Informationssicherheit im Krankenhaus: Beiläufige Schwachpunkte
25.04.2012 -
Informationssicherheit ist mehr als Virenschutz und Backup. Oft sind sich die Anwender der IT gar nicht aller Gefahren bewusst.
Gespräche mit IT-Verantwortlichen in Krankenhäusern und Pflegeeinrichtungen bestätigen immer wieder, dass das Bewusstsein für den Schutz der Informationen und der Informationstechnik in den meisten Häusern recht hoch ist. Dennoch treten in den Unterhaltungen oft beiläufig, Schwachpunkte zutage. Am auffälligsten ist dabei, dass unter Sicherheit zumeist nur der eigentliche Datenschutz im Sinne der personenbezogenen Daten und deren vertrauliche Behandlung gemeint sind. Dazu gehört natürlich auch der Schutz der IT gegen Viren und andere Malware. Kommt dann noch das Backup zur Sprache, sind die Maßnahmen für die Sicherheit der IT oft umfassend beschrieben.
Datensicherheit sollte eigentlich als Informationssicherheit verstanden werden. Doch schon beim Schutz gegen Viren gibt es teilweise erhebliche Unterschiede zwischen den Häusern. Verlassen sich die einen auf die Funktionsfähigkeit der eingesetzten Virenschutz- und Firewallsoftware, so verfolgen andere eine detaillierte Datenschutz-Politik, die auch Mitarbeiterschulung, das logische und physische Verbot von USB-Speichersticks und auch eine Zugangskontrolle einschließt.
Vorbildliche Unternehmen haben außerdem eine mehrstufige Datensicherung etabliert, wobei sich Disk-to-Disk-to-Tape (kurz D2D2T) bewährt hat. Das entlastet beispielsweise das Netzwerk, weil die Datensicherung in verteilten Umgebungen immer auch „irgendwie über die Verkabelung muss". Das verkürzt auch die Zeitfenster für das Backup, weil die Datensicherung nicht mehr auf Zeiten mit schwacher Auslastung gelegt werden muss. Ohnehin gibt es die in vielen Krankenhäusern nicht, denn die Patienten sind nachts genauso krank wie tags.
Gefährdungspotential
Im Weiteren können sich Krankenhäuser Gedanken machen, wie sich der Einsatz von Tablet-PCs aus der Perspektive der Datensicherheit gestalten lässt. Anders als vielleicht in der Industrie sollten hier strenge Auflagen erteilt werden, was heißt, dass iPads und „deren Kollegen" das Krankenhaus nicht verlassen dürfen. Auf den Einsatz von nicht autorisierten Endgeräten bis hin zum Handy sollte hingegen im Krankenhausalltag komplett verzichtet werden, auch wenn in anderen Branchen gerade die „Consumerization" der IT und Konzepte wie „Bring-your-Device" durchzelebriert werden.
Gerade bei nicht autorisierter Hardware (und das reicht bis zum USB-Speicherstick, mit dem „mal eben" eine Datei von einer Station zur anderen gebracht werden kann) sind alle Sicherheitsmaßnahmen in kürzester Zeit obsolet. Da vielfach mit Standard-Windows-PCs gearbeitet wird, ist es leicht, eine Datei auf einen anderen Datenträger zu kopieren, und diese Vorgänge sind praktisch nicht kontrollierbar. (Einziger Schutz gegen das Turnschuh-Netzwerk per USB-Stick ist übrigens das Sperren der USB-Steckplätze an den Stations-PCs.)
Ein weiterer Aspekt sind die Benutzer-Rollen mit ihren jeweiligen Berechtigungen. Hier werden in vielen Krankenhäusern mitgelieferte Fähigkeiten der Betriebssystemumgebung nicht ausgeschöpft, und die Stationsschwester ist dann schon einmal Administrator des PCs. Bei aller Übertragung von Kompetenz und Eigenverantwortung auf die Mitarbeiter ist es überhaupt nicht erforderlich, dass sich Ärzte, Schwestern oder Pflegekräfte standardmäßig auf Administrator-Level anmelden. Das Rechte-Management findet oft erst innerhalb der krankenhausspezifischen Applikationen statt. Aus IT-Schutz-Aspekten heraus kann es dann aber schon zu spät sein.
Leider kämpfen die IT-Leiter hier auch an verschiedenen Fronten. Neben der Mitarbeiterschulung müssen sie oft auch das Verständnis und Vertrauen der Verwaltung gewinnen. Auch wenn hier in den letzten Jahren ein Wandel erkennbar ist, bleiben doch vielfach Hürden. Oft bestehen diese nur darin, dass außerhalb der IT-Abteilung überhaupt erst einmal das Verständnis für IT-Sicherheit geschaffen werden muss. Kaffee über die Tastatur geschüttet, ist da wirklich eine Bagatelle.
Sieben Schritte zur Informationssicherheit
Schritt 1: Voraussetzung für Informationssicherheit ist das Bewusstsein für die IT als wichtiger Faktor für den Erfolg eines Krankenhauses auf der wirtschaftlichen Seite. Deswegen sind Schulungen und Lehrgänge, die sich spezifisch mit Informationssicherheit beschäftigen, eine Voraussetzung, um Ärzte, Pflegepersonal, Verwaltung und IT auf einen Nenner zu bringen.
Schritt 2: Mit diesem Verständnis - möglicherweise erst mit diesem Verständnis - werden die Mitarbeiter dann an einer Bestandsaufnahme für die IT und die Informationssicherheit mitwirken. Die Bestandsaufnahme wird Schwachstellen aufdecken: von handschriftlich notierten Passwörtern und falsch verteilten Benutzerrollen bis hin zu nicht restaurierbaren Backups.
Schritt 3: Alle Benutzer der IT erhalten eigene Benutzernamen und Passwörter. Die Benutzerkonten entsprechen Rollen, und jede Rolle ist mit bestimmten Rechten ausgestattet. Das Verständnis für rollenbasierende Benutzerberechtigungen auf der IT wurde im ersten Schritt geschaffen.
Schritt 4: Alle technischen Mittel werden ausgeschöpft, vom Virenscanner über die Firewall, von Zugangskontrollen über das Sperren von USB-Ports bis zur verschlüsselten Übertragung.
Schritt 5: RAID-Technologien und Virtualisierung bieten einen erweiterten Schutz gegen technische Defekte, bleiben jedoch vom Grundverständnis her auf den Schutz gegen Hardware-Ausfälle beschränkt. In den technischen Maßnahmen werden deshalb auch Verfahren betrachtet, die einen Schutz gegen logische Fehler (Benutzerfehler) bieten.
Schritt 6: Die Lösungen für Backup und Restore überprüfen. Wann wurde das letzte funktionsfähige Restore durchgeführt. Ein regelmäßiger, organisatorisch vorbereiteter „Abschalt-Tag" kann viele Schwachstellen in der IT besonders beim Wiederanlauf der IT abdecken. Das gilt für die Schnittstellen zu den medizinischen Systemen.
Schritt 7: Bei der Datensicherung werden Backup und Restore auf logische Fehler ausgeweitet und schrittweise zu einer Desaster-Recovery-Lösung ausgebaut.
Das Ziel dieser Schritte wird ein Wiederherstellungsplan sein, der viele Formen von Datenverlusten vom simplen Hardware-Ausfall über menschliche Fehler bis hin zu Katastrophen berücksichtigt.