NEUERSCHEINUNG
Druckfrisch erschienen -
jetzt sofort bestellen
Aktuelle News
Weitere News
Vor-Ort-Reportagen
Service
RSS-Feed Aktuelle News
Multimedia
 
  







Veröffentlicht: 24.08.2005

IT-Sicherheit ja – doch wer ist

zuständig?

 
Thorsten Schütz, Abteilungsleiter EDV im Klinikum Itzehoe


 
 

Anna Focks, Senior Director EMEA Sales bei WatchGuard
 




Bernd Behrend, Leiter der Abteilung EDV/Organisation der Kreiskliniken Reutlingen GmbH und stellvertretender Vorsitzender des Bundesverbandes der Krankenhaus-IT-Leiterinnen und -Leiter  (KH-IT)
Die Verantwortung für IT-Security ist ebenso unklar zugeordnet wie die Sicherheitsrichtlinien ausformuliert. So lautet das Fazit der jüngsten WatchGuard-Studie über Sicherheitspolicies in Wirtschaft und Industrie auch hierzulande. Zwar gelten IT-Divisions umsatzstarker Branchen gegenüber der IT in Krankenhäusern als weit voraus. Wie ein Vergleich von Krankenhaus IT Journal Online zeigt, ist der Vorsprung jedoch gar nicht so groß.

Nach einer neuen Studie von WatchGuard Technologies www.watchguard.de gehen die meisten Unternehmen davon aus, dass die Verantwortung für Sicherheit bei den IT-Administratoren (43 Prozent) und weniger bei der Geschäftsleitung (20 Prozent) liegt. Dennoch sind sich die Befragten einig, dass IT-Sicherheit zu den wichtigsten Unternehmensentscheidungen (60 Prozent) zählt, noch vor wirtschaftlichen (40 Prozent) und finanziellen (38 Prozent) Entschlüssen. Auf eine besonders brisante Frage an die rund 300 Geschäftsführer, Abteilungsleiter, sowie Projekt- und IT-Manager in Deutschland und Großbritannien, gibt es keine eindeutige Aussage: Wer ist für die Festlegung der Sicherheitspolicies verantwortlich? Ein Viertel der Befragten sehen die Verantwortung der Sicherheitsrichtlinien beim Chef der IT-Abteilung, 22 Prozent bei den IT-Administratoren und 18 Prozent sehen sie bei der Geschäftsleitung. An dieser unklaren Verantwortungszuweisung liegt es wohl auch, dass die Hälfte der Befragten keine Sicherheitspolicies schriftlich dokumentiert haben. Neun Prozent der befragten Unternehmen haben keine Sicherheitsrichtlinien und haben auch noch nie davon gehört, musste WatchGuard, Anbieter von Internet-Sicherheitslösungen , erfahren.

Ein sehr komplexes Thema   

Wenn Branchen mit gigantischen Umsatzvolumen beim Thema Security ins Schleudern geraten, wie sieht die Sicherheitslage in deutschen Krankenhäusern aus?  „IT-Sicherheit im Krankenhaus ist ein sehr komplexes Thema“, macht Thorsten Schütz deutlich. „Zu den technischen Grundvoraussetzungen wie Netzwerkverfügbarkeit, Ausfallszenarien und Datensicherung gesellen sich Themen wie die Administration von Benutzerkonten und Berechtigungen, der Datenaustausch zwischen Applikationen und viele weitere“, führt der Abteilungsleiter EDV im Klinikum Itzehoe www.kh-itzehoe.de aus.  

Hierfür fehlt es jedoch, so ist bei Branchengesprächen von Krankenhaus IT Journal Online quer durch die Republik zu hören, oftmals an personellen und zeitlichen Ressourcen. „Richtlinien erstellen kostet Zeit, und die ist in den DV-Abteilungen mit knapper Personaldecke und einem Tagesgeschäft, das auf Hochtouren läuft, kaum vorhanden“, offenbart ein DV-Leiter aus Norddeutschland, was seine Kollegen bis zu den Alpen ohne Zögern bestätigen. Seinen Namen möchte die IT-Führungskraft indes lieber nicht veröffentlicht sehen. Auf den ersten Blick machten große Häuser einen besseren Eindruck, ergänzt der auch dort erfahrene Norddeutsche. Sicherheitsrichtlinien seien auf dem Papier tatsächlich vorhanden. Allerdings würden sie oftmals nicht in Konsequenz gehandhabt.  

Einfach strukturierte Referenzmodelle   

„Meines Erachtens benötigen Krankenhäuser für ihre Strukturen konkrete, einfach strukturierte und revisionsfähige Referenzmodelle, die bereits bei der Beschaffung und Einrichtung von IT-Systemen angewendet und dokumentiert werden“, analysiert Bernd Behrend. Nach Ansicht des Leiters Abt. EDV/Organisation der Kreiskliniken Reutlingen GmbH in Reutlingen www.kreiskliniken-reutlingen.de sind bei der Entwicklung insbesondere auch die Hochschulen und Forschungseinrichtungen gefordert, da es bisher nur erste Ansätze hierzu gibt Für viele Branchen legt die WatchGuard-Studie bloß: Themenspezifische Sicherheitsrichtlinien haben Unternehmen hauptsächlich für die Internet-Nutzung (54 Prozent) und den Umgang mit E-Mails (53 Prozent) ausformuliert. Allgemeine Policies, wie beispielsweise zum Verhalten im Notfall oder zur Datenvernichtung, sind kaum schriftlich fixiert. 28 Prozent geben sogar an, dass sie gar keine detaillierten beziehungsweise themenspezifischen Direktiven vorliegen haben.  

Der Leiter IT ist gefordert   

Für Krankenhäuser besitzt die Sicherheits-Thematik wegen des „Unternehmensauftrags“ und der „Kunden“ einen besonderen Umfang. „Daher ist die Geschäftsführung auf die Zuarbeit und das Expertenwissen der hauseigenen Fachleute angewiesen“, meint EDV-Experte Thorsten Schütz. „Der Leiter der IT ist hier gefordert, den Gesamtüberblick in seinem Bereich zu wahren und drohende Gefahren rechtzeitig abzuwenden oder auf diese hinzuweisen.“ Für die Erarbeitung von Vorgaben und Regelungen hat sich daher in Itzehoe eine Arbeitsgruppe aus IT-Leitung, Datenschutzverantwortlichen und repräsentativen Anwendern bewährt. Die verantwortliche Geschäftsleitung kann die Empfehlungen dieser Arbeitsgruppe dann als verbindlich durchzusetzen, geeignete Kontrollmechanismen etablieren und notwendige Investitionsmittel bereitstellen.
 
Deutsche Krankenhäuser sind nicht untätig geblieben, um Defizite auszuräumen und Stellenwert von IT-Security aufzupolieren. So haben sie verschiedentlich Gutachten über IT-sicherheitsrelevante Themen erstellen lassen. „Renommierte Firmen bieten aufwändige Analysen unter dem Titel „Netzwerk-Analyse und Security-Check“ an“, sagt Bernd Behrend in seiner Funktion als stellvertretender Vorsitzender des Bundesverbandes der Krankenhaus-IT-Leiterinnen und –Leiter (KH-IT). „Heraus kommen jedoch abstruse Empfehlungen, wie sie einem unserer Krankenhäuser gegeben wurde: Verwendet keinen dynamischen DHCP“, ist IT-Experte Behrend erbost.  

Umsetzbares Niveau für die IT-Tagesarbeit   

„IT-Sicherheit geht alle Mitarbeiter an, darum sind IT-Policies sehr wichtig und gehören zu jeder guten IT-Strategie“, verkündet WatchGuard-Managerin Focks. Unternehmen sollten Mitarbeiter verständlich über "Dos" and "Don’ts" aufklären, damit Unternehmen gleichermaßen von außen wie von innen geschützt sind. „Da das Thema sehr wichtig ist, sollte es von ganz oben, also von der Chefetage aus, verantwortet werden.

“Diese programmatische Erklärung bringt Bernd Behrend auf ein umsetzbares Niveau für die IT-Tagesarbeit. Als ersten Ansatz empfiehlt er nämlich das BSI-Grundschutzhandbuch. Diese Publikation des Bundesamtes für Sicherheit in der Informationstechnik (BSI) www.bsi.bund.de enthält Standardsicherheitsmaßnahmen, Umsetzungshinweise und Hilfsmittel für zahlreiche IT-Konfigurationen, die typischerweise im heutigen IT-Einsatz anzutreffen sind. Dieses Informationsangebot soll zur zügigen Lösung häufiger Sicherheitsprobleme dienen, die Anhebung des Sicherheitsniveaus von IT-Systemen unterstützen und die Erstellung von IT-Sicherheitskonzepten vereinfachen. Die im IT-Grundschutzhandbuch zusammengestellten Standardsicherheitsmaßnahmen orientieren sich dabei an einem Schutzbedarf, der für die meisten IT-Systeme zutrifft. Anhand des Grundschutzhandbuches ist zwischenzeitlich auch eine Basis für die Zertifizierung nach ISO17799 geschaffen worden.  

Ein IT-Mitarbeiter als Sicherheitsbeauftragter   

In Reutlingen wird an einer BSI-Zertifizierung gearbeitet. Eckwerte der Kreiskliniken Reutlingen GmbH mit Häusern in Reutlingen, Bad Urach und Münsingen: Zentralversorgung, 673 Planbetten. „Im Vorfeld brachte uns das erheblichen Dokumentations- und Strukturierungsaufwand“, gibt Behrend seine Erfahrungen weiter. „Hierfür wurde ein IT-Mitarbeiter zum Sicherheitsbeauftragten ernannt.“ Im Zuge dieses Prozesses strukturierte  die IT der Kreiskliniken Reutlingen die gesamte („in den letzten Jahren erheblich gewachsene“) System-Dokumentation neu. Was manchmal in Wirtschaftszweigen, denen allgemein ein großer IT-Vorsprung zugebilligt wird, nicht immer rund läuft, ist in der Abteilung von Reutlingens IT-Chef Behrend bereits Usus: „Die Sicherheitsrichtlinien werden so weit wie möglich mit im zentralen IT-Help Desk dokumentiert.“  

IT-Security-Policy muss von allen gelebt werden
 
Den Bogen zur Sicherheitspolicy schlägt der Abteilungsleiter EDV im Klinikum Itzehoe. „Die Geschäftsführung kann ihre Verantwortung für das Sicherheitsniveau im Unternehmen außer durch Kontrolle, Bereitstellung finanzieller Mittel und Vorgabe von Restriktionen zusätzlich durch Schulungsmaßnahmen für die Mitarbeiter unterstreichen und hiermit helfen, im Betrieb das Bewusstsein für Sicherheit zu schärfen, denn häufiger als Vorsatz ist oft Unkenntnis die Ursache entstehender Risiken.“ Während die meisten Unternehmen nach der WatchGuard-Studie den Stellenwert von IT-Security zwar erkannt hätten, trügen die Verantwortung fälschlicherweise immer noch allein Spezialisten wie der IT-Administrator. „Das heißt, IT-Sicherheit ist immer noch keine Chef-Sache, obwohl es um sehr viel Geld geht, wenn Daten nicht richtig geschützt werden“, erklärt Anna Focks, Senior Director EMEA Sales, WatchGuard. Doch Thorsten Schütz greift den roten Faden zum brisanten Thema  IT-Security-Policy auf und erklärt: „Die Verantwortung bleibt letztendlich bei der Geschäftsleitung, gelebt werden muss diese aber durch die gesamte Mitarbeiterschaft.“      

Ihr Know-how ist gefragt - Teilen Sie Ihr Wissen!
 
- Wie haben Sie das Thema „IT-Sicherheit, Sicherheitsrichtlinien und Ressourcen“ in den Griff bekommen?
- Welches besondere Problem haben Sie dabei mit Bravour gelöst?
- Wie lauten Ihre Empfehlungen zum Thema „Sicherheit“

Lassen Sie es Ihre Kollegen wissen – mailen Sie Ihre Erfahrungen an die Krankenhaus IT Journal Redaktion antares@medizin-edv.de !      

von Wolf Dietrich Lorenz


Weitere KH-IT Online-Ausgaben
Medienpartner


 

Drucker geeignete Seite Sende diesen Artikel einem Freund


Aktuelle Ausgabe


Diese Webseite verwendet Cookies. Näheres finden Sie in unserer Datenschutzerklärung.