Informationssicherheit
Vom Management bis ins Wohnzimmer
Eine gemeinsame Kommunikationsebene von Informationssicherheits-, Datenschutzbeauftragten und Geschäftsführern lässt sich finden
Am vergangenen Montag stellten sich Vertreter aus Datenschutz, Informationssicherheit sowie der Geschäftsführung aus Kliniken und Gesundheitseinrichtungen aus ganz Deutschland dem Thema: „Management Attention“ und diskutierten über Herausforderungen und Lösungsansätze für das Gesundheitswesen.
Wie finden Verantwortliche für Informationssicherheit und Datenschutz eine gemeinsame Kommunikationsebene mit dem Management Ihrer Einrichtung?
Die Rolle des Informationssicherheitsbeauftragten ist bisher nicht gesetzlich geregelt. Genau das führt dazu, dass Zuständigkeiten und Verantwortlichkeiten nicht eindeutig sind. Häufig sind es IT-Verantwortliche, die sich „nebenbei“ um die Informationssicherheit kümmern sollen. Dies erschwert die Kommunikation sowie die eigene Stellung gegenüber dem Management. Hier muss häufig erst noch das Bewusstsein für die Notwendigkeit von Budget und Ressourcen geschaffen werden, damit ein ausreichendes Informationssicherheitsmanagementsystem implementiert werden kann. In vorbildlichen Fällen, sind aber sowohl ausreichende Management Attention und Budgets vorhanden, wie sich auch in den Diskussionen darstellte.
Cybercrime Potentiale sind noch lange nicht ausgeschöpft
Den Auftakt der Veranstaltung bot Landeshauptkommissar Peter Vahrenhorst von Landeskriminalamt Nordrhein-Westfalen, der in seinem praxisnahen Vortrag auf die aktuellen Herausforderungen der Cyber-Kriminalität einging. Mit einem Schaden von 55 Millionen Euro pro Jahr ist Cyber-Kriminalität eine erhebliche Bedrohung für die deutsche Wirtschaft. „Und bei dieser Zahl handelt es sich nur um die gemeldeten Schäden – die Dunkelziffer ist um einiges höher.“
Darüber hinaus findet die Bedrohung nicht nur im klinischen Alltag statt, sondern betrifft jeden von uns: bis ins eigene Wohnzimmer. Geräteentwicklungen, die unter Begrifflichkeiten wie Internet of Things, smart oder autonomen Fahren entwickelt werden, bieten Kriminellen neue Möglichkeiten und Wege uns anzugreifen. Begonnen von dem Potential private Gespräche abzuhören, bspw. durch die Sprachsteuerung in modernen Fernsehgeräten, bis hin zu dem Verwenden von IT-Schwachstellen in Medizingeräten, ermöglichen es in erheblichem Ausmaß an dem Klinikalltag zu partizipieren und hier nicht nur Patientendaten abzugreifen, sondern auch die Gesundheit bzw. das Leben der Opfer zu gefährden.
Niemand ist sicher
Kliniken, Behörden oder auch Privatpersonen haben eines gemeinsam. Niemand ist vor Hacker-Angriffen sicher. Aktuelle Phänomene, sei es Erpressungssoftware (Ransomware) oder Schadsoftware, die direkt auf dem mobilen Endgerät installiert wird (Mobile Malware), sind nur zwei von einer Vielzahl von existierenden Ausprägungen von Schadsoftware. Darüber hinaus wird Cyber-Kriminalität aber auch zunehmend zu einem immer professioneller werdenden Servicemodell. Hierbei zu nennen sind Denial of Service, Crime as a Service oder Advanced Persistent Threads, die sich zunehmender Beliebtheit erfreuen.
Vahrenhorst machte deutlich, dass das in NRW gegründete Kompetenzcentrum Cybercrime Hilfestellung bietet. Die Experten des Kompetenzzentrums Cybercrime beraten Behörden und Unternehmen bei der Ermittlung gegen Cyber-Kriminelle. Zur Meldung von Vorfällen wurde extra hierzu der Single Point of Contact (SPoC) eingerichtet, der rund um die Uhr an sieben Tagen der Woche erreichbar ist.
„Ein Informationssicherheitsmanagementsystem ist kein IT-System“
Nach dem Einblick des Kriminalhauptkommissars, tauchte Informationssicherheitsberater Jan Domnik von der DATATREE AG in die Organisationsstruktur von Einrichtungen ein und widmete sich den Präventionsmaßnahmen, die Einrichtungen im Gesundheitswesen vornehmen können. „Auch wenn Ihnen motivierte Vertriebler technische Lösungen verkaufen wollen, die angeblich all Ihre Sicherheitsprobleme lösen – Die Thematik ist in der Realität leider etwas komplexer. Denn Informationssicherheit bindet personelle, zeitliche und auch monetäre Ressourcen.“ Der einzige Weg für Einrichtungen sinnvolle Informationssicherheit zu betreiben, ist der Aufbau eines Managementsystems für Informationssicherheit. Ein Managementsystem bezeichnet keine Software. Vielmehr wird hiermit die Bündelung von Ressourcen und Einzelsystemen gemeint, die die Organisation der Informationssicherheit ermöglicht.
Domnik stellte verschiedene Ansätze aus der Praxis dar und verdeutlichte, dass sich Verantwortliche an bewährten Standards, wie beispielsweise der ISO 27001 orientieren sollten. „Wichtig bei der Einführung eines Managementsystems für Informationssicherheit ist und bleibt der Pragmatismus, mit dem solche Ansätze in Unternehmen gebracht werden. Es macht keinen Sinn, wenn Sie sich zu Tode dokumentieren ohne echte Informationssicherheit leben zu können.“ Aus diesem Grund kann es sinnvoll sein, nur die wichtigen Teilaspekte aus den bewährten Standards zu nutzen.
Management Attention – Informationssicherheit ist Führungsaufgabe
Während sich die Geschäftsführung der Unternehmung um unternehmerische Gesamtstrategien beschäftigt sind Verantwortliche der Informationssicherheit häufig eher operative Experten. Dies führt dazu, dass sich beide Parteien kommunikativ auf zwei unterschiedlichen Ebenen befinden und einander nicht das ausreichende Gehör schenken (können). Doch wie schafft der Verantwortliche für Informationssicherheit sich und seine Anliegen so zu präsentieren, dass er Gehör findet? Professor Dr. Thomas Jäschke gab hierzu einige Umsetzungsideen, die gemeinsam im Expertenkreis diskutiert wurden.
Präsentieren Sie sich
Hierzu gehört, dass Verantwortliche sich und Ihre Arbeit regelmäßig vor der Geschäftsführung präsentieren. Risikoanalysen, Handlungsempfehlungen und Arbeitsergebnisse managementgerecht präsentieren. „Nehmen Sie hierzu die strategische Ebene ein“, so der Informationssicherheitsbeauftragte:
„Machen Sie Probleme deutlich“
Probleme können nicht deutlich gemacht werden, wenn Sie auf der Ebene des IT-Experten diskutieren. Machen Sie deshalb Probleme deutlich, indem Sie diese beispielsweise verbildlichen oder Beispiele aus der aktuellen Tagespresse sammeln, um Parallelen zu der eigenen Einrichtung deutlich zu machen.
„Gemeinsam sind Sie stark“
Existiert das Bewusstsein für ein Problem nicht nur bei einer Einzelperson, sondern bei einer Vielzahl von Betroffenen, erhält die Darstellung eines Problems eine stärkere Gewichtung.
Mitglieder der Initiative sind:
- Diakonisches Werk Bethanien e.V.
- Institut für Sicherheit und Datenschutz im Gesundheitswesen
- KIT Services GmbH – Knappschaft Bahn See
- Klinikum Chemnitz gGmbH
- Kliniken Essen – Mitte – Evang. Huyssens-Stiftung/ Knappschaft GmbH
- Krankenhaus-Kommunikations-Centrum
- radprax Gesellschaft für Medizinische Versorgungszentren mbH
- Sana-Kliniken AG
- Serapion
- St. Marien-Krankenhaus Siegen gem. GmbH
