Gesundheits- und Sozialeinrichtungen nutzen immer mehr die Vorzüge der Digitalisierung. Unerlässlich werden Fachbereiche durch neue IT-Anwendungen, Portallösungen und Apps erschlossen. Mit der zunehmenden Zahl an eingeführten IT-Systemen steigen die Anforderungen an eine übergreifende IT-Sicherheit.
Mit der Corona-Krise wurden viele Aspekte der IT-Sicherheit weiter forciert. So wurden z. B. Homeoffice- und Videokonferenz-Lösungen eingeführt. Um diese Technologien rasch und unkompliziert zu ermöglichen, sind IT-Sicherheitsaspekte teilweise verkürzt betrachtet worden oder bewusst in den Hintergrund getreten. Firewalls wurden geöffnet, einfach zu bedienende Webkonferenzlösungen wurden gesucht und eingeführt, ohne sämtliche Aspekte der Informationssicherheit zu prüfen.
Letztlich führt die immer weitergehende elektronische Kommunikation, auch über die eigene Organisation hinaus, und die damit verbundene Öffnung zu einer gesteigerten Gefahr von Sicherheitslücken. Besonders unter Berücksichtigung des Qualitäts- und Risikomanagements in der Gesundheits- und Sozialwirtschaft ist ein sensibler Umgang mit Patienten-, Klienten- und Mitarbeiterdaten, auch und speziell im Rahmen der IT-Systeme, unumgänglich.
Daher ist jetzt der richtige Zeitpunkt, den Fokus auf die IT-Sicherheit zu richten! Und dies ist nicht nur eine Angelegenheit der IT selbst, sondern mit Blick auf die Haftung vor allem auch für das Management und die Aufsichtsgremien von zentraler Bedeutung.
Aber wie wird man Herr der Lage?
Zunächst erscheint es wesentlich, sich einen Überblick über den Status quo in Bezug auf die IT-Sicherheit zu verschaffen. Mit Hilfe einer IT-Sicherheitsanalyse können der aktuelle Sicherheitszustand der IT überprüft und Ansatzpunkte zur dessen fortwährender Verbesserung aufgezeigt werden. Basierend auf dem Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie weiterführenden branchenspezifischen Sicherheitsstandards, nimmt die IT-Sicherheitsanalyse eine ganzheitliche Perspektive ein. Dazu werden sowohl organisatorische Abläufe als auch die technische Sicherheit in den IT-Systemen, Netzen und der Infrastruktur kontrolliert. Ergänzt wird die IT-Sicherheitsanalyse durch praktische Penetrationstest bei den Firewalls und Router vom Internet aus (Black-Box-Tests) sowie bei den Server- und Speichersystemen im Unternehmen (White-Box-Tests). Somit ergeben sich aus der IT-Sicherheitsanalyse der für die Unternehmens-IT nötige Schutzbedarf sowie ein Schutzentwicklungsplan inkl. Prioritäten.
Für die dauerhafte Umsetzung, Steuerung und Weiterentwicklung der notwendigen Maßnahmen zur Gewährleistung der IT-Sicherheit ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) erforderlich. Da das ISMS im Umgriff der IT-Governance in den Verantwortungsbereich der Unternehmensführung fällt, nutzt es einen Top-Down-Ansatz zur Durchsetzung der IT-Sicherheit. Das Aufstellen und Verabschieden von Security Policies erfolgt durch das Management und die Aufsichtsgremien. Die eigentliche Ausarbeitung der Details und Umsetzung wird auf die operative Ebene und die IT delegiert. In diesem Zusammenhang sollte ein IT-Sicherheitsbeauftragter benannt werden. Essenziell für ein ISMS ist die Umsetzung in allen Bereichen und Ebenen der Organisation.
Sie haben Fragen oder Beratungsbedarf? Unsere Experten stehen Ihnen bei allen Herausforderungen beim Thema IT-Sicherheit sowie bei der Einführung von Informationssicherheits-Managementsystemen zur Verfügung. Jetzt Kontakt aufnehmen!