In der heutigen Welt sind Cybersicherheitsvorfälle dem Allianz Risk Barometer zufolge das größte Risiko für Unternehmen. Das gilt auch für Krankenhäuser. Doch wie gut sind sie aufgestellt – und wie gut gelingt der Brückenschlag zwischen IT-Sicherheit, effizienten Arbeitsabläufen und besserer Behandlung? Das hat Cisco im Healthcare Report der weltweiten Security Outcomes Study 2021 untersucht, für den 281 Teilnehmer aus dem Gesundheitswesen befragt wurden.
Die Studie belegt das, was wir hierzulande täglich erleben: Kliniken sehen sich bei der Einhaltung von Compliance-Vorschriften und Sicherheitsvorgaben besser aufgestellt als andere Branchen. Zudem hat das Management im Gesundheitswesen ein hohes Verständnis für die Dringlichkeit von Cybersicherheit. Die Vorfälle in großen Kliniken und die KRITIS-Vorgaben haben hier ihre Wirkung gezeigt. Es wächst die Erkenntnis, dass die Anzahl der Cybersicherheitsvorfälle steigt, obwohl immer mehr Geld in IT-Sicherheit investiert wird. Etablierte Fähigkeiten bieten jedoch nicht ausreichend Schutz und sind meist zu träge, um unerwünschte Vorfälle rechtzeitig zu erkennen.
Gerade kleine und mittelgroße Kliniken haben darüber hinaus Probleme, Cyberattacken zu erkennen und schnell darauf zu reagieren. Überraschenderweise schätzen die Befragten ihre Schutzfähigkeiten dennoch als hoch ein. Doch wenn sie Angriffe nicht oder zu spät bemerken, wiegen sie sich in einer trügerischen Sicherheit.
Diese Schwächen hat auch die Politik erkannt. Denn das Patientendatenschutzgesetz und das IT-Sicherheitsgesetz 2.0 sollen explizit dazu führen, dass in allen 2.000 Krankenhäusern in Deutschland die Erkennungs- und Reaktionsfähigkeiten gestärkt werden. Das Krankenhauszukunftsgesetz sorgt für die Mittel dafür – regelt aber auch explizit, dass mindestens 15 Prozent jeder Förderung in IT-Sicherheit fließen müssen.
Die 3 Grundprinzipien der Cybersicherheit im Krankenhaus
Höhere Sicherheit sowie effizientere Prozesse und innovative Behandlungsmethoden sind keine Gegensätze, sondern zwei Seiten derselben Medaille. Um sie besser in Einklang zu bringen, sollten Krankenhäuser drei Grundprinzipien beachten:
- Kontinuierliches Cyber-Risikomanagement
Krankenhäuser müssen ihre meist Compliance-fokussierte IT-Sicherheit zu einem kontinuierlichen Risikomanagement weiterentwickeln. Denn nur wer Risiken kennt und erkennt, kann sie einschätzen und minimieren.
- Automatisierung schafft Handlungsspielräume
Der Mangel an IT-Security-Spezialisten trifft Krankenhäuser noch härter als andere – denn andere Branchen sind oft attraktiver. Umso wichtiger sind effiziente Abläufe und Technologien, die unternehmensweit unerwünschte Vorfälle zeitnah erkennen und entschärfen können. Denn wenn die IT-Abteilung mit dem Alltagsbetrieb ausgelastet ist, bleibt wenig Zeit für innovative Projekte. Automatisierung und Partner können helfen, Komplexität und Aufwand zu reduzieren.
- IT-Sicherheit als „Enabler“ im Einklang mit den Unternehmensprioritäten
Die größte Herausforderung ist nicht Technologie, sondern das Silodenken zwischen Fachbereichen. Die IT-Abteilung muss verstehen, was die Fachbereiche benötigen – und gleichzeitig vermitteln können, welche Sicherheitsmaßnahmen notwendig sind. Nur so können eine übergreifende Sicherheitskultur geschaffen und Digitalisierungsprojekte sicher umgesetzt werden.
Cisco unterstützt bei der Orchestrierung
Cisco unterstützt mit Workshops dabei, alle Beteiligten zusammenzubringen, offen über Herausforderungen und Anforderungen zu sprechen und die technischen sowie operativen Voraussetzungen zu skizzieren. Ziel ist es, die verschiedenen Perspektiven sichtbar zu machen und ein übergreifendes Verständnis zu schaffen. Nur ein organisationsübergreifender Ansatz ermöglicht Sicherheit.
Technologische Fähigkeiten können auch ohne großen Aufwand und ohne Veränderungen an der bestehenden Infrastruktur schnell eingeführt werden und unternehmensweite Sichtbarkeit erzeugen. Denn wenn unerwünschte Vorfälle und Anomalien erkannt werden, sind auch die Cyberrisiken transparenter. Daraus lässt sich dann ableiten, welche Fähigkeiten dringend notwendig sind, um die Prävention, Erkennung und Reaktion zu verbessern. So gelingt anhand konkreter Projekte die Umsetzung eines IT-Sicherheitskonzepts, das Räume für effizientere Prozesse und bessere Behandlung schafft – und dabei die Resilienz/Widerstandsfähigkeit stärkt.
Hier erfahren Sie mehr über Sicherheit im Gesundheitswesen.