{"id":27807,"date":"2025-02-19T10:36:37","date_gmt":"2025-02-19T10:36:37","guid":{"rendered":"https:\/\/cybercompare.com\/?p=27807"},"modified":"2025-03-24T08:54:28","modified_gmt":"2025-03-24T08:54:28","slug":"advens-der-richtige-it-security-provider-im-gesundheitsbereich","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/advens-der-richtige-it-security-provider-im-gesundheitsbereich\/","title":{"rendered":"Der richtige IT-Security-Provider im Gesundheitsbereich \u2013 eine wegweisende Entscheidung"},"content":{"rendered":"\n

\u201eDaten sind f\u00fcr Unternehmen wie Kinder f\u00fcr Eltern: Das wichtigste und sch\u00fctzenswerteste Gut.\u201d<\/em><\/p>\n\n

Diese Aussage w\u00e4hrend einer Datenschutz-Schulung im Jahr 2023 hat nachhaltig Eindruck hinterlassen. Denn sie bringt in wenigen Worten auf den Punkt, was oft in mehrseitigen Power-Point-Pr\u00e4sentationen, Whitepapers oder Brosch\u00fcren zu vermitteln versucht wird.<\/p>\n\n

Im Gesundheitsbereich k\u00f6nnte man die Unternehmen aus dem Eingangssatz durch Krankenh\u00e4user oder Pflegeeinrichtungen ersetzen \u2013 auch wenn man nat\u00fcrlich dar\u00fcber diskutieren kann, ob nicht Patienten sch\u00fctzenswerter als Daten sind. Selbstverst\u00e4ndlich w\u00fcrde die Antwort hier \u201eja\u201c lauten. Trotzdem: Vor etwa 20 Jahren w\u00e4re die Eingangsthese vermutlich noch bel\u00e4chelt worden. In der digitalen Welt von 2024 sieht das nun grundlegend anders aus. Physische Einbr\u00fcche in Unternehmen, um Produkte zu stehlen, finden seltener statt, da sich dies digital viel einfacher umsetzen l\u00e4sst. So k\u00f6nnen Bau- und Produktionspl\u00e4ne gestohlen werden, und nebenbei finden sich wom\u00f6glich auch noch Strategiepapiere f\u00fcr die Zukunft, Blaupausen f\u00fcr neue Produkte oder Erfindungen und weitere interessante Dokumente wie interne Bilanzen, Namen von Mitarbeitenden oder Daten von Kunden, die besonders sch\u00fctzenswert sind. Letzteres kann bei Verlust auch einen Versto\u00df gegen die DSGVO bedeuten und zus\u00e4tzlich neben Reputationseinbu\u00dfen ein hohes Bu\u00dfgeld nach sich ziehen (Art. 83, Abs. 5 DSGVO<\/a><\/span>).<\/p>\n\n

Zahl der Angriffe auf Kliniken nimmt zu<\/h3>\n\n

Vor diesem Hintergrund ist die Digitalisierung im Gesundheitsbereich Segen und Fluch zugleich. Viele Prozesse k\u00f6nnen durch die Einf\u00fchrung von IT vereinfacht werden: Von der Patientenverwaltung \u00fcber die Auswertung verschiedenster Behandlungsdaten, die Vernetzung von Medizinger\u00e4ten bis hin zur Forschung sowie dem Austausch von Informationen mit anderen Einrichtungen erleichtern IT-Systeme den Ablauf im Alltag. Auf der anderen Seite \u00f6ffnen sie T\u00fcr und Tor f\u00fcr Angreifer, die dies immer \u00f6fter ausnutzen.<\/p>\n\n

F\u00fcr Krankenh\u00e4user und andere medizinische Einrichtungen, bei denen der Ausfall von ITSystemen potenziell Menschenleben gef\u00e4hrden kann, gibt es in vielen organisierten Angreifergruppen einen ungeschriebenen \u201eCode of Conduct\u201c, der solche Ziele von Angriffen ausnehmen soll (ja, auch Ransomware-Gruppen haben einen Rest von Moral). Allerdings h\u00e4lt sich nicht jedes Mitglied dieser Gruppen daran, was eine steigende Zahl von Attacken auf Krankenh\u00e4user in den letzten Jahren best\u00e4tigt (unter anderem Uniklinikum D\u00fcsseldorf 2020, Klinikum Bremen 2023, Uniklinikum Frankfurt 2023, Krankenhaus Esslingen 2023, CaritasKlinik Dominikus 2024 oder Bezirkskliniken Ansbach 2024). In fast jedem Fall mussten sich die betroffenen Kliniken von der Notfallversorgung abmelden, auf internen (analogen) Notbetrieb umstellen und teilweise Patienten in andere Einrichtungen verlegen lassen.<\/p>\n\n

Schutzziele und Anforderungen an Cybersicherheit von Kliniken<\/h3>\n\n

Neben den klassischen Schutzzielen Vertraulichkeit, Verf\u00fcgbarkeit, Integrit\u00e4t sowie Authentizit\u00e4t gelten f\u00fcr Gesundheitseinrichtungen selbstverst\u00e4ndlich auch die Anforderungen aus der DSGVO, genauer die Gew\u00e4hrleistungsziele des Standard-Datenschutzmodells: Datenminimierung, Verf\u00fcgbarkeit, Integrit\u00e4t, Vertraulichkeit, Nichtverkettung, Transparenz sowie Intervenierbarkeit.<\/p>\n\n

F\u00fcr Krankenh\u00e4user mit mehr als 30.000 vollstation\u00e4ren Behandlungsf\u00e4llen pro Jahr gelten zus\u00e4tzlich die Anforderungen f\u00fcr kritische Infrastrukturen nach dem BSI-Gesetz (siehe \u00a7\u00a72 Abs. 10, 10 Abs. 1 BSIG i.V.m. \u00a76, Abs. 4 BSI-KritisV).<\/p>\n\n

Daraus ergibt sich die Verpflichtung zur Einf\u00fchrung und Umsetzung angemessener organisatorischer und technischer Vorkehrungen (OTV) gem. \u00a78a BSIG, die wiederum dem \u201eStand der Technik\u201c entsprechen m\u00fcssen. Dieser kann durch die Definition sogenannter \u201ebranchenspezifischer Sicherheitsstandards\u201c (B3S) konkretisiert werden, was f\u00fcr Krankenh\u00e4user im B3S \u201eMedizinische Versorgung\u201c bereits umgesetzt wurde (aktuelle Version bei Erscheinen dieses Artikels: 1.2 vom 10.01.2023). Darin wird in Kapitel 2 explizit erw\u00e4hnt, dass es aufgrund der heterogenen Systemlandschaft in Krankenh\u00e4usern noch keinen allgemein anerkannten Stand der Technik gibt, woraus wiederum der Bedarf einer individuellen Betrachtung resultiert.<\/p>\n\n

Seit Mai 2023 gilt zudem f\u00fcr alle Betreiber kritischer Infrastrukturen die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung (SzA), die automatisiert Daten aus dem laufenden Betrieb auswerten und potenzielle Bedrohungen erkennen k\u00f6nnen m\u00fcssen (weiterf\u00fchrende Informationen hier<\/span><\/a>). \n \nHinzu kommen weitere Anforderungen aus aktuellen und zuk\u00fcnftigen Regularien wie der CER-Richtlinie, dem Cyber Resilience Act (CRA) oder der NIS2-Richtlinie, die allesamt eine Reihe an Nachweis- und Auditierungspflichten mit sich bringen.<\/p>\n\n

Die Gretchenfrage \u2013 Make or buy?<\/h3>\n\n

Die oben erw\u00e4hnte und auch in der B3S herausgehobene Heterogenit\u00e4t von IT-Systemen in Krankenh\u00e4usern in Verbindung mit der \u2013 im Vergleich zu Industrieunternehmen bisher relativ geringen \u2013 Relevanz von IT-Sicherheitsma\u00dfnahmen d\u00fcrfte einer der Hauptgr\u00fcnde daf\u00fcr sein, dass Gesundheitseinrichtungen vermehrt zum Ziel von Angriffen werden. Vereinfacht gesagt sind die Systeme so anf\u00e4llig und vergleichsweise einfach zu kompromittieren, dass Angreifergruppen diese \u201elow hanging fruits\u201c trotz ethisch-moralischer Bedenken einsammeln.<\/p>\n\n

Nun stellt sich die Frage, ob Gesundheitseinrichtungen dieser Herausforderung allein begegnen sollten, oder ob sie \u00fcberhaupt in der Lage dazu sind. Anhand der gezeigten (bei Weitem nicht vollst\u00e4ndigen) Anforderungen und Regularien lautet die Antwort in den meisten F\u00e4llen \u201enein\u201c. Und oft beginnt damit die Suche und Auswahl eines Dienstleisters, der in der Lage ist, kompetent und effizient bei der Umsetzung zu unterst\u00fctzen.<\/p>\n\n

Hier schlie\u00dft sich nun der Kreis zum Eingangszitat: Wenn Daten f\u00fcr Unternehmen und andere Einrichtungen so sch\u00fctzenswert wie Kinder f\u00fcr Eltern sind, dann entspricht das Auslagern der IT-Sicherheit zum Schutz der Daten an Dienstleister sozusagen der Betreuung von Kindern in Kindertageseinrichtungen. Dabei gibt es \u2013 speziell beim ersten Kind \u2013 zu Beginn viele Vorbehalte und Sorgen. Schlie\u00dflich gibt man die Verantwortung f\u00fcr das Kind in fremde H\u00e4nde, ohne zu wissen, was dort genau vor sich geht. Diese Bedenken m\u00fcssen ausger\u00e4umt oder zumindest minimiert werden, sodass man das Kind guten Gewissens in die Betreuung gibt.<\/p>\n\n

\u00c4hnlich verh\u00e4lt es sich bei Security-Dienstleistern, denen man die Betreuung und den Schutz der eigenen Daten und die der Patienten anvertraut. Zu einem gewissen Ausma\u00df wird die Souver\u00e4nit\u00e4t und damit auch die Hoheit \u00fcber Integrit\u00e4t und Vertraulichkeit der eigenen Daten aufgegeben. Man kann hier nat\u00fcrlich eine einfache Entscheidung treffen, sich auf Referenzen und Namen verlassen und nach dem Motto \u201edie wissen schon, was sie tun\u201d einen Anbieter w\u00e4hlen. Nicht selten bekommt dann der g\u00fcnstigste den Zuschlag.<\/p>\n\n

Die aufw\u00e4ndigere \u2013 daf\u00fcr aber nachhaltigere \u2013 Alternative ist es, die verschiedenen Anbieter intensiv zu pr\u00fcfen, Gespr\u00e4che \u00fcber Sicherheits- und Monitoringkonzepte zu f\u00fchren, Vision und Menschen hinter dem Firmenlogo kennenzulernen und eine vertrauensvolle Basis aufzubauen. Als Ergebnis wird auf diese Weise nicht der erstbeste Anbieter gew\u00e4hlt, sondern ein Partner, dem man den Schutz seiner Daten guten Gewissens anvertrauen kann: ein Trusted Advisor.<\/p>\n\n

Auf den ersten Blick naheliegende Parameter bei der Bewertung eines Dienstleisters k\u00f6nnen sein:<\/p>\n\n