Die TOP 5 IT-Sicherheitsrisiken im Krankenhaus

Natürlich kann (und muss) man über die Bewertung von Risiken diskutieren, schließlich handelt es bei Risiken um Ereignisse in der Zukunft, die eintreten können, aber nicht müssen.

Folglich kann es unterschiedliche Meinungen und Einschätzungen geben, die sich alle mehr oder weniger gut begründen lassen. Auch greifen statistische Methoden zu kurz, da es sich oft – wie zum Beispiel im Fall Schuhmacher – um singuläre Ereignisse handelt.

Dennoch halten wir es für sinnvoll, die nach unserer Einschätzung wichtigsten IT-Sicherheitsrisiken zu benennen und zur Diskussion zu stellen.

(c) 2014 Dahamoo GmbH

(c) 2014 Dahamoo GmbH – Die TOP 5 Risiken einer Klinik

Dabei ist es wichtig zu verstehen, dass das traditionelle Sicherheitsmodell einer Klinik– bildlich gesprochen – dem einer Burg entspricht. Wer „drinnen“ ist, sprich Ärzte, Pflege- und Verwaltungspersonal, dem wird vertraut bzw. der wird durch Vorschriften und Gesetze gebunden, während alle anderen „draussen“ bleiben müssen. Dadurch kann intern ein offener Umgang gepflegt werden, was das Gemeinschaftsgefühl stärkt und Arbeitsprozesse in der Regel beschleunigt.

Die Sicherheit wird in erster Linie durch physikalische Mechanismen erreicht, wie zum Beispiel besondere Arbeitskleidung, die eine optische Unterscheidung zwischen Berechtigten und Unberechtigten erlaubt, oder das Wegschliessen von Patienten(papier)akten.

Dieses Modell stiess bereits in der Vergangenheit an seine Grenzen, wenn man in hilfsbedürftigen Patienten, die sich frei in einer Klinik bewegen dürfen, potentielle Angreifer sehen mochte. In jedem Fall liegen in diesem räumlichen Sicherheitsmodell mit seinen physikalischen Schutzmechanismen gleichzeitig die Schwachstellen der digitalen Sicherheit begründet, denn diese Mechanismen greifen nicht in folgenden Fällen:

a. Bei mobilem Arbeiten des Personals mit Smartphones, Tablets und Laptops ausserhalb des geschützten Klinikbereichs

b. Bei der Vernetzung mit anderen, räumlich getrennten „Einheiten“ (Geschäftspartner, Lieferanten, Zweckverbände, Labore etc.)

c. Bei der Personalisierung von Kennungen – im traditionellen Modell genügte die erkennbare Zugehörigkeit zu einer Gruppe (Ärtze, Pfleger etc.)

d. Bei der Zusammenführung aller Daten über alle Patienten, z.B. im Medizincontrolling/Data Warehouse – im traditionellen Modell konnten solche Aktenberge erst garnicht zusammengestellt werden

e. Bei der IT-Steuerung der Medizingeräte, die unter der Maßgabe „gesichert“ sind, man betreibe sie standalone bzw. in einer absolut vertrauenswürdigen Umgebung.

Somit ergeben sich aus diesen Überlegungen die folgenden Top 5 Risiken für die IT-Sicherheit, die sich auch mit unseren Beobachtungen aus der Praxis decken:

  • Top 1 Sicherheitsrisiko: Mobile Endgeräte, d.h. Tablets, Smartphones, Laptops
  • Top 2 Sicherheitsrisiko: Schnittstellen nach Aussen
  • Top 3 Sicherheitsrisiko: Benutzerkennungen und Berechtigungen
  • Top 4 Sicherheitsrisiko: Datensammlungen (Data Warehouse)
  • Top 5 Sicherheitsrisiko: Vernetzung von Medizingeräten

Folglich empfehlen wir diese Punkte als erstes anzugehen. In den folgenden Blog-Beiträgen werden wir diese 5 Themen näher beleuchten.

Tags: .
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.