtung zu betrachten. Die WISAG hat durch ein interdisziplinäres Beratungsteam einen Rundum- Blick auf die Sicherheit eines Krankenhauses, der über die reine IT-Security hinausgeht. – ADVERTORIAL – Das WISAG-Prinzip: Täter nutzen meist ein kombiniertes System verschiedenster Angriffs- und Planungsmöglichkeiten. Es ist deshalb strategisch sinnvoll, als Klinik ebenfalls mehrdimensional gewappnet zu sein. Safety, Security und IT-Sicherheit (SecIT) kombiniert als ganzheitliches Konzept bieten deshalb die stärkste Abwehr. MITARBEITER ALS FIREWALL Einer der Aspekte, die oftmals vernachlässigt werden, ist die IT-Awareness der Mitarbeiter. Wie wichtig dieser Punkt ist, zeigt der Hackerangriff auf das Lukaskrankenhaus in Neuss im Jahr 2016. Ein Verschlüsselungs-Trojaner, der über einen inﬁzierten E-Mail-Anhang eingeschleust wurde, behinderte die Arbeit in der Einrichtung über einen Monat lang. Die Kosten, die dem Klinikum dadurch entstanden, beliefen sich auf rund eine Million Euro.3 Um in puncto Mitarbeitersensibilisierung eine innovative Lösung anbieten zu können, arbeitet die WISAG mit dem Cyber-Security-Start-up IT-Seal zusammen. Das Unternehmen entwickelt Lösungen, die dafür sorgen, dass das Krankenhauspersonal selbst als Firewall agieren kann. Wie geht das? Angreifer zielen häuﬁg nicht nur darauf ab, technische Sicherheitslücken ausﬁndig zu machen. Stattdessen versuchen die Täter, den Menschen als „Schwachstelle“ auszunutzen. Sie verschicken gut getarnte Phishingmails, deren Anhänge oder Download-Links bei Aktivierung extrem schnell Schadsoftware verbreiten. IT-Seal bietet Online-Trainings an, die sich als Training on the Job unkompliziert in den Arbeitsalltag einbetten lassen und die IT-Awareness der Belegschaft messbar stärken. SCHUTZ IST AM BESTEN GANZHEITLICH Um sich wirkungsvoll gegen Cyberattacken zu schützen, müssen die Sicherheitsverantwortlichen genauso denken wie die potenziellen Täter – und die nutzen jeden Angriffspunkt. Daher steht am Anfang jedes Sicherheitskonzeptes der WISAG eine umfassende Schutzziel- und Schwachstellenanalyse. Sind die Schwachstellen erkannt, wird auf dieser Grundlage ein Gesamtkonzept erarbeitet, dessen Handlungsempfehlungen bei Umsetzung zu einer Enthaftung der Geschäftsführung führen können. Das Besondere dabei: IT-Sicherheit, Safety und physische Security greifen ineinander und reduzieren so die Ansatzpunkte für Kriminelle auf ein absolutes Minimum. n 1 https://www.heise.de/news/Bundesregierung-Deutlich-mehr-Cyberangriffe-auf-Kliniken-und- Versorger-4971283.html Stand: 26.03.2021 2 https://lka.polizei-bw.de/diebstahl-von-medizinischen-geraeten-nimmt-zu/. Stand: 24.03.2021 3 https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den- Folgen-lebt-3617880.html. Stand: 26.03.2021 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 77

112

– ADVERTORIAL – PATIENTENDATEN ZUVERLÄSSIG SCHÜTZEN ZUVERLÄSSIG SCHÜTZEN Als tragende Säulen des Gesundheitssystems gehören Krankenhäuser zu den kritischen Infrastrukturen der Gesellschaft. Während die Digitalisierung den Einrichtungen neue Möglichkeiten zur Optimierung und Effizienz steigerung ihrer Prozesse bietet, bringt sie auch neue Risiken im Bereich des Datenschutzes mit sich. Das Gesundheitswesen ist derzeit einer der Sektoren, der am stärksten im Visier von Cyberkriminellen steht. Mit dem Krankenhauszukunftsgesetz (KHZG), das im Okto- ber 2020 in Kraft trat, können Krankenhäuser die Digita- lisierung entscheidend vorantreiben und gleichzeitig die IT-Sicherheit optimieren. Der Bund stellt dafür rund drei Millionen Euro zur Verfügung, die Länder und Krankenhausträger sollen sich mit min- destens 30 Prozent an den Projektkosten beteiligen. Ein Schwerpunkt der Regelungen ist die IT-Sicherheit: Mindestens 15 Prozent der Mittel müs- sen in die Verbesserung der IT-Sicherheit ﬂießen. Im Zuge der Corona-Krise sind Krankenhäuser verstärkt ins Visier von Cyber- kriminellen geraten: Es besteht die Sorge, dass Angriffe unbemerkt bleiben und sensible Patientendaten in die falschen Hände geraten. Doch starke Identitäts- und Zugriffskontrollen gepaart mit einer Phishing-resistenten Authentiﬁzierung können die Sicherheit von Benutzer- und Administrator- konten in Organisationen des Gesundheitswesens zusätzlich erhöhen. DIE GEFAHREN UND HERAUSFORDERUNGEN Ohne starke Identitäts- und Zugriffskontrollen sind sensible Gesundheits- daten, wie Patientenakten, Laborergebnisse oder andere vertrauliche Daten, die in verschiedenen cloudbasierten Systemen und Datenverarbei- tungsprogrammen gespeichert sind, gefährdet. Aus Bequemlichkeit oder aufgrund von hohem Zeitdruck geben rund 73 Prozent des medizinischen Personals Passwörter weiter, um schneller auf elektronische Gesund- heitsakten zugreifen zu können. Dies erhöht das Sicherheitsrisiko enorm. Umso wichtiger ist es, vorbeugende Maßnahmen zu ergreifen, die sowohl praktikabel als auch efﬁzient sind, um die Sicherheit von Benutzer- und Administratorkonten zu gewährleisten. 78 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS E-Mail-Konten gehören zu den beliebtesten Zielen von Hackern. Jeder siebte Mitarbeiter im Gesundheitswesen ist bereits Opfer von Phishing- Angriffen geworden. Der Einsatz von Standardpasswörtern oder SMS- basierter Zwei-Faktor-Authentiﬁzierung (2FA) zum Schutz hochsensibler Patientendaten ist vielerorts noch an der Tagesordnung, aber längst über- holt. Denn Cyberkriminelle haben bereits ausgefeilte Phishing- und Man- in-the-Middle-Angriffe entwickelt, mit denen sie 2FA-Schutzmaßnahmen leicht umgehen können. Hier ist eine starke Authentiﬁzierungslösung gefragt, die E-Mail-Konten, andere cloudbasierte Anwendungen und Computeranmeldungen über mehrere Geräte hinweg adäquat schützt und so Identitätsdiebstahl vermeidet. Geteilte Arbeitsplätze stellen eine weitere Bedrohung dar. Während Desksharing ideal ist, um die Produktivität zu steigern, Arbeitsabläufe zu optimieren und Kosten zu senken, wird es zu einem Risiko, wenn mehre- re Benutzer auf dasselbe Gerät zugreifen und dasselbe Passwort für den Zugriff auf das Netzwerk verwenden. Um die Anforderungen an Daten- schutz und Datensicherheit zu erfüllen, benötigen diese Einrichtungen eine zuverlässige, konsistente Authentiﬁzierungslösung, die die nötige Sicherheit bietet, aber auch einfach zu bedienen ist, damit jeder schnell und ohne Barrieren auf die benötigten Daten zugreifen kann. Krankenhausbetreiber dürfen auch nicht vergessen, dass das Gesund- heitswesen eine der am stärksten regulierten Branchen der Welt ist und daher die Einhaltung von Vorschriften oberste Priorität hat. Das bedeu- tet, dass eine strenge Benutzerveriﬁzierung stattﬁnden muss, bevor der Zugriff auf Patientendaten überhaupt gewährt wird. . m o c e b o d a k c o t s - . m i s x a m © : d l i B

113

DAS PASSWORT IST DAS SCHWÄCHSTE GLIED IN DER UNTERNEHMENSSICHERHEIT Ganz oben auf der Liste der Sicherheitsmechanismen, die für Benutzer lästig sind, stehen Passwörter. Schlechte Praktiken, wie die gemeinsame Nutzung von Anmeldedaten mit Kollegen oder die Verwendung immer derselben Passwörter für mehrere Konten, verschärfen die Risiken, die der Kombination Benutzername/Passwort ohnehin innewohnen. Ganz zu schweigen davon, dass die Kosten für Passwörter – und damit auch die Supportkosten – aufgrund der wachsenden Anzahl von Geschäftsanwen- dungen in Krankenhäusern immer weiter steigen. DAS PASSWORTPROBLEM LÖSEN – MIT YUBIKEY UND FIDO2 Krankenhäuser müssen ihren Mitarbeitern eine einfache, schnelle, be- queme und sichere Identiﬁkation bieten, die keine Passwörter erfordert oder die die Abhängigkeit von Passwörtern deutlich reduziert. Auf diese Weise könnten auch die Kosten für die Verwaltung und das Zurücksetzen von Passwörtern deutlich reduziert werden. Oftmals amortisiert sich die Investition nach der zweiten gesparten Passwortwiederherstellung und da trotz aller Vorteile. FIDO2 ist ein offener Authentiﬁzierungsstandard, der von der FIDO Alliance betrieben wird. Zwei seiner wichtigsten Mitwirkenden sind Yubico, Erﬁnder des Phishing-resistenten Hardware-Sicherheitsschlüssels, bekannt als YubiKey, und Microsoft. FIDO2 ist eine Erweiterung von FIDO U2F und bietet das gleiche Maß an höchster Sicherheit, basierend auf Public-Key-Kryptograﬁe. FIDO2 bietet erweiterte Authentiﬁzierungs- optionen, einschließlich starker Ein-Faktor- (passwortloser), starker Zwei-Faktor- und starker Multi-Faktor-Authentiﬁzierung (passwortloser). FIDO2 unterstützt eine Vielzahl von Anwendungsszenarien, besteht aus einer Web-API (WebAuthn) und einem Authentiﬁzierungsprotokoll-Client (CTAP), die eine passwortlose Anmeldung ermöglichen. WebAuthn deﬁ- niert eine Standard-Web-API, die in Webbrowser und Webplattform-Infra- strukturen integriert werden kann, um Benutzern Möglichkeiten zu bieten, sich sicher online zu identiﬁzieren. CTAP ermöglicht es, dass ein externer Identiﬁkator, wie zum Beispiel ein Sicherheitsschlüssel, starke Authenti- ﬁzierungsidentitäten lokal an den PC oder das Smartphone des Benutzers über USB, Nahfeldkommunikation (NFC) oder Bluetooth übertragen wird. FIDO2 stützt sich auf ein asymmetrisches Schlüsselpaar (öffentlich/privat), um Benutzer zu authentiﬁzieren. Der öffentliche Schlüssel kann auf jedem Gerät gespeichert werden, das von der FIDO2-Authentiﬁzierung unter- stützt wird, während der private Schlüssel beim Benutzer verbleibt und auf einem physischen Sicherheitsschlüssel geschützt wird. – ADVERTORIAL – Die YubiKey-5-Serie ist eine hardwarebasierte Authentiﬁzierungslösung, die starke Zwei-Faktor-, Multi-Faktor- und passwortlose Authentiﬁzie- rung mit Unterstützung für mehrere Protokolle, wie FIDO2, FIDO U2F, PIV (Smartcard), OpenPGP und Einmalpasswörter (OTP), bietet. Mit dem ersten Satz von Multiprotokoll-Sicherheitsschlüsseln, die FIDO2 unterstützen, hilft die YubiKey-5-Serie Anwendern, den Weg in eine passwortlose Zukunft zu beschleunigen. Zusätzliche Sicherheitsschlüssel von Yubico liefern FIDO2 und FIDO U2F in einem einzigen Gerät und unterstützen tausende von be- stehenden U2F-Zwei-Faktor-Authentiﬁzierungsdiensten sowie zukünftige FIDO2-Implementierungen. Die Authentiﬁzierung selbst funktioniert schnell und einfach. Durch einfa- ches Einstecken oder Antippen des Sicherheitsschlüssels wird die Authen- tiﬁzierungsanfrage abgeschlossen und die Anmeldung erfolgt sofort. Mit FIDO2 kann der Sicherheitsschlüssel allein oder in Kombination mit einer PIN verwendet werden, um eine passwortlose Authentiﬁzierung zu er- reichen. Darüber hinaus ist die Zwei-Faktor-Authentiﬁzierung mit einem Passwort weiterhin eine mögliche Authentiﬁzierungsmethode. FAZIT Wo Authentiﬁzierungsansätze, die sich allein auf die Kombination von Benutzername und Passwort verlassen, durch Phishing-Angriffe unter- laufen werden können, schafft die hardwaregestützte Multi-Faktor- Authentiﬁzierung (MFA) Abhilfe. Allerdings macht die Art und Weise, wie MFA aktiviert wird, den entscheidenden Unterschied. Codes, die an ein Smartphone gesendet werden, können leicht kompromittiert werden. Hardware-Token, wie der YubiKey, die auf dem FIDO2-Standard basieren, sind derzeit die beste Möglichkeit, MFA zu aktivieren, da sie zum einen die einzige MFA-Methode sind, die hochgradig Phishing-resistent sind, und zum anderen schneller zu verwenden sind als SMS- oder App-Codes – gerade im Krankenhausumfeld ist dies ein wichtiger Faktor. n Wenn Sie mehr zu diesem Thema erfahren möchten, besuchen Sie yubi.co/de oder wenden Sie sich gerne direkt an unseren Spezialisten Alexander Koch, alexander.koch@yubico.com SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 79

114

– ADVERTORIAL – DIGITALISIERUNG IM KRANKENHAUS, ABER SICHER Doch wie können Verantwortliche diese Sicherheit gewähr- leisten? Primär ﬁndet sich die Antwort in der Kongruenz von fachlicher Expertise und Zeitmanagement. Vereinen Sie beides mit validierten, zuverlässigen Softwarelösungen und schützen Sie so sensible Daten und IT-Netzwerke innerhalb der Krankenhäuser. Investitionen in IT-Sicherheit werden zudem durch das Krankenhauszu- kunftsgesetz von Bund und Ländern gefördert. Hoch spezialisierte Lösungen für die Bereiche IT-Sicherheit und Medical Solutions zu entwickeln, ist die Kernkompetenz von BAYOOSOFT. Unsere Leidenschaft für nachhaltige Lösungen und ausgeprägte Kundenorientie- rung zeigen sich in unseren Qualitätsmanagementprozessen. Diese sind durch den TÜV Hessen nach ISO 9001 zertiﬁziert. Als Business Unit der seit 2001 bestehenden BAYOONET AG entwickeln, beraten und vertreiben alle unsere Mitarbeiter:innen von Darmstadt, München und Berlin aus. So unterstützten wir Sie optimal bei Ihrem Digitalisierungsprojekt im Krankenhausumfeld – mit unseren hauseigenen Softwareprodukten – unkompliziert und vor allem sicher. Risikomanagement nach IEC 80001-1 Risk Manager hilft Ihnen bei der fehlerfreien Erstellung tion nach IEC 80001-1 und ISO 14971. In einer en Umgebung werden alle relevanten Informationen er- gespeichert und feingranular dynamisch mit- ermeiden Sie automatisch eine redundante den per Knopfdruck mit den jeweils aktuells- eit in die Form zu investieren, konzentrieren omanagement. :innen ﬁnden sich im Universitätsklinikum rechts tsklinikum nutzt seit mehreren Jahren den mit den Modulen Medical IT-Networks und ehlerfrei durch den Prozess, man kann nicht tlich abweichen, man kann nichts vergessen und Focus on being productive instead of being busy 80 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

115

– ADVERTORIAL – Überzeugt von der Qualität und Funktionalität der Softwarelösung ist auch das Tübinger Universitätsklinikum. Mittels des Password Reset können die rund 10.300 Mitarbeiter:innen eigenständig und zeitlich un- eingeschränkt Passwörter zurücksetzen. Ein einfaches System, das den IT-Support effektiv entlastet und einen agilen Workﬂow fördert. „Mithilfe von AMPR (Access Manager Password Reset) konnten wir die Anrufe am Servicedesk in der IT zum Thema Passwort-Reset drastisch reduzieren. Durch die äußerst einfache Bedienung und die Verfügbarkeit von 7/24 wird das Tool von unseren Anwendern sehr gern verwendet“, berichtet Andreas Reich, Teamleiter IT-Servicezentrum. n Unser Service für IT-Sicherheit in Krankenhäusern: BAYOOSOFT Risk Manager Der validierte Zulassungsbeschleuniger ermöglicht die komfortable Generierung einer auditsicheren technischen Dokumentation nach IEC 80001-1 und ISO 14971. Durch die integrierte und selbstlernende Wissensdatenbank unterstützt Sie das leicht verständliche Tool opti- mal im Risikomanagement. Mit dem modularen Aufbau passen Sie die Lösung bedarfsgerecht an. Unter anderem als Paket integrierbar: medizinische IT-Netzwerke – IEC 80001. Als marktführende Lösung für Risikomanagement unterstützt der BAYOOSOFT Risk Manager Sie bei der Erfüllung der Schutzziele. www.riskmanager.net/krankenhaus BAYOOSOFT Access Manager Mit dem spezialisierten Tool für automatisiertes Berechtigungs- management reduzieren Sie operative Aufwände nachhaltig, wäh- rend die Informationssicherheit durch Monitoring, Auditierung und transparentes Reporting steigt. Das intuitiv nutzbare Self-Service- Portal entlastet den IT-Support und schafft Übersichtlichkeit. Auto- matisieren Sie das Berechtigungsmanagement rund um Fileserver, SharePoint, Active Directory und Drittsysteme und schaffen Sie eine sichere Umgebung für digitale Daten. Etablierte Module, wie Password Reset und Fileserver Management, helfen dabei, den IT-Support effektiv zu entlasten. www.accessmanager.net/krankenhaus www.accessmanager.net/krankenhaus www.bayoosoft.com/krankenhaus Telefon: 0049 (0)6151-86180 E-Mail: info@bayoosoft.com kommt zu einem einwandfreien Resultat“, sagt Knut Lauter des Klinikums rechts der Isar der Technischen Universität München. Der Vorteil des BAYOOSOFT Risk Manager: Durch die integrierte und selbstlernende Wissensdatenbank unterstützt Sie das leicht verständ- liche Tool optimal im Risikomanagement. An zentraler Stelle hinterlegen Anwender:innen alle abzubildenden Anforderungen, nehmen Änderungen vor und überwachen den Prozess. Besonders zentral für das Betreiben von Medizinprodukten in IT-Netz- werken ist die Norm IEC 80001-1. Hierin wird der Stand der Technik mit Bezug zum Risikomanagement von IT-Netzwerken beschrieben und drei Schutzziele deﬁniert. Das Softwaremodul Risikomanagement nach IEC 80001-1 ermöglicht es Betreiber:innen von kritischen Infrastrukturen genau diese regulativen Anforderungen zu erfüllen. So wird Risikomanagement unter Berück- sichtigung der Schutzziele über den gesamten Lebenszyklus der IT-Netz- werke möglich. Der BAYOOSOFT Risk Manager unterstützt Sie auf efﬁziente Weise und schützt Patient:innen und Mitarbeiter:innen sowie Daten- und Sys- temstrukturen vor potenziellen Hackerangriffen. Die normkonforme Softwarelösung basiert auf den Vorgaben internationaler Gesetze und Verordnungen, EU-Richtlinien, FDA-Guidelines, Produkt- und Prozess- normen, Guidance Dokumente sowie Qualitätsmanagementsystemen. Berechtigungsmanagement und Password Reset im Self Service Auf die Vergabe von Zugängen, die Verwaltung von Identitäten sowie das Zurücksetzen von Passwörtern fokussiert sich das hauseigene Softwareprodukt für automatisiertes Berechtigungsmanagement: der BAYOOSOFT Access Manager. Die technische Verwaltung rund um Fileserver, SharePoint, Active Directory und Drittsysteme zu automatisieren, verschafft Betreiber:innen von Kran- kenhäusern entscheidende Vorteile. Denn operative Aufwände, beispiels- weise der IT-Administration, werden nachhaltig reduziert, während die Informationssicherheit durch Monitoring, Auditierung und transparentes Reporting gesteigert wird. Als zentraler Bestandteil des BAYOOSOFT Access Manager ermöglicht das Self-Service-Portal Fachbereichen und Endanwender:innen eine selbst- ständige Berechtigungsbeantragung ohne Einbeziehung des Second- Level-Supports. anagement Unterstützung im Fileserver Management nutzt bereits das Universitäts - klinikum Leipzig. „Mithilfe des BAYOOSOFT Access Manager konnten wir die über viele Jahre gewachsenen Strukturen unseres Fileservers in den Zustand der Compliance zu geltenden Anforderungen überführen. Die Administratoren im Second-Level-Support können nun ihre Spezialkennt- nisse in andere Themen einbringen“, lobt Daniel Pfuhl, Abteilungsleiter Systemmanagement im Universitätsklinikum Leipzig. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 81

116

– ADVERTORIAL – Damit Digitalisierung nicht zum Gesundheitsrisiko wird: KRANKENHÄ Autor: Anton Kreuzer, CEO von DriveLock Das Krankenhauszukunftsgesetz plant die Modernisierung von Krankenhäusern mit Förderungen über vier Milliarden Euro. Ziel ist ein hohes Digitalisierungsniveau sowie eine modernere und bessere technische Ausstattung der deutschen Kliniken. Damit sollen die medizinische Versorgung sowie die Souveränität und Selbstbestimmung der Patientinnen und Patienten perspektivisch verbes- sert werden. Es gilt dabei: „Mindestens 15 Prozent der gewährten Förder- mittel sind für Maßnahmen zur Verbesserung der Informationssicherheit zu verwenden.“ (§ 14a Abs. 3). Die Gesundheitsbranche ist besonders lukrativ für Angreifer Der Lagebericht des Bundesamts für Sicherheit in der Informationstech- nik (BSI) zur IT-Sicherheit 2020 hat das Gesundheitswesen als besonderes Beispiel für die wachsende Cyberbedrohung hervorgehoben. IT-Systeme und IT-gestützte Prozesse sind essenziell für die Leistungserbringung im Krankenhaus, beherbergen aber gleichzeitig sensible Informationen und sind damit prädestiniert für Sicherheitsvorfälle. Zudem haben Kranken- häuser ein sehr hohes Interesse, die Funktionstüchtigkeit kritischer Pro- zesse sicherzustellen und sensible Daten zu behalten. Das macht sie zu einem äußerst attraktiven Ziel für Angreifer. Auch die hohe Digitalisierungsgeschwindigkeit von Krankenhäusern ist risikobehaftet. Neue Betriebssysteme und unzureichend geschultes Per- sonal führen leicht zu gefährlichen Sicherheitslücken, die Kriminellen als Einfallstore dienen können. Außerdem kommt es im Klinikalltag häuﬁg vor, dass sich mehrere Personen ein technisches Gerät teilen. Viele dieser Geräte sind frei zugänglich und werden oft nicht gesperrt. IT-Sicherheitsmaßnahmen im Gesundheits- sektor: Zero Trust als Benchmark In Zeiten des vernetzten Arbeitens zeigen sich Schwachstellen in tradi- tionellen Sicherheitskonzepten. Diese Konzepte bekämpfen in der Regel den Angreifer von außerhalb des Netzwerks, betrachten aber alle Aktivi- täten innerhalb des Netzwerks nicht als Bedrohung. Das Sicherheits- modell Zero Trust hingegen orientiert sich an dem Leitsatz: „Never trust, always verify“. Es behandelt alle Geräte, Dienste und Benutzer gleich, indem es allen grundsätzlich misstraut. Somit werden Betriebssyste- me auch vor Gefahren von innen, wie (un)beabsichtigtes Fehlverhalten, geschützt. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS / z e e r g a e D m o c o t o h p k c o t S © . i : d l i B 82 Zu den effektivsten Präventionsmaßnahmen der Cybersicherheit gehören intelligente Applikations- und Schnittstellenkontrollen – wie die von Dri- veLock. Beide Lösungen verhindern effektiv die Ausführung unbekannter Applikationen beziehungsweise die Nutzung unbekannter Geräte und schützen die Systeme vor Schadsoftware. Sollte es aber dennoch zu einer erfolgreichen Inﬁltrierung mit Schadsoft- ware kommen, braucht es Werkzeuge, die Angriffstaktiken und Muster erkennen. Endpoint-Detection-and-Response-Lösungen bieten Trans- parenz und Kontrolle über die Endgeräte in Echtzeit – ohne dass das Se- curity-Team des Krankenhauses aktiv werden muss. Schadsoftware wird erkannt, beseitigt oder in Quarantäne gesteckt. DriveLock hilft bei der Umsetzung der Ziele und bei der Einhaltung der Richtlinien Der Gesundheitssektor ist streng reguliert, was IT-Sicherheit und Daten sicherheit betrifft: Patientenrechtegesetz, KRITIS- Vorschriften, DS-GVO, IT-Leitlinien für Krankenhäuser usw. DriveLock hilft Ihnen als IT-Experte bei der Um- setzung der Vorgaben mit seinen vielfach bewährten End point-Security-Lösungen.n ANWENDUNGSBEISPIEL: DriveLock Device Control in der Klinikumgebung: Herausforderung: Umsetzung BSI Grundschutz für KRITIS-Umgebungen Risiko des unkontrollierten Abﬂusses von Daten beim Einsatz externer Speichermedien Umsetzung Einführung von DriveLock Device Control mit Encryption-2-Go – Maximale Transparenz, Übersicht und Datensicherheit. Einführung eines Genehmigungsprozesses und zentraler Richtlinien Sensibilisierung des Klinikpersonals für IT-Risiken mit Awareness- Kampagne Vorteile Nur gewünschte Geräte und externe Laufwerke sind erlaubt Kontrollierter Datentransfer mit Verschlüsselung über zugelassene Medien

117

Micro Data Center: KLEINES RECHENZENTRUM MIT GROSSEM NUTZEN – ADVERTORIAL – Mit der digitalen Transformation haben Daten einen enormen Bedeutungszuwachs erfahren: Sie sind Wertschöpfungs- und Wettbewerbs- faktor und daher auch besonders schützens- wert. Eine ernst zu nehmende Konkurrenz für die Speicherfarmen sind Micro Data Center. Sie sind kompakter und schonen das Budget – ohne Kompromisse bei Sicherheit und Perfor- mance eingehen zu müssen. Die Spezialisten im RZ-Bereich von apraNET erklären, für welche Anwendungsfälle sie besonders geeignet sind. Viele Unternehmen sehen sich geradezu mit einer Flut an Daten, auch Big Data genannt, konfrontiert. Und das gilt längst nicht nur für große Konzerne, sondern auch für KMU. Ein offensichtlicher Grund dafür: Auch sie beﬁnden sich in einer digitalen Transformation. Daten sind auch deshalb zu einer so wertvol- len Währung geworden, da sich mithilfe smarter Analyse-Tools wichti- ge Erkenntnisse aus ihnen ziehen lassen, mit denen sich beispielsweise Produktionsprozesse optimieren lassen. Mit der steigenden Datenﬂut steigt auch die Nachfrage nach mehr Rechenkapazität. Zudem müssen die Daten jederzeit verfügbar sein, um etwa Produktionsunterbrechung zu vermeiden. Eine Option ist es, Daten in einem externen Rechenzentrum zu speichern, sie also „outzusourcen“. Zwar sind klassische Rechenzen- tren (RZ) in der Regel betriebssicher und hochverfügbar, allerdings sind die Kosten für die hohen Standards nicht unerheblich – und damit ins- besondere für KMU oftmals nicht attraktiv. „Gerade für Unternehmen mit limitiertem Budget sind Micro Data Center (MDC) die perfekte Lösung: Sie sind eine kompakte Version eines großen Rechenzentrums und werden direkt vor Ort im Unternehmen installiert“, sagt Andreas Broos. Zudem spielt laut Andreas Broos eine nicht ausreichende Datenverbindung zu den Rechenzentren, bedingt durch örtlich schwache Infrastrukturen der Netzbetreiber, eine Rolle bei der Entscheidung für ein MDC. Ein MDC besteht in der Regel aus einem 19 Zoll Schranksystem. Hinzu kom- men zusätzliche Komponenten für Temperaturregulierung, Wärmeabfuhr, Stromversorgung, Zutrittskontrolle und die Überwachung physikalischer Parameter. Der Einsatz von Feuerlöschsystemen im MDC lässt sich auf- grund des „kleinen Schrankvolumens“ kostengünstig abbilden. Mit kom- pakten Abmessungen von 800 mm Breite und 1.000 bis 1.200 mm Tiefe eignen sich MDC selbst für Unternehmen, die nur über begrenzte räum- liche Kapazitäten verfügen – umständliche bauliche Maßnahmen sind damit für die Integration eines MDC normalerweise nicht erforderlich. Ein weiterer Vorteil des „Mini-RZ“ ist der modulare Aufbau als Stand-alone- Lösung und ihre Skalierbarkeit. „Je nach Kundenanforderung ist es möglich, das Micro Data Center von der kleinsten Konﬁguration bis hin zur Kom- plettausstattung aufzurüsten. Ändern sich die Unternehmensbedürfnisse, lassen sich weitere Schränke einfach hinzufügen“, erklärt Philipp Sartoris. „MDC werden überall dort gebraucht, wo Daten anfallen. Zwar ist die Nachfrage besonders bei KMU groß, grund- sätzlich sind sie aber auch für große Unternehmen inter- essant – und auch für Edge Computing geeignet“, sagt Andreas Broos. Ver- füge ein Unternehmen beispielsweise über mehrere dezentrale Standorte, könne an jedem einzelnen ein MDC installiert werden. Die einzelnen Kno- tenpunkte ließen sich dann wiederum zu einem eigenen RZ verknüpfen. So ﬂexibel wie die Einsatzmöglichkeiten ist auch die kundenindividuelle Konﬁguration der MDC. „Es gibt keine Schablone, die wir bei unseren Pro- jekten anlegen. Wir analysieren jedes Projekt ganz individuell und erarbeiten eine maßgeschneiderte Lösung“, erklärt Philipp Sartoris. „Allerdings wünschen sich Kunden oft, so wenig Mühe wie möglich mit der Inbetriebnahme des Micro Data Center zu haben. Deshalb bieten wir auch einen Plug º Play-Service an.“ n Unternehmenskontakt: SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 83

118

– ADVERTORIAL – EIN DIGITALISIERTES GESUNDHEITSWESEN MUSS AUCH SICHER SEIN Autor: Dr. Klaus Gheri, General Manager Network Security bei Barracuda Networks Die Entwicklung von Gesundheitstechnologien und die zunehmende Digitalisierung von Medizinprodukten sind zweifellos ein Segen in puncto Efﬁzienz im Gesundheitswesen, allerdings wird dadurch die ohnehin schon komplexe digitale Umgebung auch komplizierter. Die Rettung von Leben und die bestmögliche Versorgung von Patienten stehen bei Leistungserbringern im Gesundheitswesen an erster Stelle, aber neben den medizinischen Kernaufgaben muss auch eine geschützte, leistungsfähige und ausfallsichere IT-Infrastruktur bereitgestellt und eine Reihe von Gesetzen, Datenschutzbestimmungen und Dokumentationspﬂichten berücksichtigt werden. In der heutigen digitalen und vernetzten Welt spielen die IT- Experten im Gesundheitswesen eine ebenso wichtige Rolle wie das medizinische Personal. GEFAHREN UND RISIKEN FÜR DIE IT IM GESUNDHEITSWESEN Das Gesundheitswesen steht aufgrund seiner Bedeutung und des Werts der dort verarbeiteten Daten besonders im Visier von Angriffen. Cyberkriminellen ist wohl bewusst, dass Ausfallzeiten und Störungen des Klinikbetriebs Menschenleben gefährden können und ihnen dieser Umstand ein starkes Druckmittel – zum Beispiel bei der Erpressung mittels Ransomware – an die Hand gibt. Aber auch Gesundheitsinformationen aus Patientenakten und Finanzdaten, die sich in den Systemen dieser Einrichtungen beﬁnden, sind für Hacker von großem Wert. Da der Vernetzungsgrad von Medizinprodukten in Krankenhäusern steigt – was im Ergebnis für eine schnell wachsende Angriffsﬂäche und eine steigende Anzahl von Drittnutzern, die auf 84 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

119

Netzwerk-Ressourcen zugreifen führt –, ist Cybersecurity sowohl für Medizinproduktehersteller wie auch für Betreiber zu einem wichtigen Thema geworden. Heute kommen vermehrt Systeme aus dem Bereich Internet-of-Medical-Things (IoMT) für unterschiedlichste Therapien zum Einsatz – von denen viele nur unzureichende Sicherheitsfunktionen bieten. Hersteller und Betreiber müssen angesichts einer globalen und schnelllebigen Bedrohungslage angemessen auf diese neuartigen Risiken reagieren. GEFÄHRLICHE E-MAILS Kommunikation ist besonders in Krisenzeiten von enormer Bedeutung. Die E-Mail wird intensiv genutzt und stellt deshalb für Cyberkriminelle ein häuﬁg genutztes Einfallstor für Angriffe dar. Die hierbei zum Einsatz kommenden Angriffstechniken, wie Malware, Phishing, Brand- Impersonation, Extortion, Account Takeover und andere – insgesamt lassen sich 13 Bedrohungstypen veriﬁzieren –, werden zunehmend rafﬁnierter. Eine einfache „Spam Ž Virus Firewall“ reicht deshalb längst nicht mehr für einen efﬁzienten Schutz aus. Heute ist ein umfassendes KI- gestütztes Sicherheitskonzept nötig. RANSOMWARE Die Zahl der Ransomware-Angriffe auf Gesundheitseinrichtungen ist 2020 deutlich angestiegen. Diese Attacken verschlüsseln Dateien auf dem Computer, von denen anzunehmen ist, dass sie für den Besitzer sehr wichtig und möglicherweise unwiederbringlich sind. Um die von der Ransomware verschlüsselten Daten wieder entschlüsseln zu können, wird der Geschädigte aufgefordert, ein Lösegeld zu bezahlen, damit er eine Software zur Entschlüsselung erhalte. Im Gesundheitswesen sind Vorfälle dieser Art absolut inakzeptabel, und ein efﬁzienter Schutz, der alle Angriffsvektoren abdeckt, ist deshalb unerlässlich. KRIMINELLE HABEN MEHRERE MÖGLICHKEITEN, DEN ANGRIFF ZU MONETARISIEREN: Die Unterbrechung von IT-Diensten kann den Betrieb gefährlich verlangsamen. Kriminelle setzen darauf, dass die Opfer ein Lösegeld zahlen werden. Insbesondere in Notfällen, wenn der ohnehin schon stressige Normalbetrieb noch mehr unter Druck steht. Die Offenlegung geschützter (oder persönlicher) Gesundheits- informationen und elektronischer Gesundheitsakten (eGA) kann für jeden Beteiligten verheerend sein. Kriminelle, die Daten aus der Organisation abgreifen, haben ein hohes Druckmittel, um Lösegeld erfolgreich einzutreiben. Kritische Gesundheitsinformationen sind für Kriminelle äußerst lohnend und lassen sich einerseits für einen höheren Preis als etwa Kreditkartennummern veräußern, andererseits können Kriminelle diese Identitätsdiebstähle für ihre eigenen Vorhaben nutzen. Die weltweite Reaktion auf das neuartige Virus COVID-19 hat dazu geführt, dass Kriminelle verstärkt versuchen, in Netzwerke einzudringen. Alle Informationen über ein mögliches Heilmittel oder einen Impfstoff wären für private Käufer oder andere Regierungen von großem Interesse. ZUNEHMENDE VERNETZUNG – STICHWORT: INTERNET DER DINGE Die Digitalisierung ermöglicht erstaunliche Fortschritte im Gesundheitswesen und in der vernetzten Medizintechnik, dabei hat – ADVERTORIAL – das Internet der Dinge einen bedeutenden Anteil. Der Schutz und die sichere Konnektivität dieser Systeme sind von größter Bedeutung, doch die Vielzahl der unterschiedlichen Gerätetypen erschwert diese Aufgabe erheblich. Überdies sind diese Geräte oft nur unzureichend abgesichert und übertragen Daten über das öffentliche Mobilfunknetz oder das WLAN. Deshalb muss die Medizintechnik in die gesamte Sicherheitsarchitektur der Gesundheitseinrichtung integriert werden, eine Überprüfung der Gerätenutzer erfolgen und Zugriffsbeschränkungen auf diejenigen, die ein Gerät wirklich benötigen, durchgesetzt werden. NICHT GEPATCHTE BETRIEBSSYSTEME UND VLAN-PROBLEMATIK Eine für Einrichtungen im Gesundheitswesen speziﬁsche Gefahrenquelle ist die Anzahl der Geräte mit veralteten, nicht mehr unterstützten Betriebssystemen. Gerade diese Geräte gehören meist zu den wichtigsten innerhalb der jeweiligen Organisationen. Das davon ausgehende Risiko muss man daher sehr ernst nehmen. Auch die Netzwerkinfrastruktur im Gesundheitswesen ist nach wie vor oft ein wunder Punkt. In der Mehrzahl der VLANs (logisches Teilnetz) sind sowohl medizinische Geräte als auch klassische IT-Geräte zugeordnet. Hier lässt sich schon durch verhältnismäßig einfache Maßnahmen einer effektiven Netzwerk- segmentierung das Sicherheitsniveau deutlich erhöhen. FÖRDERPROGRAMM: DAS KRANKENHAUSZUKUNFTSGESETZ Mit dem Krankenhauszukunftsgesetz verschafft das Bundesministerium für Gesundheit den Krankenhäusern die Möglichkeit, in die Digitalisierung und IT-Sicherheit zu investieren. Der Bund hat ab dem 1. Januar 2021 3 Milliarden Euro bereitgestellt. Zudem übernehmen die Länder und/ oder Krankenhausträger 30 Prozent der jeweiligen Investitionskosten. Insgesamt steht somit ein Fördervolumen von bis zu 4,3 Milliarden Euro zur Verfügung. Unter anderem gefördert werden: Investitionen in eine bessere digitale Infrastruktur, etwa Patientenportale, elektronische Dokumentation von Pﬂege- und Behandlungsleistungen, digitales Medikationsmanagement, Maßnahmen zur IT-Sicherheit sowie sektorenübergreifende telemedizinische Netzwerkstrukturen. Die Krankenhausträger können bereits mit der Umsetzung von Vorhaben beginnen und ihren Förderbedarf bei den Ländern anmelden. Bis zum 31. Dezember 2021 können die Länder Förderanträge an das Bundesamt für Soziale Sicherung stellen. Das Krankenhauszukunftsgesetz bietet Krankenhäusern somit die hervorragende Möglichkeit eines digitalen Updates und damit einen höheren Grad der Vernetzung innerhalb des Gesundheitswesens sowie eine verbesserte Patientenversorgung. n SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 85 ) . e r ( a b p o p i / . m o c k c o t S © i ; ) . i l ( s n o i t c u d o r P I / D S m o c k c o t S © i . : r e d l i B

120

– ADVERTORIAL – IT-ABTEILUNG ENTLASTEN DURCH NEUE WEGE IN SUPPORT UND WARTUNG Es ist wie in einem Hamsterrad, das sich immer schneller dreht. In vielen IT-Abteilungen von Kliniken herrscht Personalmangel, dennoch steigen die Anforderungen. Die IT-Landschaft ist sehr heterogen und die Komplexität nimmt zu, da immer mehr medizintechnische Geräte Teil des Systems werden. Es herrscht Kostendruck, der durch die wirtschaftlichen Einbußen vieler Krankenhäuser in der Corona-Pandemie weiter steigt. Hinzu kommt der Ruf nach mehr Digitalisierung. „Um diesen Widerspruch zwischen Anforderungen und personellen sowie finanziellen Möglichkeiten zu verringern, gilt es Prozesse zu optimieren. Es geht darum, Standardaufgaben, die die IT-Abteilungen viele Ressourcen kosten, an Dienstleister zu übertragen, damit die IT Zeit fürs Wesentliche hat“, meint Klaus Stöckert, Digitalisierungsexperte und CEO der Technogroup IT-Service GmbH. Herr Stöckert, was sind in Ihren Augen Aufgaben, die IT-Abteilungen an Externe übertragen könnten? Das betrifft vor allem vier Bereiche: „Helping Hands“-Aufgaben, IMAC (Install, Move, Add and Change) im Rechenzentrum, die Wartung der Hardware im Rechenzentrum und das Monitoring der IT-Landschaft. Die IT-Landschaften von Kliniken sind überaus heterogen. Man kann hier von einem wahren Geräte-Dschungel sprechen. Dadurch beinhal- ten diese Bereiche sehr komplexe und immens aufwendige Aufgaben, die viele Ressourcen binden. Gehen wir die Bereiche einmal durch. Viele Kliniken unterhalten bezüglich der Hardware- Wartung Verträge mit den Herstellern. Das ist doch ein Support. Richtig, aber dieser kann optimiert werden, sowohl was den Aufwand für die IT-Abteilungen als auch die Kosten anbelangt. Wir zählen seit vielen Jahren Kliniken zu unseren Kunden und wissen, dass deren IT-Landschaft extrem heterogen ist. Eine Vielzahl unterschiedlicher Geräte bedeutet auch eine Vielzahl unterschiedlicher Wartungsverträ- ge mit den einzelnen Herstellern. Dies alles zu verwalten ist aufwen- dig und kann im Ernstfall wertvolle Zeit kosten. Gerade im Kranken- hausumfeld ist die Ausfallsicherheit ein wichtiges Thema. Kommt es zu einer Störung oder einem Ausfall, muss schnell Abhilfe geschaffen werden. Muss die IT-Abteilung erst prüfen, welcher Hersteller wel- chen Wartungsvertrag mit welchem Service-Level-Agreement (SLA) aufweist, verzögert sich die Fehlerbehebung. Ein herstellerübergrei- fender Drittwartungsanbieter kann hier ein fester Ansprechpartner für nahezu alle Geräte sein. Zudem kann er seine Leistung rund um die Uhr an 365 Tagen im Jahr anbieten. Ausfallsicherheit ist ein guter Punkt. Welches Optimierungspotenzial sehen Sie hier noch? Während der Garantielaufzeit kommen Hersteller für standardmäßige Reparaturen auf. Für unternehmenskritische Systeme reicht dieser Standardservice aber oftmals nicht aus. Hier gilt es eine Lücke zu schließen und IT-Systeme zusätzlich zuverlässig und schnell abzusichern. Multivendor-Dienstleister können die Standard-SLAs, die die Hersteller im Rahmen ihrer Garantie anbieten, ﬂexibel erweitern, um dem Bedarf nach Ausfallsicherheit gerecht zu werden. Darüber hinaus bieten sie Service und damit Ausfallsicherheit über den End- of-Service-Zeitpunkt hinaus an. Ein weiterer Punkt, um Ausfallzeiten zu minimieren, ist ein übergreifendes Monitoring in Kombination mit Wartung. Monitoring zählt auch zu den von Ihnen genann- ten Standardaufgaben. Hier kombinieren Sie also zwei Aufgaben miteinander? Ja. Um eine Ausfallsicherheit zu garantieren, muss die IT-Abteilung den Zustand der einzelnen Komponenten der IT-Landschaft im Blick haben und möglichst rasch und proaktiv reagieren, wenn sich ein Pro- 86 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

121

– ADVERTORIAL – Es geht darum, Standardaufgaben, die die IT-Abteilungen viele Ressourcen kosten, an Dienstleister zu übertragen, damit die IT Zeit fürs Wesentliche hat“ KLAUS STÖCKERT, Digitalisierungsexperte und CEO der Technogroup IT-Service GmbH ©Technogroup IT-Service GmbH/Annika List blem ankündigt oder auftaucht. Das Monitoring kommt im stressigen Alltag einer IT-Abteilung oft zu kurz. Tools einzelner Hersteller liefern ein Monitoring für einzelne Komponenten, aber gerade bei sehr hete- rogenen IT-Landschaften fehlt oft der Gesamtüberblick. Multivendor- Dienstleister können fast alle Hersteller und Systemwelten in einem Monitoring integrieren. Noch entscheidender ist die Efﬁzienz des nachgelagerten Prozesses. Bei einem Monitoring durch einen Multivendor-Dienstleister erkennt dieser eine bevorstehende oder bereits vorhandene Störung schnell und übernimmt automatisch und ohne Zeitverlust die Wartung. So kann die Störung schnellstmöglich behoben werden – unabhängig von den zeitlichen Reaktionsmöglichkeiten der IT-Abteilung der Klinik. Sie haben davon gesprochen, mit dem neuen Weg des Supports Kosten zu sparen. Ein externer Dienstleister klingt nicht nach Einsparungen. Die Herstellerwartung, die viele Kliniken nutzen, ist ein erheblicher Kostenfaktor. Das hat mehrere Gründe: Zum einen sind hier die Ver- tragsbedingungen zu nennen. Herstellerunabhängige Wartungsanbie- ter haben oftmals wesentlich bessere Konditionen als die OEMs. Ein zweiter, entscheidender Faktor ist, dass Drittwartungs-Dienstleister auch Geräte warten, die den End of Service Life überschritten haben. So kann Hardware länger genutzt und teure Neuanschaffungen ver- mieden werden. Das alles sorgt dafür, dass das Analystenhaus Gartner durch Drittwartung ein Einsparpotenzial von bis zu 70 Prozent sieht. Ein zusätzliches Einsparpotenzial bietet refurbished Hardware. Die ge- brauchte Hardware ist fachmännisch aufbereitet, bietet höchste Qua- lität und volle Funktionalität, ist aber zu erheblich geringeren Kosten erhältlich. Auch diese Hardware kann durch Third-Party Maintenance gewartet werden. Kommen wir zu weiteren Punkten Ihrer Auf- listung: „Helping Hands“- listung: „Helping Hands“ listung: „Helping Hands“ Aufgaben und IMAC im Rechenzentrum. Was fällt darunter und warum sollten diese extern vergeben werden? IMAC umfasst alle Maßnahmen, die im Lebenszyklus einer Hardware- komponente im Rechenzentrum anfallen können. Der Personalauf- wand, um komplexe IT-Systeme kontinuierlich zu pﬂegen, ist hoch. Ein Dienstleister kann bei der Installation von Systemkomponenten, dem Umzug einzelner Komponenten oder der gesamten Infrastruktur, bei Deinstallationen, Updates oder Anpassungen von Einstellungen und Konﬁgurationen unterstützen. Darüber hinaus bieten wir kontinuierlichen Support im Rechenzent- rum in Form von „Helping Hands“-Aufgaben an. Konkret handelt es sich dabei um manuelle, administrative Tätigkeiten an der Infrastruk- tur wie Kabelarbeiten oder Komponentenaustausch, die Kontrolle von Hardware oder die Begleitung von nicht autorisierten externen Support-Dienstleistern durch das Rechenzentrum. Bei Bedarf halten unsere Experten die Augen und Ohren auf, achten auf etwaige Störun- gen und kümmern sich um Wartung, Support und Krisenbetreuung wenn nötig. Rechnet man all diese Aufgaben und die Zeit für deren Erfüllung zu- sammen, wird ersichtlich, welche Entlastung der IT-Abteilung durch externen Support erreicht werden kann. Vielen Dank für das Gespräch. Technogroup ist Marktführer für Drittwartung im Rechenzentrum im D/A/CH-Raum und mit Evernex Marktführer in Europa. Zudem zählen IT-Monitoring, Netzwerk-Services und refurbished Hardware zum Portfolio. Technogroup wickelt für führende Hersteller den weltweiten Reparaturdienst für Diagnose- und Analyse-Geräte mit Biosensoren-Technik ab. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 87

122

– ADVERTORIAL – Z1 HEALTHSECURE SCHÜTZT IHRE E-MAIL-KOMMUNIKATION IM GESUNDHEITSWESEN Secure E-Mail Gateway | KHZG – Fördertatbestand 10 wenig bis keinen Aufwand. Z1 HealthSecure benötigt keine Endanwender- schulung. Dort, wo Kontakt zur Software unvermeidbar ist, ist die Anwen- dung durch gute Nutzerführung selbsterklärend. Die Administration ist leicht mit wenigen Klicks in der Weboberﬂäche umgesetzt. Kommunikationsszenarien im Krankenhaus Zertiﬁcon steht mit seinem Z1 SecureMail Gateway seit bald 20 Jahren für hoch automatisierte Sicherheit in der elekt- ronischen geschäftlichen Kommunikation. Z1-Lösungen für E-Mail-Verschlüsselung, digitale Signatur und sicheren Dateitransfer sind im Gesundheitssektor verbreitet und bewährt. Viele Einrichtungen des Gesundheitswesens haben die Einführung der DS-GVO 2018 bereits zum Anlass genommen, die Absicherung ihrer Kommunikation zu stärken. Wir haben diese anhaltend verstärkte Nachfrage zum Anlass genommen, ein maßgeschneidertes Angebot für den Gesundheitssektor zu gestalten: Z1 HealthSecure. Zertiﬁcons Z1 HealthSecure ist Ihre Universallösung als Grundlage für die Digitalisierung Ihrer Kommunikation im Gesundheitswesen – natürlich sicher und DS-GVO-konform. Nachhaltig durch hohe Nutzerakzeptanz und Effizienz Z1 HealthSecure überzeugt nicht nur mit hoher Sicherheit und Compliance, sondern auch in Bezug auf Efﬁzienz und Wirtschaftlichkeit. Der laufen- de Betrieb verursacht sowohl für Administratoren als auch für Anwender 88 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS

123

– ADVERTORIAL – Z1 HealthSecure auf einen Blick E-Mail-Verschlüsselung (S/MIME und OpenPGP, passwortbasiert) Setzen und Prüfen elektronischer Signaturen Zentrales E-Mail-Disclaimer-Management Sicheres Senden und Empfangen großer Dateien Webbasierte Administrationsoberﬂäche Virtuelle Appliance basierend auf Linux Debian 10 Cloudfähig, integriert mit Microsoft 365 und Google Workspace IT-Sicherheit made in Germany Herstellersupport auch in 24/7 verfügbar Erfahrene Zertificon-Partner für Installation und Betrieb Wir haben unser Partnernetzwerk auch für den Betrieb von Z1 HealthSecure ausgebaut. Sie können bei Bedarf die Installation beauftragen oder den kompletten Betrieb auslagern. Individuelle Z1-Lösungen für Konzern oder Verbund Neben Z1 HealthSecure bietet Zertiﬁcon auch Lösungen für die beson- deren Herausforderungen in Konzernen und im Krankenhausverbund. Mehrere Kliniken oder Standorte können aus einer zentralen Installation bedient werden. Sprechen Sie uns an! Nachhaltige Besserung des digitalen Reifegrades mit zukunftssicherer Investition Mit Z1 HealthSecure legen Sie die Basis für einen hohen digitalen Reife- grad Ihres Krankenhauses im Bereich der Kommunikation. Z1-Lösungen nutzen offene Standards und sind einfach integrierbar und bleiben so auch für kommende Entwicklungen anschlussfähig. Sie schaffen damit nachhaltig die sicherheitstechnischen Voraussetzungen für ein papierlo- ses Krankenhaus. Z1 HealthSecure erfüllt den Fördertatbestand 10 des Krankenhauszukunftsgesetzes Einen Schwerpunkt setzt das Krankenhauszukunftsgesetz bei der För- derung der sicheren digitalen Kommunikation. Von der Förderung können Investitionskosten für die Beschaffung sowie der initiale Betrieb von Z1 HealthSecure über drei Jahre abgedeckt werden. Förderung für KRITIS nach Krankenhausstrukturfonds Krankenhäuser, die als kritische Infrastrukturen nach dem Krankenhaus- strukturfonds förderfähig sind, sollten ihre IT-Sicherheitsausgaben nach eben diesen Vorgaben in Verbindung mit dem Krankenhaus- ﬁnanzierungsgesetz (KHG) prüfen. Eine Förderung nach dem KHZG ist zur Vermeidung von Doppelförderungen ausgeschlossen. n Automatisiertes Zertifikatsmanagement inklusive On-Demand-Beschaffung Krankenkassen, Behörden und Versicherungen gehören zu den externen Kontakten eines Krankenhauses, die häuﬁg zertiﬁkatsbasiert nach den Standards S/MIME und OpenPGP verschlüsseln (siehe Graﬁk). Um hier an- schlussfähig zu sein, sind Sie mit Z1 HealthSecure bestens gerüstet. Die Verschlüsselungslösung überzeugt durch eine besonders hohe Automa- tisierung des gesamten Zertiﬁkatsmanagements. Zertiﬁcons Partner- schaften mit renommierten Trustcentern bringen Ihnen neben Preisvor- teilen auch einen vereinfachten Beschaffungsprozess: Mit Z1 HealthSecure erwerben Sie den Anschluss an ein anerkanntes Trustcenter sowie die automatisierte On-Demand-Beschaffung der eigenen Mitarbeiterzertiﬁ- kate aus einer Hand. Die automatisierte Veröffentlichung Ihrer Zertiﬁkate, damit diese Ihren Kommunikationspartnern zur Verfügung stehen, läuft ebenso automatisiert im Hintergrund wie die Suche und Validierung der Zertiﬁkate Ihrer externen Kommunikationspartner. Spontane E-Mail-Verschlüsselung ohne Zertifikate Im Austausch mit Patienten und Angehörigen sowie kleineren Dienstleis- tern, die keine Zertiﬁkate besitzen, hat sich die Verschlüsselung mit Pass- wörtern bewährt. Z1 HealthSecure generiert automatisch Accounts für Ihre Kontakte und stellt E-Mails verschlüsselt zu. Die Weboberﬂäche Ihres Z1 HealthSecure ist einfach an Ihr Corporate Design anpassbar. Einzig mit Zertiﬁcon können Sie alle marktüblichen Systeme der sponta- nen E-Mail-Verschlüsselung parallel nutzen (HTML, PDF, sicherer Web- mailer). Eine Funktion zum verschlüsselten Antworten ist natürlich auch enthalten. Zur Kompatibilität mit allen Endgeräten Ihrer Empfänger gibt es zusätzliche Apps, die kostenfrei in den Appstores bereitstehen. Durchsetzung der Compliance Um sicherzustellen, dass alle E-Mails, die verschlüsselt werden müssen, auch tatsächlich verschlüsselt werden, können zentral Regeln konﬁguriert werden. Ein Set an vordeﬁnierten Regeln ist bereits angelegt. Alternativ oder ergänzend können Nutzerbefehle freigeschaltet werden. Mit diesen Befehlen können Benutzer bei jeder E-Mail selbst entscheiden, welches Sicherheitsniveau angewendet werden soll. Das System loggt alle Aktionen und erleichtert Audits. Mit einem Blick in den Mailﬂow ist der Sicherheitsstatus jeder empfangenen und versende- ten E-Mail in Echtzeit nachvollziehbar. Zentrales E-Mail-Disclaimer-Management Mit dem zentralen E-Mail-Disclaimer-Management können Sie einheit- liche Signaturen oder auch Veranstaltungs- oder Haftungsausschluss-Hin- weise in E-Mails einzelner Benutzer oder Gruppen integrieren. Große Dateien sicher senden und empfangen Z1 HealthSecure enthält ein Modul für die sichere Übertragung großer Dateien. Dies ermöglicht es Ihnen, beispielsweise Daten aus bildgebenden Verfahren mit mehreren MB oder gar GB sicher und DS-GVO-konform zu senden und zu empfangen – direkt aus der E-Mail oder über ein Webportal. Ausführliche Informationen zu unseren Lösungen, Webinartermine etc. ﬁnden Sie unter: www.zertificon.com/gesundheitswesen SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 89

124

– ADVERTORIAL – ALS KLINIK MEHR DIGITALISIERUNG WAGEN digitale Tr digitale Transformation – aber sensibel beim Thema Datenschutz In den vergangenen zwölf Monaten hat die Digitalisierung im Ge- sundheitsbereich einen unvergleichlichen Schwung erhalten. Aber hält diese Entwicklung auch den Erwartungen der Patienten Stand? Eine Studie von VMware legt nahe, dass dies nicht der Fall ist. Denn es zeigt sich: Die Fortschritte des vergangenen Jahres im Gesundheitssektor sind den Verbrauchern noch nicht weitreichend genug. Weniger als ein Viertel der Befragten empﬁndet, dass Gesundheitsversorger heute einen besseren digitalen Service bieten als vor der Pandemie. Dabei betrachten viele Deutsche gerade die Gesundheitsversorgung als einen Bereich, in dem sie gern stärker digital agieren würden – ein Potenzial, dass offenbar bisher nicht ausgeschöpft wurde. Die Verbraucher haben in den vergangenen Monaten gelernt, wie Digi- talisierung in ganz unterschiedlichen Lebensbereichen für mehr Komfort sorgen kann. Sie eröffnet auch neue Diagnosemöglichkeiten und Behand- lungsformen, die Patienten effektiv bei ihrem Genesungsprozess unter- stützen. 41 Prozent der Befragten wären beispielweise einverstanden, sich von einem leistungsstarken und lernfähigen Computer auf Anoma- lien (zum Beispiel Krebszellen) untersuchen zu lassen, anstatt von einem menschlichen Arzt. Ebenfalls 40 Prozent der Befragten sind bereit, den Kontrolltermin beim Hausarzt auch remote über Video durchzuführen. DIGITALISIERUNG UND DATENSCHUTZ ALS WETTBEWERBSVORTEIL Will sich ein Gesundheitsversorger langfristig gegen den Wettbewerb durchsetzen und Patienten halten können, muss er entsprechende Pro- jekte vorantreiben. In ihren Wünschen an Gesundheitsdienstleistungen waren die Befragten dabei sehr deutlich. Sie fordern vor allem ein hohes Maß an Sicherheit und Datenschutz (67 Prozent), unkomplizierte Nutzung 90 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS über sämtliche Geräte hinweg (51 Prozent), schnellere Serviceleistungen (32 Prozent) sowie beispielhaftes Verhalten von Unternehmen gegenüber Mitarbeitern bzw. der Gesellschaft (23 Prozent). Der Gesetzgeber hat hier mit dem Krankenhauszukunftsgesetz (KHGH) bereits einen Impuls gegeben, der die Gesundheitsversorger – mit einem entsprechenden Fokus auf das für die Verbraucher so wichtige Thema Da- tenschutz – dabei unterstützt, ihre digitale Entwicklung voranzutreiben. Es ist entscheidend für das Vertrauen der Bürger in ihr Gesundheitssys- tem, dass Daten optimal gesichert sind. Aber wie kann das in der Praxis umgesetzt werden? Hier helfen Konzepte, die auf Intrinsic-Security fußen: Sie gewährleisten durchgehende Sicherheit – vom Datensatz bis zum Endgerät. Damit ent- fallen zahlreiche Einzellösungen, die nicht gut miteinander harmonieren und Angreifern Schlupﬂöcher lassen. Updates und Wartung vereinfachen sich deutlich. Wie beispielsweise VMware zeigt, liegen dem in Gänze neuen, strategischen Security-Ansatz immer Konsolidierungsmöglichkeiten zugrunde – und damit einhergehend auch Mittel zur Kostenoptimierung. Ziel muss es sein, die Anzahl der Security-Produkte dras- tisch zu reduzieren und so Kosten zu sparen.n Kontakt bei VMware: Carsten Kramschneider, Manager Solution Engineering, Public, Healthcare & Commercial Kontakt: ckramschneider@vmware.com Tel.: +49-(0)1520-9350638 www.vmware.com/de

125

. m o c e b o d a k c o t s - i i . l x o h p © Datenschutz und IT- Sicherheit bei der Nutzung von Cloud Services 8. Juni 2021 | online Referent: Dr. Heinrich Kersten Schwerpunkte: ✓ Cloud-Architekturen: Private, Public und Hybrid Clouds ✓ Risiken für Datenschutz, IT-Sicherheit und Business Continuity ✓ Compliance mit der DS-GVO und dem IT-Sicherheitsgesetz ✓ Endpoint Security, Absicherung der Zugänge zu Clouds, Kryptografie ✓ Vertragsgestaltung und Überwachung ✓ Clouds in technischen Standards: ISO 27017/27018, IT-Grundschutz ✓ Cloud-spezifische Sicherheitsanalyse und Notfallplanung mit Mustertexten Jetzt anmelden: www.datakontext.com

126

– ADVERTORIAL – Mehr Cybersicherheit ist gefragt: WARUM DEUTSCHLANDS KLINIKEN JETZT HANDELN MÜSSEN Ein Beitrag von Daniel Kompe, Account Technology Strategist Healthcare, Microsoft Deutschland Die Digitalisierung ist dabei, den Gesundheitssektor von Grund auf zu verändern und völlig neue Möglichkeiten zu schaffen. Dabei geht es um weit mehr als den Ein- satz digitaler Dokumente und Formulare. Künstliche Intelligenz, Big Data und Augmented Reality halten Einzug in die Behandlungszimmer. Die Digitalisierung beschleunigt den Informationsaustausch und ermög- licht dem medizinischen Fachpersonal einen ganzheitlichen Blick auf die Patient*innen. Sie trägt durch den Einsatz smarter Analysen dazu bei, Diagnosen schneller und präziser zu stellen und passgenaue Therapien zu entwickeln, die optimal auf die individuellen Bedürfnisse der Patient*in- nen abgestimmt sind. Moderne Medizingeräte sind inzwischen fest in die IT-Landschaft von Arztpraxen und Krankenhäusern integriert und die Einrichtungen selbst in vielfältiger Weise untereinander vernetzt. Teleme- dizinische Angebote unterstützen die digitale Versorgung und tragen zur Entlastung der Wartezimmer bei. VERTRAUEN IST ESSENZIELL IM GESUNDHEITSSEKTOR Die Grundvoraussetzung für eine funktionierende medizinische Versor- gung ist seit jeher Vertrauen – das Vertrauen in die Erfahrung und Experti- se der Behandelnden, das oftmals aus langjährigen Beziehungen entsteht. In Zeiten der Digitalisierung kommt nun eine weitere Vertrauenskom- ponente hinzu: der verantwortungsvolle Umgang mit den besonders sensiblen Gesundheitsdaten. Diese müssen umfassend gesichert sein, damit Unbefugte keinen Zugriff haben, keine Informationen stehlen oder missbräuchlich nutzen können. Je größer die Zahl der Nutzer*innen und je komplexer die Systeme aber sind, desto schwerer ist es für IT-Abtei- lungen, die dafür geeigneten Schutzmaßnahmen zu etablieren. Zumal die IT-Landschaft eines Krankenhauses oft über Jahrzehnte gewachsen ist. Selbst klassische Wartungsarbeiten oder Sicherheitsupdates für einzelne Komponenten werden so zu einer Herausforderung. Das Ergebnis sind äußerst komplexe IT-Systeme, die einfach zum Ziel von Cyberattacken, wie Hacker-und Phising-Angriffen, werden können. Gleichzeitig steigt die Gefahr von Daten-Leaks, etwa wenn die sensiblen Datensätze von Patient*innen sowie deren medizinische Bilder öffentlich ohne Passwortschutz zugänglich sind. Der Wechsel von Beschäftigten ins Homeofﬁce im Zuge der Corona-Pan- demie und die Etablierung hybrider Arbeitsformen schaffen gemeinsam mit neuen Möglichkeiten digitaler Medizin, wie zum Beispiel der Tele- medizin, zusätzliche potenzielle Einfallstore für Cyberkriminelle. Mag die Sicherheitsarchitektur für den Klinik-Campus eines Krankenhauses auch 92 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - r e b t s e b © : n o i t a r t s u l l I

127

– ADVERTORIAL – gut funktionieren, ist sie zumeist machtlos, wenn die Beschäftigten im Homeofﬁce über private Netzwerke und private Geräte auf Klinik-Infor- mationen zugreifen, es zugleich jedoch an modernen Authentiﬁzierungs- methoden und Zugriffskontrollen mangelt. DIE DREI SÄULEN DER IT-SICHERHEIT Die Sicherheit einer modernen Krankenhaus-IT ruht auf drei Säulen: Pro- tect, Detect und Respond – also dem Schutz vor Gefahren, dem Erkennen möglicher Angriffe und dem Reagieren auf eine Attacke. Protect: Die erste Säule umfasst alle jene Technologien, die den Schutz von Daten und IT-Systemen gewährleisten und die Auswirkungen et- waiger Cyberangriffe begrenzen. Dazu gehören auch Kontrollmecha- nismen, die den Zugriff auf die digitalen Ressourcen steuern. In Zeiten eines verstärkten Remote-Zugriffs muss der Schutz der eigenen Syste- me neu gedacht werden, da sich die Bedrohungsszenarien fundamen- tal wandeln. Detect: Die zweite Säule kommt ins Spiel, wenn es darum geht, einen Cyberangriff überhaupt zu erkennen. Die IT muss Augen und Ohren bekommen, um in die eigene Organisation hineinhorchen zu können. Moderne Schadsoftware ist polymorph, das heißt, sie kann bei der Übertragung auf ein Gerät ihre Form verändern und so nur schwer von herkömmlichen Antivirenprogrammen entdeckt werden. Die Komple- xität von Systemen trägt zudem dazu bei, ungewünschte Zugriffe ge- nerell nur schwer entdecken zu können. Es braucht also Lösungen, die einen tiefgehenden Einblick in die eigenen Netzwerke und Systeme mit Methoden wie Threat Hunting ermöglichen. Respond: Die dritte Säule wird relevant, wenn ein Krankenhaus tat- sächlich zum Ziel einer Attacke wird. Dann ist schnelles Handeln gefragt. Automatisierte Prozesse helfen dabei, die Folgen einzudämmen und den Schaden möglichst gut zu begrenzen. Schließlich wäre es fatal, Ein- dringlingen freie Hand zu lassen, haben sie erst einmal den äußeren Schutzwall überwunden. HÖCHSTE ZEIT ZU HANDELN: INVESTITIONEN IN IT-SICHERHEIT SO WICHTIG WIE NIE ZUVOR Die Gefahren für Krankenhäuser sind real und werden in Zukunft weiter steigen. Die Einrichtungen des Gesundheitssektors sind aufgefordert zu handeln. Nur mit der Gewährleistung der Sicherheit kann die Digitalisie- rung in diesem Bereich erfolgreich sein und Mehrwert für alle Beteiligten schaffen. Die ﬁnanziellen Mittel für Investitionen in die Sicherheitsinfra- struktur sind vorhanden. Mit dem Krankenhauszukunftsgesetz (KHZG) stellen der Bund und die Länder gemeinsam 4,3 Milliarden Euro bereit, um Krankenhäusern Investitionen in zukunftsweisende Notfallkapazi- täten, Digitalisierungsprojekte und die IT-Sicherheit zu ermöglichen. Ein besonderes Augenmerk liegt dabei auf der Förderung der Informations- sicherheit. Cybersecurity ist für Microsoft essenziell. Jährlich investiert das Unterneh- men dafür mehr als eine Milliarde Dollar insbesondere in Forschung und Entwicklung. Microsoft steht als technologischer Partner an der Seite der Gesundheitswirtschaft, der Krankenhäuser und Kliniken, deren individu- elle Situation und Bedarfe sehr unterschiedlich sein können. Daher gibt es die Möglichkeit, Produkte und Lösungen stets auch in kostenlosen Trial- Versionen zu testen, um so zu ermitteln, welche bislang unbekannten Gefahren sie sichtbar machen und wie sie beim Verstärken des digitalen Schutzwalls helfen. Mit seinem ganzheitlichen Ansatz kann Microsoft Krankenhäusern und anderen Gesundheitseinrichtungen umfassende Sicherheitslösungen bereitstellen, die dabei helfen, aus einem passiven Schutz ein aktives Sicherheitsmanagement zu machen. Erfahren Sie mehr dazu im Microsoft Grundlagenpapier IT-Sicherheit im Krankenhaus – Moderne Lösungen für alte Herausforderungen. n SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 93

128

– ADVERTORIAL – Der digitale Arbeitsplatz „Made in Germany“ für das Gesundheitswesen IHR WEG ZU EINEM SICHEREN DATENAUSTAUSCH – OHNE RISIKEN UND NEBENWIRKUNGEN Hackerangriffe auf Gesundheitseinrichtungen nehmen weiter zu. Cyberkriminelle legen IT-Systeme lahm, erpressen Krankenhäuser und haben es zudem auf sensible Informationen wie Patientendaten abgesehen. Es gilt also, die Daten jederzeit bestmöglich vor unbefugtem Zugriff zu schützen. Obwohl man sich dessen bewusst ist, sind diese medizinischen Informationen längst nicht überall ausreichend geschützt oder werden über veraltete Methoden verschickt. Dabei gibt es inzwischen geeignete Lösungen auf dem Markt, um eine sichere und nachvollziehbare digitale Kommunikation zu gewährleisten, die noch dazu den Datenaustausch deutlich vereinfachen. K rankenhäuser arbeiten täglich mit zahlreichen sensiblen Daten. Patientendaten – und auch die Mitarbeiterdaten – müssen immer wieder mit anderen Abteilungen, aber auch mit externen Parteien, wie Rentenversicherungen, Krankenkassen und Ämtern, geteilt werden. Hier ist ein DS-GVO- und Compliance- konformer Austausch zwingend erforderlich. Nach wie vor kommen dabei überwiegend Faxe, CDs/DVDs und E-Mails zum Einsatz. Doch all diese Methoden haben etwas gemeinsam: Sie sind veraltet, unsicher und machen die Arbeit unﬂexibel. Es wird also eine digitale Lösung benötigt, über die sich einfach, schnell und sicher Informationen austauschen lassen – sowohl intern als auch mit externen Parteien. WORAUF ES BEI EINER DIGITAL-WORKPLACE- LÖSUNG FÜR DEN KLINIKALLTAG ANKOMMT Bei der Auswahl einer passenden Lösung stehen Verantwortliche in Kliniken vor diversen Herausforderungen. Neben den branchen- speziﬁschen und individuellen Bedingungen gilt es, auch die gesetzlichen Anforderungen zu beachten und für ein Höchstmaß an Sicherheit zu sorgen. Grundlegend sollten folgende Fragen bei der Auswahl berücksichtigt werden: Lässt sich das Tool problemlos in die bestehende Infrastruktur einbinden? Ist die Lösung einfach zu bedienen und kann sie ohne Aufwand in den gewohnten Arbeitsprozess integrieren werden, damit die Nutzer nicht aufwendig geschult werden müssen? Ermöglicht das Tool eine unkomplizierte Abwicklung – sowohl mit internen als auch externen Kommunikationspartnern –, ohne dass zusätzliche Tools oder Zertiﬁkate für die Nutzung benötigt werden? Ist eine übergreifende Verwendung im Zuge der „Patientenreise“ problemlos möglich? Lässt sich die Lösung im Alltag auch für den Austausch geschäftskritischer Informationen nutzen? 94 SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - l s b a n e e © l : n o i t a r t s u l l I

129

– ADVERTORIAL – EINFACH, SICHER, NACHVOLLZIEHBAR – QIATA Mit der Digital-Workplace-Lösung Qiata hat der deutsche Lösungsanbieter SECUDOS eine zukunftsfähige Applikation entwickelt, die alle speziﬁschen Anforderungen der Gesundheitsbranche erfüllt. Jegliche Dateitypen oder auch gesamte Ordnerstrukturen lassen sich problemlos per Outlook-Add-in, über den Desktop Client oder die Weboberﬂäche versenden. Anders als beim E-Mail-Versand spielt es dabei keine Rolle, welche Größe die übermittelten Daten haben. Ob in der Buchhaltung, Verwaltung, Rechtsabteilung, im Medizincon- trolling oder in der Geschäftsführung: Qiata lässt sich in der gesamten Einrichtung einsetzen. So sind keine unterschiedlichen Tools erforder- lich, die das tägliche Handling und die Administration erschweren. Und während MRT- und CT-Aufnahmen für eine normale E-Mail deutlich zu groß sind, können sie über Qiata einfach sicher verschickt werden – ob an den Patienten oder den behandelnden Arzt. Auch die Kommunikation mit externen Parteien, wie die Übermittlung von Patientendaten an die Deutsche Rentenversicherung (DRV) oder der Austausch mit Krankenkas- sen, ist problemlos möglich. gen jederzeit Herr über ihre Daten. Informationen jeglicher Art lassen sich auf schnellstem Wege digital übermitteln, ohne dabei die Sicher- heit zu gefährden. Privacy by Default: Qiata bietet von Beginn an alle wichtigen Tools, um einen sicheren Dateiversand zu gewährleisten. Dateiversand gemäß DS-GVO: Dateien sind zu jedem Zeitpunkt verschlüsselt und nicht einsehbar. Data Loss Prevention: Schützen Sie sensible und kritische Dateien vor unbefugtem Zugriff. PINs und Passwörter geben dem Anwender zusätzliche Sicherheit. Protokollierter File-Transfer: Bei Qiata sind alle Vorgänge in einem zentralen Audit-Log protokolliert und einsehbar. Recht auf Vergessenwerden: Deﬁnieren Sie selbst die Aufbewahrungszeit von Dateien und Transfers über den zentralen Archiver. Eingrenzung durch Richtlinien: Dank umfangreicher Richtlinienkonﬁguration haben Sie selbst die Kontrolle über alle Dateien. Datentransfers können ohne oder mit vorheriger Genehmigung versendet werden. n Im TEAMTransfer-Bereich lassen sich dem gesamten zuständigen Ärzteteam – gleichermaßen natürlich in anderen Abteilungen – Informationen zur Verfügung stellen. Für ein klares und eindeutiges Verständnis aller Beteiligten und eine vollständige Nachvollziehbarkeit protokolliert Qiata sämtliche Vorgänge in einem Logbuch (Audit-Log). Auch externe Teilnehmer lassen sich auf diese Weise einfach in den Kommunikationsprozess einbeziehen, ohne dass sie auf zusätzliche Tools angewiesen sind. Möchte ein Arzt seinen Bericht zunächst als Entwurf abspeichern und von zu Hause aus bearbeiten, steht ihm zur Ablage seiner persönlichen Dateien außerdem der PersonalSpace zur Verfügung. So bietet Qiata für Mitarbeiter, Administratoren und auch das Manage- ment eine erhebliche Erleichterung und Zeitersparnis im Arbeitsalltag – und das auf einem einfachen, sicheren und nachvollziehbaren Weg. Mit der in Deutschland entwickelten Lösung bleiben Gesundheitseinrichtun- www.qiata.de/branchen/ www.qiata.de/branchen/ gesundheit-medizin-pharma/ In Kooperation mit SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 95

130

– ADVERTORIAL – Moderne und sichere IT für das Gesundheitswesen DAS KRANKENHAUSZUKUNFTS- GESETZ IST ERST DER ANFANG neue Angriffsflächen. Wie sollte Cybersicherheit wirksam integriert werden? Die Anforderungen an die Sicherstellung der Vertraulich- keit, Verfügbarkeit, Integrität und Authentizität der im Behandlungs prozess genutzten Daten nehmen zu, je mehr die Digitalisierung den Klinikalltag mitbestimmt. Der Patient und auch das behandelnde Personal können zu Recht erwarten, dass die sie betreffenden Daten im Behandlungskontext zur Verfügung stehen und dabei zu jeder Zeit gegen unerlaubte Zugriffe oder Manipulationen ge- schützt sind. Klinikweite Systemausfälle, etwa infolge eines einzigen „digitalen Nadelstichs“ in Form einer mit Malware versehenen E-Mail, müssen und können verhindert werden. Hierbei spielt der Mensch neben der Organisation und dem Technologie- einsatz eine zentrale Rolle im immer komplexer werdenden Gesundheits- wesen. Mit dem IT-Sicherheitsgesetz hat der Gesetzgeber Vorgaben für die Be- treiber sogenannter kritischer Infrastrukturen erlassen, die dem Schutz der dort genutzten Prozesse und Systeme dienen, und einen branchen- speziﬁschen Sicherheitsstandard hierzu herausgegeben (B3S). Im Ergebnis sollen Dienstleistungen, die gesamtgesellschaftliche Relevanz besitzen, besser gegen Ausfälle und Manipulationen abgesichert werden. Versor- gen Krankenhäuser 30.000 oder mehr vollstationäre Patientenfälle im Jahr, fallen sie gemäß der BSI-Kritis-Verordnung (BSI-KritisV) unter die entsprechenden Regelungen des IT-Sicherheitsgesetzes. CONET bietet qualifizierte IT-Dienstleistungen nach den Vorgaben des Krankenhauszukunfts- gesetzes (KHZG) an. SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS . . m o c e b o d a k c o t s - f f o k n e d o r o G © : d l i B 96 Das KHZG bietet Krankenhäusern die Chance, ihre IT auf den neuesten Stand zu bringen und sie mit Cybersecurity-Maßnahmen abzusichern. Durch die Investitionen für Digitalisierung und Cybersecurity in Kranken- häusern soll der Einsatz sicherer Technologien ermöglicht werden. Sie häusern soll der stellen die Verfügbarkeit und den Schutz von Patientendaten und medizi- nischen Geräten und damit den efﬁzienten Behandlungserfolg sicher. Unsere zertiﬁzierten Experten beraten unsere Kunden hinsichtlich der Förderungsmöglichkeiten und unterstützen sie darüber hinaus auch bei der Realisierung und dem Betrieb. Mit umfassenden Leistungen und Lösungen adressiert CONET zentrale Facetten der Digitalisierung, die auch im Gesundheitssektor hohe Relevanz haben: IT-Management-, Architektur- und Prozessberatung Cybersecurity und Data Intelligence SAP Consulting Agile Softwareentwicklung Cloud Computing und Managed Services Das KHZG sieht die Förderung von Maßnahmen zur Verbesserung der digitalen Infrastruktur der Krankenhäuser, Telemedizin, Robotik sowie IT- und Cybersicherheit vor, Letzteres im Umfang von mindestens 15 Prozent der Fördermittel. Proﬁtieren auch Sie von den Möglichkeiten einer gezielten Förderung! n re.conet.de/khzg

131

. m o c e b o d a . k c o t s - o i d u t s 2 a r © Online- Kompaktkurs Datenschutz und Daten- sicherheit bei Digitalen Gesund- heitsanwendungen gem. der neuen DiGA-Verordnung 17. Juni 2021 | 14:00–15:30 Uhr | online Referenten: Jun.-Prof. Dr. Werner Schäfke-Zell, Dipl.-Inf. Marius Post Schwerpunkte: ✓ Besondere Anforderungen an die Rechtsgrundlagen der Verarbeitung ✓ Beschränkungen der möglichen Zwecke der Verarbeitung ✓ Besondere Anforderungen an Einwilligungen ✓ Beschränkungen der Möglichkeiten für die Drittlandübermittlung Jetzt anmelden: www.datakontext.com

133

Im Zuge der fortschreitenden Digitalisierung haben sich zwangsläuﬁg neue Anforderungen an die individuellen IT-Sicherheitskonzepte im Healthcare-Sektor ergeben. Diese gilt es zu erkennen und zu stemmen, denn in dieser Branche geht es buchstäblich um Leben und Tod. Der Wert von Patientendaten wurde erkannt Dass Patientendaten und andere Datensätze in Krankenhäusern vermehrt digital verfügbar sind, ist grundsätzlich eine positiv zu bewertende Entwicklung. Schnellere Bearbeitung, zuverlässige Dokumentation und standortübergreifender Zugriff sind die logischen Effekte. Allerdings bergen genau diese ein erhöhtes Risiko für Cyberangriffe. Komplexe, zielgerichtete Angriffe, wie sogenannte APT-Attacken (Advanced Persistent Threats), gehören zu beliebten Methoden von Cyberkriminellen, die Social Engineering betreiben. Sie verschaffen sich Zugang zu umfassenden Informationen von Einzelpersonen und nutzen diese Details, um mit Phishing, Spooﬁng oder Identitätsdiebstahl ihren „Hackerlohn“ zu verdienen. Doch im Healthcare-Sektor geht es noch weit darüber hinaus. Wenn OP-Rechner oder Blutdruckwerte manipuliert werden, kann es lebensbedrohlich werden. Impfstoff-Forschung im Fadenkreuz Auch die jüngsten Cyberangriffe im Rahmen der COVID-19-Impfstoff- Forschung verdeutlichen die hohe Relevanz von IT-Sicherheit im Gesundheitswesen. Bereits im Herbst 2020 hatten Kaspersky-Experten zwei zielgerichtete Attacken auf ein Gesundheitsministerium und ein Pharmaunternehmen identiﬁziert. In beiden Fällen verfügte die eingesetzte Malware über ähnliche Eigenschaften, darunter auch eine voll funktionsfähige Backdoor, um den Computer des Opfers auf nahezu beliebige Weise fernzusteuern. Dass derartige Angriffe eine riesige Bedrohung für die Impfstoff-Entwicklung bedeuten, wenn sie nicht frühzeitig erkannt und behoben werden, liegt auf der Hand. So steht nicht nur der Schaden an den Systemen im Raum, sondern auch der immaterielle. Reputationsverlust kann die Folge sein, der zu mangelndem Vertrauen und genereller Skepsis dem Unternehmen gegenüber führen kann. IT-Bedrohungen im Gesundheitswesen sind Trends des Jahres So wie die Pandemie viele Dinge verändert und beschleunigt hat, hat auch das Thema IT-Security im Gesundheitswesen an Brisanz gewonnen. Sicherheitsexperten von Kaspersky sagen voraus, dass es in diesem Jahr verstärkt zu Leaks von Patientendaten in der Cloud kommen wird und Gesundheitsorganisationen sowie Impfstoff- und Arzneimittelhersteller zunehmend Cyberangriffen ausgesetzt sein werden. Diese Aussage ist klar als Kampfansage zu verstehen. Krankenhäuser und Kliniken sollten sich – unabhängig von Größe und Patientenvolumen – jetzt um das Upgrade ihrer IT-Sicherheit kümmern. Für alle Skeptiker kommt ein weiterer Schubs in diese Richtung direkt vom Gesetzgeber: Im Zuge des Patientendaten-Schutz-Gesetzes (PDSG) gelten erhöhte Anforderungen an die Informations- und IT-Sicherheit – auch für Krankenhäuser, die aufgrund des Schwellenwertes aktuell nicht als „kritische Infrastruktur“ eingestuft sind. Ab Januar 2022 müssen auch sie nachweisen können