201001 40 Controlware Managed Security Services

»manage it« als

E-Paper 5-6 2011
E-Paper 3-4 2011
E-Paper 1-2 2011
E-Paper 11-12 2010
E-Paper 9-10 2010
E-Paper 7-8 2010
E-Paper 5-6 2010

Managed Security Services im Bereich Healthcare

Patienten und Management bauen auf IT-Sicherheit in Krankenhäusern

Auch im Bereich Healthcare nimmt die Bedeutung der elektronischen Kommunikation und damit der Informationstechnologie (IT) stetig zu. Dabei nimmt die Sicherheit der hochsensiblen Daten eine herausragende Rolle ein.

n den letzten zehn Jahren hielten die elektronischen Medien massiven Einzug in unser berufliches und privates Leben. E-Mail, Internet und elektronisches Dokumentenmanagement sind nur einige Beispiele, die heute zu unserer täglichen Kommunikation gehören – fast schon nicht mehr wegzudenken sind. So auch im Bereich Healthcare, in dem der Umgang mit intimsten Daten von Patienten Alltag ist. Deutlich zu erkennen ist dies im Krankenhausumfeld. Mobile Visiten mit sogenannten Tablet PCs, die alle relevanten Patientendaten enthalten, oder elektronische Patientenakten gehören in vielen Kliniken bereits zum Arbeitsalltag. Da es sich hier um äußerst sensible Daten handelt, spielt der Schutz dieser personenbezogenen Daten eine entscheidende Rolle. Das bedeutet, die Sicherheit der IT ist zu gewährleisten, nicht nur externe, sondern auch interne Angriffe müssen erfolgreich vereitelt werden.

Im Healthcare-Umfeld ist mittlerweile auch der Kostendruck besonders hoch. Einzelne Krankenhäuser schließen sich zu Klinikverbänden zusammen, um etwa Ressourcen wie Ärzte und teure Röntgenapparaturen zu teilen. Des Weiteren lassen sich die IT-Infrastrukturen der einzelnen Krankenhäuser durch Zentralisierung zusammenfassen. Diese Maßnahmen führen zu immensen Kosteneinsparungen. Gleichzeitig ist es durch die gemeinsame Nutzung der vorhandenen Ressourcen möglich, die Kommunikationswege erheblich zu verkürzen. Ärzte können auf dezentral erhobene Daten und Informationen wie Röntgenaufnahmen oder MRT-Bilder jederzeit zugreifen, gleichgültig an welchem Krankenhausstandort sie sich befinden. Diagnosen lassen sich somit wesentlich schneller erstellen, da die zeitraubende Datenübermittlung per Post entfällt.

Absicherung von Produktionsnetzen.

Als Grundlage muss allerdings eine leistungsstarke und vor allem sichere IT-Infrastruktur vorhanden sein. Um den wachsenden Anforderungen gerecht zu werden, greift das Management von Klinikverbänden immer häufiger auf das Know-how externer und damit neutraler IT- und Sicherheitsexperten zurück. Kosten-reduzierende Services und die Neutralität externer Partner sind nur zwei Vorteile, die es lohnenswert machen, sich im Healthcare-Bereich mit Outtasking in Form von Managed Security Services auseinander zu setzen.

Am Beispiel der Absicherung medizinischer Geräte, die in sogenannten Produktionsnetzen zum Einsatz kommen, wird deutlich, wie wichtig schlüssige Sicherheitskonzepte sind. Medizinische Geräte wie MRT-Systeme werden in der Regel von IT-Systemen gesteuert und bedient. Diese medizinischen Geräte müssen in ihrer Gesamtheit strikten IT-Zertifizierungsrichtlinien standhalten, damit sie am Menschen eingesetzt werden dürfen. Die IT-Systeme bestehen aus Hardware, Betriebssystem und Anwendungssoftware (etwa für MRT-Aufnahmen), werden in einer bestimmten zertifizierten Version eingefroren und somit unverändert genutzt. Nach der Anschaffung eines medizinischen Gerätes dürfen weder aktuelle Software-Upgrades noch Patches auf der IT-Komponente eingespielt werden.

Sicher gemäß BSI.

Als Folge entstehen unweigerlich Schwachstellen in den IT-Systemen, die ein nicht zu unterschätzendes Sicherheitsrisiko hinsichtlich der erhobenen, patientenspezifischen Informationen darstellen. Um die Sicherheit gerade auch an den Schwachstellen zu gewährleisten und die aufwendigen und kostenintensiven Zertifizierungsverfahren zu vermeiden, ist es notwendig, die Zugänge in die Produktionsnetze, in denen sich alle Medizingeräte befinden, abzusichern.

Die Absicherungen müssen nach bestimmten Richtlinien erfolgen, beispielsweise gemäß den allgemein anerkannten IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des BSI-Grundschutzprofils für Produktionssysteme. Das heißt, die Kommunikation an den Netzübergängen durch Firewalls, Applikationsgateways und Intrusion-Prevention-Systeme ist sicherzustellen. Alternativ könnte auch jedes einzelne Medizingerät Stand-alone (1:1) mit einer eigenen kleinen Firewall-Appliance versehen werden, die dann als »Tor« ins übrige Kliniknetz fungiert und die genannten Sicherheitsfunktionen übernimmt.

Effektiv verwalten und sichern.

Um die Pflege dieser Sicherheitssysteme nicht den Medizingerätetechnikern aufzubürden, empfiehlt sich der Betrieb durch einen kompetenten Sicherheitsdienstleister auf der Grundlage eines Managed-Security-Services-Vertrags, der Überwachung und Update der Systeme beinhaltet. Die Risiken der Kopplung von Produktionsnetzen mit Bürokommunikationsnetzen lassen sich dadurch drastisch reduzieren. Das heißt, es können medizintechnische Daten (aus dem Produktionsnetzwerk) zum Beispiel für die Weiterverarbeitung in einem Ärztegutachten (mit einem Textverarbeitungsprogramm) auf einen herkömmlichen Desktop-Arbeitsplatz (im Kommunikationsnetzwerk) weitergeleitet werden – und das auf sicherem Weg.

Abschließend kann gesagt werden, dass die Bedeutung der IT im Healthcare-Bereich in den kommenden Jahren enorm zunehmen wird, da die elektronische Kommunikation hier immer mehr an Bedeutung gewinnt. Neue Anwendungsgebiete wie digitale Patientenakten oder mobile Visiten werden sich weiterentwickeln, weitere Anwendungen werden hinzukommen. Produktionsnetze lassen sich mit Managed Security Services effektiv verwalten und hervorragend absichern und das bei sinkenden Kosten.

Jacqueline Trouvain

____________________________________

Jacqueline Trouvain ist Solution Manager IT-Management & Managed Services bei der Controlware GmbH, www.controlware.de

Folgen Sie »manage it«

auf Google+

Copyright © 2003-2012 ap Verlag GmbH