European Cyber Security Month sensibilisiert für mehr IT-Sicherheit
Wie wichtig die IT-Sicherheit gerade im Gesundheitswesen ist, haben die jüngsten Schlagzeilen über ungeschützte, im Internet offen zugängliche Server mit sensiblen Medizindaten gezeigt. Es müssen also nicht immer gleich kriminelle Hackerangriffe sein. Oft sind es auch nur unachtsame Mitarbeiter, durch die Sicherheitslücken entstehen. Der im Oktober stattfindende European Cyber Security Month setzt genau da an und möchte ein Bewusstsein für mehr Sicherheit im Cyberraum schaffen.
In Deutschland koordiniert das Bundesamt für Informationssicherheit (BSI) den ECSM. Auf der Webseite sind unter anderem verschiedenste Angebote zum Thema Cybersecurity gesammelt aufgeführt. Ergänzend haben wir Ihnen in diesem Beitrag einige Empfehlungen zusammengestellt, die Sie dabei unterstützen Ihre IT-Sicherheit zu verbessern.
ALLIANZ FÜR CYBER-SICHERHEIT
Ein interessantes Angebot des BSI ist die Allianz für Cyber-Sicherheit, die gemeinsam mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (bitkom) initiiert wurde. Das Netzwerk zählt aktuell 3870 Unternehmen und Institutionen verschiedenster Größen und Branchen. Auch viele Krankenhäuser haben sich der Allianz für Cyber-Sicherheit angeschlossen, um von einem gegenseitigen Austausch von IT-Expertise und Anwendungserfahrungen zu profitieren.
STARTHILFE FÜR DAS IT-NOTFALLMANAGEMENT
Ein aktuelles Angebot der Allianz für Cyber-Sicherheit ist die IT-Notfallkarte für den Fall der Fälle. Ergänzt wird sie um einen ausführlichen Maßnahmenkatalog und die TOP 12 Maßnahmen bei Cyber-Angriffen. Laut einer 2017 veröffentlichten Bitkom-Studie „Wirtschaftsschutz in der digitalen Welt“ sind mehr als die Hälfte der Unternehmen in Deutschland (53 %) in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Hierdurch ist ein Schaden von rund 55 Milliarden Euro im Jahr entstanden. Das macht deutlich, wie wichtig auch das Risiko- und Notfallmanagement ist, um im Ernstfall schnell und richtig zu reagieren.
WEBINAR: CYBERCRIME IN DER GESUNDHEITSBRANCHE
Der erste Schritt ist aber ganz klar die Vermeidung von Sicherheitsrisiken. Dazu soll auch das Webinar der NEXUS-Tochter ifa systems AG beitragen. Kriminalhauptkommissar Dirk Beerhenke, Polizei Köln, Kriminalprävention-Cybercrime wird am 10.10.2019 live um 13 Uhr direkt aus der Praxis berichten. Worauf müssen Sie achten, wie können Sie sich schützen und wie verhalten Sie sich bei einem Schadensfall? Eine gute Gelegenheit sich Schwachstellen vor Augen zu führen, um diese zukünftig zu verhindern. Die Anmeldung erfolgt über die ifa systems AG.
B3S: BRANCHENSPEZIFISCHER SICHERHEITSSTANDARD
Aktuelle Informationen und Sensibilisierung von Mitarbeitern können einen wichtigen Beitrag zu mehr allgemeiner Cyber Security leisten. Doch Gesundheitseinrichtungen haben aufgrund des Umgangs mit sensiblen Patientendaten besonders hohe Anforderungen an die IT-Sicherheit. Betreiber „kritischer Infrastrukturen“ (KRITIS), dazu zählen Kliniken mit mehr als 30.000 stationären Fällen pro Jahr, sind laut IT-Sicherheitsgesetz dazu verpflichtet, sich gegen Cyberattacken und Systemausfälle besonders zu schützen und dies gegenüber dem BSI auch nachzuweisen. Die Deutsche Krankenhausgesellschaft (DKG) hat dazu einen branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus vorgelegt, der Klinikbetreibern als Leitfaden dienen kann. Den aktuellen Entwurf gibt es auf der Webseite der DKG zum Download.
LEITFADEN: IT-SICHERHEITSKONZEPT
Eine Starthilfe mit gutem Praxisbezug bietet der "Leitfaden für die Erstellung von IT-Sicherheitskonzepten im Gesundheitswesen", den die ZTG Zentrum für Telematik und Telemedizin GmbH (ZTG) gemeinsam mit Arbeitsgruppen des bvitg und der GMDS erstellt hat. «Der Leitfaden bietet einen Einstieg in ein Vorgehen, die IT-Sicherheit der eigenen Einrichtung systematisch aufzubauen. Der Leitfaden beantwortet Fragen wie: „Was soll ein IT-Sicherheitskonzept bewirken? Was gehört in ein IT-Sicherheitskonzept? Wie kann die IT-Sicherheit auf die eigene Einrichtung passend zugeschnitten werden? Wie und nach welchen Kriterien sollen wesentliche technische und organisatorische Maßnahmen gruppiert und beschrieben werden?“, erläutert Eric Wichterich, Leiter für Telematikdienste, Datenschutz und IT-Sicherheit bei der ZTG GmbH, im Interview im MARABU / MAGAZIN.
LEITFADEN: RISIKOANALYSE
Krankenhaus-ITSpeziell für die Risikoanalyse wurde im Auftrag des BSI der Leitfaden "Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus IT" erarbeitet, mit dem sich Verantwortliche dem Thema Schritt für Schritt nähern können. Die Vorgehensweise ist allgemein anwendbar und kann in bestehende Informationssicherheits- und Notfallmanagementsysteme integriert werden.
LEITFADEN: DATENSCHUTZ-FOLGENABSCHÄTZUNG
IT-Sicherheit beinhaltet immer auch den Schutz personenbezogener Daten. Gemäß EU-DSGVO müssen mögliche Risiken für die betroffenen Personen durch geeignete Abhilfemaßnahmen eingedämmt werden. Eine Datenschutz-Folgenabschätzung stellt ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten dar. Hilfe bei der Erstellung finden Verantwortliche im Leitfaden "Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO", der vom bvitg zusammen mit GMDS und DKG erarbeitet wurde.
MESSE: IT-SICHERHEIT
Passend zum European Cyber Security Month findet im Oktober Europas führende Fachmesse für IT-Sicherheit mit gut 15.000 Fachbesuchern in Nürnberg statt. Neben dem Ausstellungsbereich bietet die Messe it-sa Expertenvorträge zu aktuellen Sicherheitsthemen aus den Bereichen Technik und Management.
Die Bedeutung von Cyber Security wächst, kann sie doch im Krankenhaus mit zunehmender Digitalisierung und Vernetzung von Medizingeräten überlebenswichtig sein. IT-Sicherheit wird zum Wettbewerbsfaktor und sollte zur Chefsache erklärt werden!