COMPLEX - Visus Technology Transfer GmbH
COMPLEX - Visus Technology Transfer GmbH
COMPLEX - Visus Technology Transfer GmbH
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
»Wir haben eine restriktive Security-Politik«<br />
Wiesichdie Sana-Kliniken gegen Computerschädlinge schützen, erläutert RAINER SCHLIENZ,<br />
Leiter des Betreiberzentrums Konzernanwendungen bei der Sana IT Services <strong>GmbH</strong>.<br />
Mit welcher Strategie haben Sie<br />
es geschafft, die von Ihnen betreuten<br />
Sana-Kliniken seit 15 Jahren<br />
virenfrei zu halten?<br />
Eine Sicherheitsstrategie umfasst<br />
immer eine Vielzahl exakt aufeinander<br />
abgestimmter Maßnahmen.<br />
IT-Sicherheit bedeutet bei<br />
Sana modernste Technik mit definierten Vorgehenskonzepten,<br />
die vonunseren eigens hierzu ausgebildeten IT-<br />
Sicherheitsspezialisten präzise umgesetzt werden. Und<br />
diese Securitiy-Experten sitzen bereits ab der ersten Planung<br />
eines IT-Vorhabens mit am Tisch.<br />
Wie sichern Sie sich gegen das Risiko ab, das von<br />
Computern ausgeht, die dem Medizinproduktegesetz<br />
unterliegen?<br />
An dieser Stelle arbeiten wir Hand in Hand mit der<br />
Sana-Medizintechnisches Servicezentrum <strong>GmbH</strong>, der<br />
konzerneigenen Gesellschaft für Medizintechnik. In der<br />
te zur Verfügung stehen. Auch muss die<br />
IT-Abteilung mental auf diese Ausnahmesituationvorbereitet<br />
werden, damit<br />
sie nicht in Panik gerät und sofort mit<br />
dem Einspielen vonPatches beginnt. In<br />
diesem Fall würde –ohne Genehmigung<br />
durchden Hersteller –die Haftung für<br />
Schäden auf die Klinik übergehen.<br />
Ist der Ernstfall eingetreten, sollte die<br />
IT-Abteilung vorrangig die Geschäftsführung<br />
darüber informieren. Denn nur mit<br />
derRückendeckung durchdie Geschäftsführung<br />
können die Verantwortlichkeiten<br />
geklärt werden. Dabei lautet die zentrale<br />
Fragestellung: Hat der Hersteller<br />
versäumt, sein Produkt abzusichern oder<br />
hat das Krankenhaus das Produkt entgegen<br />
der Empfehlungen des Herstellers<br />
in das Kliniknetzwerk integriert?<br />
Im Anschluss daran muss die IT-Abteilung<br />
Kontakt mit dem Hersteller aufnehmen,<br />
um die möglichen Abwehrmaßnahmen<br />
zu besprechen:<br />
Praxis kommen wir aber nicht umhin, zusätzliche Schutzmechanismen<br />
zur Absicherung der betroffenen Geräte<br />
zu implementieren. Dabei müssen wir in der Regel an<br />
anderer Stelle als am abzusichernden Gerät ansetzen.<br />
Wie schützen Sie sich gegen die Gefahr, die von<br />
Laptops und USB-Speichermedien ausgeht?<br />
Wirbetreiben für die vonSana IT Services betreuten<br />
Kliniken eine sehr restriktive Politik. Sana Notebooks<br />
können prinzipiell nicht vom Anwender administriert<br />
werden und lassen sich nur in das Sana-Netz<br />
einbinden. Genausowenig ist es möglich,ein fremdes<br />
Gerät unautorisiert in einem Netzwerk der Sana IT Services<br />
<strong>GmbH</strong> zu betreiben. In Einzelfällen können wir<br />
für ausgewählte Geschäftsvorfälle eine Freigabe von<br />
Datenlaufwerken oder den Einsatz vonUSB-Speichermedien<br />
nicht umgehen. Hier setzen wir auf Echtzeitscanner,Personal<br />
Firewalls und Application White Lists,<br />
die wir stets auf dem neuesten Stand halten.<br />
(Interview: Dr.Michael Lang)<br />
Die Qualitätssicherungsabteilung des<br />
Herstellers soll die sicherheitskritischen<br />
Patches schnellstmöglicheiner Überprüfung<br />
unterziehen.<br />
Andere Sicherheitsmaßnahmen wie<br />
etwaVirenschutz oder Firewalling sollten<br />
ebenfalls mit dem Herstellerdiskutiert<br />
werden.<br />
Auch ein autonomer Betrieb des Medizinprodukts<br />
ohne Netzwerk sollte erörtert<br />
werden.<br />
Parallel zur Kommunikation mit dem<br />
Hersteller sollte die IT-Abteilung permanent<br />
die Aktivitäten des Schädlings analysieren<br />
und den Wurm aus dem Kommunikationsnetz<br />
eliminieren.<br />
Im schlimmsten Fall führt die Infektion<br />
zum Ausfall wichtiger medizinischer<br />
Systeme, und der Hersteller kann keine<br />
Gegenmaßnahmen anbieten. Dann helfen<br />
nur nochdrastische Maßnahmen:<br />
Befreiung vomSchädling und Aktualisierung<br />
mit Patches<br />
Funktionsprüfung durchfachkundiges<br />
Personal<br />
Kennzeichnung, dass das System kein<br />
Medizinprodukt gemäß dem Medizinproduktegesetz<br />
ist und nur nochinNotfällen<br />
auf eigene Gefahr anzuwenden ist.<br />
Fazit: Nur mit einem erfolgreichen<br />
Krisenmanagement ist eine regelkonforme<br />
Wiederinbetriebnahme der Systeme<br />
innerhalb weniger Tage möglich. Und<br />
nur eine Manöverkritik nachAbschluss<br />
der Maßnahmen kann zu Verbesserungen<br />
im Netzwerk führen.<br />
JOCHEN KAISER<br />
ist hauptamtlicher IT-<br />
Sicherheitsbeauftragter<br />
des Klinikums Erlangen.<br />
Kontakt: jochen.kaiser@<br />
ukerlangen.de<br />
EHEALTHCOM 29