Aufrufe
vor 2 Jahren

IT for Health 02/2016

  • Text
  • Gesundheitswesen
  • Patienten
  • Schweiz
  • Zudem
  • Sicherheit
  • Schweizer
  • Benutzer
  • Anforderungen
  • Prozesse
  • Webcode

E-HEALTH KONKRET kehr

E-HEALTH KONKRET kehr kontrolliert werden. Zudem sollten die Rechte der Maschinen genau betrachtet werden. So sollte das Röntgengerät etwa nur auf die Datenbank für Röntgenbilder zugreifen dürfen, es braucht keine Lese- und Schreibrechte auf das Buchhaltungssystem oder den Exchange-Server, wie Darms veranschaulicht. Juon spricht zudem die Herausforderungen der vielen Legacy-Geräte an. IT-Verantwortliche müssten sich bewusst sein, dass die Geräte nicht einfach 15 Jahre ohne Updates betrieben werden könnten. Es brauche eine ähnliche Philosophie wie bei PCs, deren Software regelmässig auf den neuesten Stand der Technik gebracht würden. In der Vergangenheit hätten sich die Hersteller auch zu wenig darum gekümmert, sagt Juon weiter. Er sieht aktuell aber einen Wandel. Neu ausgelieferte Geräte würden jetzt schon vom Werk mit den neuesten Sicherheitsanforderungen ausgestattet. Es bewege sich in die richtige Richtung, aber das Tempo sei zu langsam. Pascal Walliser, CEO von Fluance, bemängelt die Sicherheitspolitik vieler Gerätehersteller. Die Passwörter seien teilweise viel zu einfach. Aber auch er sieht Bewegung hin zu mehr Sicherheitsbewusststein in der Branche. Der Erfahrung Wallisers zufolge stürzen sich Angreifer typischerweise auf die neuesten Geräte. Dennoch unterstützt er den Trend, dass Legacy- Geräte vermehrt in nicht-rootbaren Netzen verwaltet werden. vom ganzen Unternehmen getragen werden», sagt er. Zudem betont er den Stellenwert der Kommunikation. Diese müsse in Sicherheitsfragen bis hin zur untersten Ebene getragen werden. Eine Aufnahme dieses Themas ins Arbeitsreglement bezeichnet er in diesem Zusammenhang als einen sinnvollen Schritt. Erst wenn alle diese Punkte realisiert seien, könne man sich an die Umsetzung einer wirksamen Strategie machen. Laut Juon drängt aber die Zeit, denn die Angreifer schlafen nicht. Auch für Melani ist die Sensibilisierung für Fragen in Bezug auf Cybersicherheit zentral. Hier würden sich Spitäler auch nicht gross von anderen Schweizer Unternehmen unterscheiden. Wie in jeder Branche gebe es Institutionen, die mehr oder weniger unternehmen. Oft spielten hierbei auch die finanziellen und personellen Möglichkeiten eine Rolle. Prinzipiell könnten daher Universitätskliniken mehr leisten als kleinere Einrichtungen. Verallgemeinern lässt sich dies gemäss Melani jedoch nicht. « Spitäler sind nicht sicherer oder weniger sicher vor Cyberangriffen als andere Unternehmen. » Melde- und Analysestelle Informationssicherung (Melani) Sensibilisierung auf allen Ebenen nötig Gerade beim Personal gebe es noch viel Aufklärungsarbeit zu leisten, sagt Darms weiter. Es brauche Schulungen, um ein Bewusstsein bei den Mitarbeitern zu schaffen. Hier unterschieden sich Spitäler nicht von anderen Unternehmen. Walliser sieht auch beim Personal einen wichtigen Ansatzpunkt. Seiner Meinung nach sind die IT-Kompetenzen beim Personal in Spitälern «eher schlecht». Hinzu komme teilweise eine Ignoranz der Betroffenen. Walliser hat sogar die Erfahrung gemacht, dass Teilnehmer Fortbildungskurse boykottierten. Fehlende Sensibilität sieht Darms gerade auch im Management. «Die sind froh, wenn es läuft, sie fragen aber nicht, wie sicher es läuft.» Denn die Hard- und Softwarelandschaft in Spitälern sei ein sehr komplexes Gebilde. Momentan fehlt es laut Juon in der Gesellschaft noch an der nötigen Sensibilität. Gesundheitsdaten würden subjektiv als weniger wichtig eingeschätzt als etwa Bankdaten, sagt er. Beim Banking wisse jeder, was alles mit den Daten passieren könnte, bei den eigentlich viel sensibleren Gesundheitsdaten sei dies oft nicht der Fall, sagt er. Besonders auch bei den Patienten sei dieses Unwissen zu beobachten. Kritisch beurteilt Juon aber auch die Hersteller und Anbieter. Konzentrieren soll sich die Strategie, abgesehen von den technischen Unzulänglichkeiten, vor allem auf die Bewusstseinsschärfung, betont Juon. Besonders der kritische Blick der Mitarbeiter müsse geschult werden. Ansetzen müsse die Bewusststeinänderung aber schon auf der Ebene der Geschäftsleitung. Obwohl seiner Meinung nach noch viel zu tun ist, sieht Darms doch schon positive Entwicklungen. «Das Bewusststein ist gestiegen», stellt er fest. Dies nicht nur bei den Mitarbeitern, sondern auch bei den Entscheidungsträgern. «Sicherheit muss Spitäler sind auch Unternehmen, aber nicht nur Laut Melani, die auch für den Schutz kritischer Infrastrukturen wie Gesundheitseinrichtungen zuständig ist, sind «Spitäler nicht sicherer oder weniger sicher vor Cyberangriffen als andere Unternehmen». Diese Einschätzung konnten aber nicht alle Gesprächspartner uneingeschränkt unterstützen. Denn die fehlende Sensibilisierung der Mitarbeiter, die Besonderheit der Legacy-Systeme und die langen Lebenszyklen heben die Gesundheitsbranche von anderen Unternehmen ab. Und der nächste Vernetzungsschritt steht den Schweizer Spitälern erst noch bevor. Themen wie Internet of Things oder Bring your own Device halten Einzug. Darms sei «etwas mulmig», wenn er an diese Herausforderungen denke. Seiner Meinung nach ist die Situation potenziell ein «Paradies für Hacker». Aber momentan fehle es noch an Wissen und Zeit, um sich um diese Herausforderungen zu kümmern. Die Gefahr auch für Schweizer Spitäler nimmt zu. Dies zeigen nicht nur die Berichte von Sicherheitsforschern, auch die Gesprächspartner bestätigen diese Einschätzung. Schlaflose Nächte hat Juon dennoch nicht. Was es vor allem brauche, sei eine gute Strategie, betont er. Eine sachliche Betrachtung im Ernstfall helfe mehr als Aktionismus. Die Strategie müsse im Ernstfall konsequent umgesetzt und dürfe nicht durch Vorkommnisse jedes Mal komplett infrage gestellt werden. Wichtig sei es aber auch, die Strategie regelmässig den Gegebenheiten anzupassen. Artikel online: www.netzwoche.ch ▸ Webcode IH021612 10

«Die IT steckt oft noch in der Steinzeit» Pascal Walliser ist von 2009 bis 2013 CIO der Solothurner Spitäler gewesen. Anfang 2016 wurde er mit dem Spin-off namens Fluance eigenständig. Im Gespräch erläutert der Sicherheitsspezialist, wie IT-Sicherheit im Spital aussehen sollte. Interview: Christoph Grau E-HEALTH KONKRET In den letzten Monaten gab es viele Berichte über Cyberangriffe in Spitälern. Ist dies auch in der Schweiz ein Problem? Pascal Walliser: Meiner Erfahrung nach war jeder Kollege sicherlich schon einmal in irgendeiner Form von einem Cryptolocker betroffen und musste ein Back-up einspielen. In fast jedem Haus werden sich Personen finden, die betroffen sind. Leider gibt es noch keine wirksamen Tools, die Abhilfe schaffen. Sehen Sie also eine akute Gefahr für die Spitäler? Es gab aus meiner Sicht schon bedrohliche Fälle. Aber die Segmentierung der Spitäler in Abteilungen ist hier ein Vorteil. Viel mehr betroffen sind meiner Ansicht nach Arztpraxen. Denn diese können sich hohe Investitionen in Back-ups oft nicht leisten. Generell schätze ich die Zahlungsbereitschaft an die Erpresser aber als sehr gering ein, auch wenn der Ausfall von ein paar Tagen bei kleinen Praxen gravierende wirtschaftliche Folgen haben kann. Wenn doch Probleme durchaus häufig auftreten, warum hört man dann nichts davon? Solche Vorfälle werden in der Regel nicht an die grosse Glocke gehängt. Es gibt eine Mentalität der Verschwiegenheit. Die meisten glauben, geschützt zu sein, dabei werden einige Angriffe oft nicht einmal registriert. « Es braucht Sicherheit by Design. » Pascal Walliser, CEO, Fluance Wie hat sich die Bedrohungslage Ihrer Meinung nach entwickelt? Das ist schwer zu sagen. Das Hauptproblem ist, dass viele unberechtigte Zugriffe gar nicht erst registriert werden. An der Oberfläche glauben wir, sicher zu sein, aber die Informatik steckt oft noch in der Steinzeit, und die Sicherheit ist trügerisch. Und dabei sind die Spitäler noch nicht einmal voll vernetzt. Für die Angreifer könnte es noch lukrativer werden, wenn die Systeme erst einmal voll miteinander vernetzt sind und der Schaden bei erfolgreichen Angriffen entsprechend höher ausfällt. Wo sehen Sie die Hauptschwachstelle? Eindeutig auf der Nutzerseite. Der Umgang mit Passwörtern etwa ist noch viel zu sorglos. Zugangsdaten werden häufig noch Pascal Walliser, CEO von Fluance. auf Monitore oder Laptops geklebt. Das zugrundeliegende Problem ist hier die fehlende Akzeptanz. Diese hört dann auf, wenn die Usability durch die Sicherheit eingeschränkt wird. Wenn die Sicherheit zulasten der Arbeitsabläufe geht, dann wird sie von den Anwendern zu Recht abgelehnt. Was könnte hier helfen? Das momentan weit verbreitete Zwei-Wege-System etwa mit Passwort und Chip-Karte ist nicht praktikabel. Eventuell sind biometrische Lösungen vielversprechend. Zumindest würden diese meiner Einschätzung nach leichter akzeptiert werden als die jetzigen Lösungen. Eventuell könnte das Smartphone in Zukunft als Schlüssel fungieren. Technologisch gibt es schon zahlreiche Lösungen, bis diese aber auch für den klinischen Alltag einsatzbereit sind, könnte noch einige Zeit vergehen. Wie sieht Ihrer Meinung nach also ein ideales Sicherheitssystem aus? Es braucht Sicherheit by Design. Die Geräte sollen den User erkennen, ohne dass diese viel dazutun müssen. Dies würde die Akzeptanz erheblich steigern. Es braucht kein zusätzliches Vorhängeschloss. Nur wenn die Sicherheit schon mit in die Prozesse implementiert ist. Gleichzeitig muss sich ein kulturelles Bewusstsein für Sicherheitsfragen herausbilden. Meine Idealvorstellung ist hier ein Flugzeugcockpit. Alle Abläufe sind unter Sicherheitsaspekten optimiert und automatisiert. Artikel online: www.netzwoche.ch ▸ Webcode IH021603 11

Archiv