Posts mit dem Label Experten werden angezeigt. Alle Posts anzeigen

Andreas Pinkward (Minister für Wirtschaft, Innovation, Digitalisierung und Energie NRW) eröffnet die Health 4.0 | Bild: MCC 2018 Am 16. J...

Andreas Pinkward (Minister für Wirtschaft, Innovation, Digitalisierung und Energie NRW) eröffnet die Health 4.0 | Bild: MCC 2018
Andreas Pinkward (Minister für Wirtschaft, Innovation, Digitalisierung und Energie NRW) eröffnet die Health 4.0 | Bild: MCC 2018

Am 16. Januar 2018 diskutierten mehr als 250 Experten aus dem Gesundheitssystem im Rahmen der Health 4.0 sechs Zentralthemen: Health and Politics, Brennpunkt Krankenhaus, Health in Dänemark und Polen, Global Health Care Futurists, Digitalisierung, IT und Cybersicherheit im Gesundheitswesen und Arzneimittelversorgung in der Zukunft.


Einer unserer Kollegen war als Experte zum Themenbereich IT Sicherheit zur diesjährigen Ausgabe des Health 4.0 Innovationskongress eingeladen, um in einem extra Forum sowohl aktuelle Postionen zum Thema darzustellen als auch Fragen der Kongressteilnehmer zu beantworten.

Fachforum IT-Sicherheit

Zusammen mit Moderatorin Ulla Dahmen (Pressesprecherin des Lukas KH Neuss), Peter Kaetsch  (Vorstandsvorsitzender der BIG Versicherung) und Dirk Kunze (LKA NRW, Kriminalrat Cyber Investigation) wurden vor allem die momentanen Maßnahmen innerhalb von großen Netzwerken (BIG und Lukas KH) beschrieben. Kritische Berichte vor allem zu Punkten der Informationssicherheit und angezeigten Angriffen lieferte dann Dirk Kunze, der auch bei den Ermittlungen des Vorfalls im Lukas Krankenhaus Anfang 2016 beteiligt war.

Der Fall Locky im Lukaskrankenhaus Neuss

Nur weil man vermeintlich valide Maßnahmen zur Absicherung von Daten und PCs vornimmt, heißt das noch lange nicht, dass ein Angriff mit egal welcher Art von Schadsoftware nicht zu einem kompletten Stillstand des geschädigten Unternehmens kommt. So führte Ulla Dahmen nach einer kurzen Vorstellungsrunde aus, dass bis zur Attacke der Ransomware Locky 2016, jeder im Krankenhaus davon ausging eine solide Sicherungs- und Backup-Strategie für das bis dahin bereits sehr weit digitale Krankenhaus installiert zu haben. Die Folgen, so Dahmen, konnte man anschließend ca. ein halbes Jahr immer wieder in der Presse nachlesen. Trotz enomer terminlicher Probleme und anhaltenden Behinderungen im Klinikalltag, konnten vor allem durch das besonnene Vorgehen des LKA und die offensive Kommunikationsstrategie der Pressestelle, ein Imageschaden für das Krankenhaus abgewehrt werden. Der angerichtete Schaden beläuft sich trotzdem bis heute auf eine knappe Million Euro.

Sicherheit auf dem kurzen Dienstweg

Auch Peter Kaetsch schilderte seine Erinnerungen an die Zeit der ersten Verschlüsselungstrojaner aus Sicht der – nach eigener Aussage – digitalsten Krankenkasse Deutschlands. So wurde die Problematik der bis dahin noch neuen und weitestgehend unbekannten Ransomware durch seine Mitarbeiter der IT herangetragen. Die Reaktion der Geschäftsführung war, dem Problem direkt entgegen zu treten. So beschreibt Kaetsch, dass eigentlich erst ein umfassender Ausschreibungsprozess zur Findung von geeigneten Dienstleistern und Produkten gegen die neue Bedrohung hätte lanciert werden müssen. Auf Grund der Lage aber darauf verzichtet wurde und in einem schlankeren Verfahren auf die Expertise von IT-Verantwortlichen und Experten zurückgegriffen wurde. Aus der Sicht der BIG eine rundum gelungene Maßnahme, konnte sich doch bis heute keinerlei Schadsoftware auf den Computern oder Servern unerlaubt Zugriff verschaffen.

Simpel und Effektiv – Befremdlich für viele

Die Publikumsreaktionen auf die Kurzvorstellung von SecuLutions Application Whitelisting Lösung jedoch sorgte im Anschluss für einen regen Austausch zwischen Unternehmensvertretern und Publikum. Wie so oft, war der Ansatz den Whitelisting verfolgt nicht wirklich bekannt und wenn doch schnell mit üblichen Vorurteilen besetzt. Die Einfachheit des Prinzips weckt immer noch sehr starke Zweifel. "Das ist doch viel zu simpel, woher bezieht die Lösung denn ihre Erkenntnisse über die Schädlinge und deren Verhalten?" sind häufig Fragen, die auf eine kurze Erklärung des Prinzips folgen.

Scheinbar sind komplizierte Mechanismen die keiner so wirklich versteht – und die nachweislich seit mehr als zwei Jahren nicht gegen immer neue Schädlinge helfen – vertrauenserweckender als die Tatsache, dass es um ein vielfaches sicherer ist unbekannte Software einfach technisch nicht ausführbar zu machen. Vom resultierenden Schutz sogar gegen Lücken wie Meltdown, Spectre und Eternalblue ganz zu schweigen. Artikel hierzu ebenfalls auf diesem Blog.

So konnten wir uns auch nach dem Ende des Forums nach ca. einer Stunde nicht über zu wenig Zulauf und Rückfragen beklagen. Kongressteilnehmer und auch Referenten kündigten an, unsere Lösung in ihrer IT zur Diskussion stellen zu wollen. Was will man mehr?

Fazit

Die Health 4.0 war für uns ein Interessanter Ausflug in die Branche und ihre aktuellen Herausforderungen und Themen der Digitalisierung. Wir haben wieder einmal ein Stück mehr Bewusstsein für die Alternative Whitelisting geschaffen und hoffen in Zukunft mehr IT Verantwortliche von der Notwendigkeit eines Paradigmenwechsels überzeugen zu können.


Bild: allcore.ca Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nich...




Bild: allcore.ca


Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nicht gut aufgestellt sind. Die Rede ist von IT-Sicherheit. Aber was ist überhaupt IT-Sicherheit im Jahr 2017?


Es gibt nicht die eine IT-Sicherheit. Bereits seit Jahren ist IT-Sicherheit in Unternehmen ein Bereich der Expertenwissen erfordert. Kleinere Unternehmen leisten sich jedoch aus wirtschaftlichen Gründen "Allrounder", so schwer kann das doch nicht sein. Dieses Denken ist allerdings so überholt wie das Funktionsprinzip des Virenscanners. Viele IT-Verantwortliche wissen um diesen Mangel und kämpfen täglich für mehr und besser spezialisiertes Personal in ihrer Abteilung, jedoch kapitulieren viele in diesem aussichtslosen Kampf da sie kein Gehör finden.

Unternehmen suchen immer noch Full-Service


Full-Service hört sich nach einem genialen Modell an, gerade was die Kosten-Nutzen Seite angeht. Von der Werbeagentur bis hin zum Angestellten. Wer viele Kompetenzen in Personalunion vereint, der kann dem Unternehmen nur nutzen. Rein rechnerisch mag das bis zu einem gewissen Punkt auch gelten.

Schaut man sich die durchschnittliche EDV eines deutschen Mittelständlers an, stellt man oft genug fest, dass absolut solide und sinnvolle Arbeit geleistet wird. Die Abteilungen sind durch die oft traditionell bescheidenen Personalschlüssel und knappen Budgets so hocheffektiv, dass niemandem auffällt das es ein Problem gibt. Es funktioniert schließlich alles.

Alles heißt zum Beispiel die Administration und Anlage von Benutzerkonten, Verteilung, Wartung und Support von Fachanwendungen, Konfiguration von Routern damit das geliebte Internet auch sicher funktioniert, bis hin zur Betreuung der Hardware, denn die muss einwandfrei laufen. Das alles funktioniert tadellos.

IT-Mitarbeiter sind oft mit Aufgaben überfrachtet
andertoons.com

Full-Service gleich IT-Sicherheit?


Das alles ist aber nicht IT-Sicherheit, das ist wie Luft zum atmen oder Füße zum laufen. Auch wenn ich mich wiederhole, das eben Beschriebene lastet EDV-Abteilungen – die oft aus maximal 4 Mitarbeitern bestehen (und das ist viel) – bis an ihre Grenzen aus.

Und was ist jetzt mit der IT-Sicherheit? Die meisten IT-Kräfte kennen Grundlagen wie die Verschlüsselung von Kommunikation, Rechteverwaltung und wissen, dass IT-Sicherheit mehr ist als Passwörter zu vergeben. Tiefgreifendes Wissen ist aber etwas anderes.

Der geneigte Leser versteht: das ist das Problem.

Viele Mitarbeiter der EDV-Abteilung, sind keine Experten in IT-Sicherheit. Das war in der Zeit der Ausbildung der meisten Mitarbeiter auch überhaupt nicht notwendig. Digitalisierung hieß eben eine funktionierende IT-Infrastruktur zum Laufen zu bringen und diese am Laufen zu halten. Die Sicherung der Systeme kam immer Stück für Stück hinzu und auf einmal sind Experten gefragt, die funktionierende Konzepte entwickeln und umsetzen sollten. Diese Aufgabe wird nach wie vor erfüllt, jedoch benötigt es ein wenig mehr um ein Netzwerk abzusichern. Eine gute Infrastruktur ist da nur die Grundlage. Das Konzept sollte immer davon ausgehen, dass etwas schief gehen könnte was nicht durch Fehler in der Administration verursacht wurde, sondern durch die Aktionen von Dritten. Netzwerke sollten also von Anfang an mit dem Fokus auf Sicherheit entworfen und aufgebaut werden. Die Realität zeigt aber, dass in gewachsenen Strukturen umgebaut und optimiert werden muss. Denn es muss ja immer möglich sein für alle Mitarbeiter und Prozesse produktiv zu arbeiten. Die berühmte Tabula Rasa auf der ein komplett neues Netz entworfen und konzipiert werden kann ist daher die Ausnahme.

Wer macht denn nun was?


Was macht die IT-Abteilung den nun? “Die machen eben die IT.” Wofür genau die Mitarbeiter dieser Abteilung zuständig sind weiß aber niemand genau. Bestenfalls wäre die Antwort dann so etwas wie „Die sind eben dafür zuständig, dass unsere PCs, Server und alles was da dran hängt funktioniert und dass alle vernünftig arbeiten können“.

Den Betrieb aufrecht erhalten und auch mal etwas hinzuzufügen oder altes zu ersetzen, das macht die IT-Abteilung. Genau das war auch zu Beginn der Digitalisierung die Aufgabe. Wöchentlich neue Schadsoftware, von der keiner weiß was sie als nächstes tut gab es damals nicht. Inzwischen ist das aber die Realität und es ist auch mehr als klar, dass es diese Schadsoftware die EDV betrifft. Und wer ist dafür zuständig? Die IT-Abteilung.

Wenn diese IT-Abteilung jedoch in der Vergangenheit darum kämpfte dem Bereich der IT-Sicherheit mehr Raum zu geben war das Ergebnis oft ernüchternd. Lehrgänge, Schulungen und die ein oder andere Neuanschaffung im Bereich Firewall oder Antivirus Software. Als als eigenständige Disziplin kann man das wohl kaum angesichts der aktuellen Bedrohungslage bezeichnen. Bestenfalls sind die Mitarbeiter der IT nur noch mehr ausgelastet bzw. belastet. Da es lediglich mehr Arbeit für immer noch die selben Personen gibt. Nur allzu oft folgten daraus spektakuläre Sicherheitsvorfälle die so niemand antizipieren konnte, schlicht und ergreifend weil die Personalkompetenz fehlte.

Jeder sollte heute verstehen, dass es Verluste bedeutet, wenn durch Schadsoftware oder ausgefallene Hardware keine Rechnungen verschickt oder Produkte hergestellt werden können. Betriebswissen oder Geschäftsgeheimnisse sind aber bereits eine Indirektionsstufe höher angesiedelt. Wer will denn unser Firmenwissen schon haben. Die “Das haben wir aber schon immer so gemacht” Mentalität ist immer noch allgegenwärtig – auch in der IT.
Zusammen sind wir stärker

Das Problem: Sicherheit braucht Zeit und eine Mitarbeiterschaft, die auch unbequeme Maßnahmen mitträgt. Wenn die IT-Abteilung an der Belastungsgrenze ist, wird zuerst das nach hinten gestellt was am meisten Zeit beansprucht und gleichzeitig am wenigsten kritisch für die Aufrechterhaltung des Betriebes ist. Sicherheitsmaßnahmen also. Administratoren können oft schon dann kein Gehör mehr finden, wenn entweder Angestellte oder gar der Geschäftsführer sich durch beschriebene Maßnahmen zur Steigerung der Unternehmenssicherheit behindert oder eingeschränkt fühlen.

Neben den beschriebenen Aufgaben wachsen die Anforderungen an die Sicherheit aber beständig. Sicherheit ist aber spätestens seit Locky kein Nebenschauplatz in der IT. Man kann das Thema Sicherheit nicht nebenbei im Full-Service betreuen. Experten wie der Netzwerkadministrator es für alle Komponenten und Fragen der Betriebskontinuität ist müssen her. Die werden aber nicht eingestellt, weil aus Sicht der Geschäftsführung IT-Sicherheit eben auch einfach von der IT-Abteilung mitgemacht werden kann.

Geschäftsführer haben also die Möglichkeit Experten einzustellen, eigene Mitarbeiter durch entsprechende Ausbildung zu Experten zu machen und gleichzeitig von ihren bisherigen Aufgaben zu befreien oder den Sicherheitsexperten als Dienstleistung von Extern einzukaufen. Gerade die letzte Option kann für kleine Betriebe sinnvoll sein, die schlicht und ergreifend keine Mittel für eine eigene Stelle des Sicherheits-Experten haben.

Wenn die Geschäftsführung bei diesen Maßnahmen mit an Bord ist, wird es auch der IT-Abteilung leichter fallen entsprechende Maßnahmen zu ergreifen und auch gegen Widerstand aus der Mitarbeiterschaft durchzusetzen.

Was folgt daraus?


IT-Sicherheit soll unter keinen Umständen vernachlässigt werden. Die meisten Unternehmen haben jedoch auf Grund Ihrer eigentlichen Geschäftsfelder ihre Kernkompetenz naturgemäß nicht im Bereich IT-Sicherheit. Einfach zu bedienende und effektivere Lösungen können das bereits vorhandene Personal erheblich entlasten, aber auch externe Dienstleister die speziell mit der Betreuung der IT-Sicherheit beauftragt werden, können hier bereits helfen die Sicherheit zu steigern. Denn in Zukunft werden die Anforderungen an die IT und damit auch an die IT-Sicherheit nicht weniger werden, eher im Gegenteil.

Statt Full-Service sollten also auch zunehmend Spezialisten und moderne Sicherungslösungen in den Blick der Betriebe und Dienstleister rücken wenn es um Personalentscheidungen geht. Die Belastung des Budgets kann heute also kein Grund mehr dafür sein, kein tragfähiges IT-Sicherheitskonzept mit den entsprechenden Mitarbeitern vorweisen zu können. Vielmehr sollten mögliche Folgekosten von Sicherheitsrelevanten Vorfällen die treibende Kraft für die Entscheidung sein, Expertenwissen und moderne Schutzmechanismen im Unternehmen zu integrieren.