Welchem Krankenhaus soll das helfen?

15.03.2020

Sicherheit ist ein Querschnittsthema. Dieser Satz ist ein, wenn nicht sogar der Grundsatz jeder Sicherheitsberatung. Er bedeutet aber nicht nur, dass Sicherheitsmaßnahmen auf allen Ebenen verankert werden müssen, sondern auch, dass man das Umfeld betrachten muss, in dem die Sicherheitsmaßnahmen etabliert werden sollen. 

Wenn man nun das Umfeld betrachtet, für das die "Procurement Guidelines for Cybersecurity in Hospitals" verfasst wurden, dann ist dieses frisch von der ENISA (EU Agentur für Cybersicherheit) herausgegebene Dokument ein Werk von erhabener Sinnlosigkeit. Was dort vollmundig mit dem Spruch "Healthcare IT professionals have a new instrument in their toolbox" beworben wird, ist eine grafisch zwar hochwertige, aber inhaltlich belanglose Zusammenstellung von Weisheiten aus dem Nähkästchen diverser Standards zur Informationssicherheit. 

Implementiert werden sollen diese zu großen Teilen bewährten Maßnahmen in einem Umfeld, dass in Deutschland, aber auch gewiss anderen Ländern, das Prädikat "kaputtgespart und ausgeplündert" verdient. 

Wenn Krankenhäuser, getrieben vom Zwang wirtschaftlich zu arbeiten, trotz aller Ausbeutung ihrer Mitarbeiter kaum noch ein Budget finden, um elementare Anforderungen der Krankenhaushygiene zu erfüllen, wie sollen diese Krankenhäuser dann Personal und Technik zu einer zeitgemäßen Umsetzung guter IT-Sicherheit bereitstellen? 

Es ist trefflich erkannt, dass das Gesundheitswesen und insbesondere Krankenhäuser einem hohen Risiko durch aktuelle Bedrohungen ausgesetzt sind. Risiken, die unter Umständen Menschenleben kosten könnten. Aufgabe einer EU-Agentur könnte nun sein, Programme zu entwickeln und EU-Gelder einzufordern, um konkrete Maßnahmen zu entwickeln, die typische Gefährdungen adressieren. Wie wäre es z. B., alle Anbieter von "gefährlicher" Medizintechnik zu verpflichten, die Geräte mit einer lizenzkostenfreien OPNsense-Firewall (freie Firewall-Distribution) von anderen Netzen des Krankenhauses abzuschotten. Softwarepflege, Dokumentation und Schulungen werden aus EU-Geldern gesponsert. Das wäre hilfreicher als die wolkigen Worte der Guidelines zum Thema "Segregate your network".       

Wenn die ENISA erforschen möchte, wie man Zielgruppen mit zielgruppen-spezifischen Empfehlungen zur Cybersicherheit versorgt, dann seien die Grundschutzprofile des BSI wärmstens empfohlen. Ein Grundschutzprofil für kleinere Krankenhäuser und der branchenspezifische Sicherheitsstandard (B3S) für große Kliniken würden in ordentlicher Übersetzung gewiss auch in anderen Ländern hilfreicher sein als die ENISA Guidelines. 

Diesen Besinnungsaufsatz zum Thema Cybersicherheit kann man höchstens als europäischen Beitrag zur Herausgabe sinnloser Veröffentlichung und Erlasse werten. Die Nützlichkeit entspricht in etwa der Bonpflicht für Bäcker und Kioske. 

Fazit in beiden Fällen: schade ums Papier. :::WERNER METTERHAUSEN:::


Dieser Beitrag ist Bestandteil von:


Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de