„Einzelmaßnahmen reichen nicht, um die Gefahr zu bannen"
Die Sicherheit der IT-Systeme ist im Sozialwesen und der Gesundheitswirtschaft ein anhaltend wichtiges Thema. Aktuell wird die Diskussion vor allem durch das Krankenhauszukunftsgesetz bestimmt, das von Kliniken Investitionen in die IT-Sicherheit verlangt. Was sich damit verbindet, erläutert Frank Rustemeyer vom Beratungs- und Dienstleistungsunternehmen HiSolutions, das sich auf die Sicherheit von Computersystemen spezialisiert hat. Frank Rustemeyer wirft dabei auch einen Blick auf die Arbeitsweisen der Cyberkriminellen in diesen Tagen.

Im Krankenhauszukunftsgesetz ist vorgesehen, dass ein Teil des Geldes für Digitalisierung in die IT-Sicherheit investiert werden muss. Wie ist das zu verstehen?

Frank Rustemeyer: Investitionen nach dem Krankenhauszukunftsgesetz sind mit der Maßgabe verbunden, 15 Prozent der Mittel für begleitende Sicherheitsmaßnahmen einzusetzen. Das ist absolut sinnvoll, weil im Gesundheitswesen ja mit hochsensiblen Daten operiert wird. Der Anteil von 15 Prozent ist ein pauschaler Maßstab, er entspricht in etwa dem, was bei Investitionen in der IT in der Regel für die Sicherheit vorgesehen wird. Aber letztlich muss sich an der realen Situation bemessen, wie hoch das Investment in die Sicherheit wirklich sein muss. Für den einen sind 15 Prozent vielleicht hoch gegriffen, für den anderen möglicherweise zu niedrig.
 

Wo steht die IT-Sicherheit in Krankenhäusern und anderen Unternehmen des Gesundheitswesens?

Frank Rustemeyer: Unsere Checks für Kunden der Ecclesia Gruppe zeigen immer wieder, dass noch erheblicher Handlungsbedarf besteht – zumindest außerhalb der Häuser, die zur kritischen Infrastruktur zählen. Aber mit dem kommenden Patientendatenschutzgesetz wird sich da sehr viel ändern, alle Krankenhäuser sind dann verpflichtet, mehr für ihre Datensicherheit zu tun.
 

Wo setzt man da sinnvollerweise an?

Frank Rustemeyer: Es muss bei der Steuerung der Sicherheit angesetzt werden, das ist ein klares Ergebnis unserer Projekte. Der systematische Umgang mit dem Thema IT-Sicherheit ist grundlegend für einen Erfolg. Ein Informationssicherheits-Management-System (ISMS) ist wichtig, um mit der Herausforderung IT-Sicherheit richtig umzugehen. Die Technik und auch die Fähigkeiten der potenziellen Angreifer entwickeln sich massiv weiter. Die richtige Reaktion besteht nicht darin, IT-Sicherheit einmal zu einem Projekt zu machen, in Technik zu investieren und es dabei zu belassen.
 

Wie geht man also systematisch vor?

Frank Rustemeyer: Zunächst muss der organisatorische Rahmen geschaffen werden, in dem Fragen beantwortet werden wie: Wer hat die Zuständigkeit für die gesamte IT-Sicherheit? Welches Maß an Sicherheit soll erreicht werden? Welche Standards sollen einbezogen werden? Punktuell angesetzte, technische Einzelmaßnahmen reichen nicht aus, um die Cybergefahr insgesamt zu bannen. Wesentlich ist vielmehr, die Gesamtsituation zu kennen und auf allen Ebenen zu schauen: Wo sind die Risiken, wie kann ich ihnen begegnen? Nur so lässt sich nachhaltig Sicherheit schaffen. Außerdem sollte man sich auch nicht nur mit der Prävention beschäftigen, sondern auch damit, wie man mit der Schadensituation umgeht. Das spart Zeit, wenn es tatsächlich einmal so weit kommt, und kann die Betriebsunterbrechungszeiten stark verkürzen.
 

Wie stellt sich die Bedrohungssituation allgemein dar?

Frank Rustemeyer: Nach wie vor ist Ransomware ein wesentlicher Bedrohungsfaktor. Cyberkriminelle suchen Einfallspunkte in ein System, zum Beispiel über E-Mail-Infiltration oder über Software-Schwachstellen. Ist das gelungen, versuchen sie – teilweise über lange Zeiträume hinweg – erst einmal das System auszukundschaften und sich Rechte zu verschaffen, durch die sie dann zu einem Zeitpunkt X zuschlagen und das System verschlüsseln. Eine neue Variante ist, dass Daten herauskopiert werden und man mit Veröffentlichung droht, wenn nicht gezahlt wird. Diese Art der Erpressung hat deutlich zugenommen.
 

Ist der Klassiker des infizierten E-Mail-Anhangs immer noch ein großes Problem?

Frank Rustemeyer: Ja, E-Mail ist nach wie vor ein wichtiges Einfallstor für Schadsoftware. Diese Art des Angriffs wird zudem immer ausgefeilter und besser.
 

Was ist in solchen Fällen zu tun?

Frank Rustemeyer: Eigene Gegenmaßnahmen kann man zu diesem Zeitpunkt nicht mehr einleiten. Aber das Lösegeld zu zahlen, ist auch eine schlechte Option. Denn auf diese Weise finanziere ich das kriminelle
Geschäftsmodell weiter und zeige: Ich bin ein zahlungswilliges Opfer. Und wer einmal zahlt, der zahlt auch zweimal.
 

Stecken hinter solchen Attacken wirklich noch die klassischen Nerds, die aus irgendeinem dunklen Zimmer heraus versuchen, sich in fremde Systeme zu hacken?

Frank Rustemeyer: Einzeltäter gibt es, aber sie sind die Ausnahme. In der Regel kommen solche Angriffe von professionellen Organisationen, die oft im Ausland sitzen. Die Attacken werden systematisch geplant und ausgeführt. Damit können sie schnell existenzbedrohend werden.
 

Das hört sich nach einer Situation an, in der das einzelne Unternehmen immer unterlegen erscheint. Was kann man so einer geballten kriminellen Energie noch entgegensetzen?

Frank Rustemeyer: Das ist nur mit einer systematisch angelegten Strategie möglich, die zunächst Fragen beantwortet wie: An welchen Stellen setze ich IT überhaupt ein? Wie kommuniziert die einzelne Anwendung, wie arbeitet sie? Wie erkenne ich einen laufenden Angriff, und welche Möglichkeiten zum Eingreifen habe ich?
 

Wie sieht so eine systematische Gegenstrategie aus?

Frank Rustemeyer: Sie besteht natürlich aus technischen Maßnahmen, aber auch aus organisatorischen Regeln und Richtlinien. Alle Anwender müssen genau wissen, was sie dürfen und was nicht und in welchen Fällen sofort die IT-Abteilung informiert werden muss. Diese Schulung ist die größte Herausforderung.
 

Landläufig heißt es immer, dass derzeit insbesondere durch die verstärkte Homeoffice-Nutzung die Gefahr für die IT-Systeme wächst. Ist dem so?

Frank Rustemeyer: Homeoffice ist mit der richtigen Technologie durchaus sicher zu gestalten. Aber auch hier gilt die Frage: Gehe ich systematisch und planvoll an das Thema heran oder schaffe ich einfach schnell irgendeine Lösung? In vielen Fällen ist sehr schnell und plötzlich eine Homeoffice-Lösung notwendig geworden, die nicht adäquat abgesichert war. Wir haben da erschreckende Dinge erlebt, zum Beispiel offen ins Netz gestellte E-Mail-Server.

Außerdem ist natürlich die Frage, mit welchen Geräten die Mitarbeitenden im Homeoffice arbeiten. Nutzen sie vom Unternehmen zur Verfügung gestellte Hard- und Software oder arbeiten sie mit dem Privat-PC? In letzterem Fall ist die Gefahr, dass darauf schon ein Virus lauert, natürlich größer. Immer wieder zeigt sich: IT-Sicherheit ist eine Management-Aufgabe. Die Qualität des IT-Sicherheitsmanagements korreliert mit dem Schutzniveau.

Die Fragen stellte Thorsten Engelhardt aus der Unternehmenskommunikation.
thorsten.engelhardt@ecclesia.de
 


CyRis-Module

Der systematische Aufbau von IT-Sicherheitsstrukturen beginnt bei einem Basischeck als Einstieg und Orientierung. Das, so schildert Frank Rustemeyer, ist wie ein Gang mit der Wärmebildkamera durch ein Haus. Dabei wird ermittelt, wie das IT-System aufgestellt ist und wo Handlungsbedarf besteht.

Die Frage: Wie soll die IT-Sicherheit künftig aussehen? wird dann mit der Erarbeitung einer CyRis-Leitlinie beantwortet. Am Ende steht ein Papier, das Aussagen dazu trifft, wie in dem einzelnen Unternehmen oder der Organisation IT-Sicherheit gelebt werden soll. Das ist die Basis für den Einstieg in ein Informationssicherheits-Management-System (ISMS).
 

Die weitere Ausgestaltung kann aus verschiedenen Modulen zusammengestellt werden und hängt von der konkreten Situation ab.

 


 

Frank Rustemeyer, Jahrgang 1970, ist bei HiSolutions als Chief Operations Officer (COO) des Geschäftsbereiches Security Consulting verantwortlich für die übergreifende Steuerung und Weiterentwicklung der operativen Geschäftstätigkeit. Er überwacht und gestaltet in dieser Funktion die Leistungsprozesse und koordiniert Aktivitäten über die einzelnen Beraterteams hinaus. Er verfügt über langjährige Erfahrung im Security Consulting und hat Lehraufträge an der TU Berlin und der Frankfurt School of Management and Finance.