ZWISCHEN RISIKO & SICHERHEIT – TEIL 1

Ganz besonders gilt das für die Krankenhäuser selbst – das sind unglaublich komplexe Gebilde, mit ihrer kritischen Infrastruktur und zugleich auch mit vielfältigen Abhängigkeiten und Verzahnungen nach außen. Und je näher es zu den Patient:innen hingeht, umso mehr geht es aus der klassischen IT-Infrastruktur hinaus, auch in die OT hinein. Die IT-Sicherheit wird da schnell zu einem kaum überschaubaren Konvolut an geballten Kategorien, Aspekten und Anforderungen – von Security Governance und Risk Management über Identity, Detection, Response, Business Continuity, Notfall-Krisenmanagement bis hin zu Lieferantensteuerung.

Umso entscheidender ist es, wie und wo man mit Projekten bei der kritischen Infrastruktur ansetzt. Viele ziehen den Kreis am Anfang zu groß. Per se ist ja nicht das ganze Krankenhaus eine kritische Infrastruktur – da gilt es herunterzubrechen: Wo und wodurch gehören welche Aufgaben zur kritischen Infrastruktur, die zunächst einmal die Versorgungssicherheit gewährleisten? Wenn man versucht, sämtliche Themen, Kategorien, Anforderungen und Assets von Anfang an zu integrieren und das alles auch regelmäßig zu auditieren, wird es extrem aufwendig.

Die Anforderungen an unsere Gesundheitsholding sind gleichermaßen klar wie vielfältig: die Gesundheitsversorgung für große Teile Oberösterreichs sicherzustellen und zugleich für zwei Schwerpunktkrankenhäuser und im Kepler Universitätsklinikum auch sehr viele spezifische Leistungen. Entsprechend vielfältig sind die Schnittstellen: Da werden Krankenhausinformationssysteme plötzlich zur Schnittstelle zum Bäckerbetrieb, um sicherzustellen, dass täglich 10.000 Patient:innen ihre Semmeln zum Frühstück haben.

Gerade, weil die Verzahnungen immer stärker werden, agieren wir auch sehr eng abgestimmt mit anderen Organisationen im Gesundheitsbereich, dem CERT und auch mit regionalen Playern wie der Energie AG. Gerade solch ein Austausch ist beim Thema Cyber Security extrem wichtig.

Beispielsweise Tiefkühlsysteme und Stickstoff-Tanks, um Gewebeproben zum Teil 30 Jahre lang aufzuheben und dafür bereit zu halten, wenn neue Analysemethoden und neue Theorien und Technologien entwickelt werden, um dem Krebs auf die Schliche zu kommen. Zugleich erhalten wir von vielen Spitälern Gewebeproben zur Diagnostik, wo es teilweise darum geht, dass die Befunde sehr rasch benötigt und geliefert werden. Diese Systeme gegen Ausfälle aufgrund von Cyber-Angriffen oder Blackouts zu schützen, ist natürlich extrem sensibel.

Gleichzeitig beobachten wir immer häufiger, dass NGOs und da auch Organisationen und Institute, die im Gesundheitsbereich tätig sind, ebenfalls deutlich mehr in den Fokus von Angreifern rücken. Das beginnt bei klassischen Ransomware-Angriffen und reicht bis dahin, dass sogar Operationen nicht wie geplant durchgeführt werden konnten. Und mit dieser Entwicklung und dieser Erkenntnis klarzukommen, ist für uns und für den gesamten Gesundheitsbereich eine enorme Herausforderung. Lange Zeit waren das primäre Ziel von Hackern doch eher die großen Unternehmen, bei denen es nach außen hin deutlich mehr Kapital für Angreifer zu holen gab – auch, wenn man sich natürlich nie darauf verlassen konnte, wenn man eine kritische Infrastruktur zu schützen und zu gewährleisten hat.

Die Pandemie hat nicht nur einen längst fälligen Push für die Digitalisierung gebracht, sondern auch andere systemkritische Themen deutlich aufgezeigt, wie zum Beispiel die Lieferketten-Problematik: Bei uns war in den letzten Jahren unter anderem die Verteilung von Schutzmaterialien an den kompletten niedergelassenen Ärztebereich ein ganz großes Thema – eines, bei dem auch die Kammer zur zentralen kritischen Infrastruktur wurde.

Gleichzeitig hantiert auch die Ärztekammer Wien mit Summen, bei denen sich eine Erpressung vermutlich lohnen würde. Inwieweit die öffentliche Hand auf eine Erpressung eingeht, ist dann eine andere Frage. Was jetzt allerdings verstärkt dazu kommt, ist, dass eine Organisation wie unsere ja auch eine politische Rolle hat, und da kann man nicht ausschließen, dass es irgendwo das Interesse gibt, uns zu schaden. Außerdem verfügen wir über äußerst sensibles Datenmaterial wie zum Beispiel die Ärztelisten. Klar ist heute, dass Cyber Crime auf jeden Fall viel mehr einschließt als klassische Erpressung, und das gilt es alles im Fokus zu haben.

Wir beobachten klassische Erpressungen, wo es einfach um Geld geht, genauso wie Angriffe, um an sensible Informationen heranzukommen oder auch um jemandem gezielt zu schaden. Und spätestens jetzt sind auch mittelständische Unternehmen, die aufgrund ihrer Größe früher nicht so im Fokus standen, oder eben Organisationen im Gesundheitsbereich tatsächlich genauso potenzielle Opfer. Hier spielt auch mit hinein, dass diese Ziele häufig nicht so aufwendig gegen Cyber Crime abgesichert sind wie etwa die großen Industriebetriebe.

Auch die Komplexität der Angriffe hat extrem zugenommen. Einen Ransomware-Angriff bemerkt man recht rasch, spätestens dann, wenn einfach nichts mehr geht. Aber wenn jemand in mein Netzwerk eindringt, um an Infos heranzukommen, dann möchte er möglichst lange unbemerkt agieren. Und im Nachhinein dann herauszufinden, wo der Angreifer überall war und was er alles gefunden und abgezogen hat, ist extrem schwierig und häufig unmöglich. Da kann es dann mitunter die einzige sinnvolle Konsequenz sein, die IT wirklich komplett neu aufzubauen. Und das hat dann noch viel gravierendere Auswirkungen als eine klassische Erpressung.

Und das jetzt schon über einen längeren Zeitraum hindurch – mit der Pandemie, mit der dadurch ausgelösten Lieferkettenproblematik und jetzt mit den geopolitischen Krisen. Darauf gilt es zu reagieren und ein Stück weit die bestehenden Strukturen und Prozesse zu ändern. Und gleichzeitig auch die Denkweise – eine Planung auf drei Jahre zum Beispiel macht nur noch für das große Ganze Sinn, aber nicht auf eine konkrete Ebene heruntergebrochen.

Es gibt ja diese Erkenntnis, dass man gestärkt aus einer Krise hervorgeht – genau die gilt es zu nutzen, um nicht bei der nächsten Krise wieder ganz vorne beginnen zu müssen. Am Anfang der Pandemie wäre es nämlich nicht nötig gewesen, quasi über Nacht alles ins Home Office verschieben zu müssen, weil man damit schon viel früher beginnen hätte können. Und man darf sich jetzt nicht zurücklehnen, weil die Corona-Krise doch einiges geändert und beschleunigt hat, sondern muss laufend nachschärfen.

Weil sich in den letzten Jahren vieles massiv geändert hat. Das bedeutet auch, die geänderten Anforderungen durch die fortschreitende Digitalisierung auf klassische IT-Themen umfassend zu berücksichtigen: auf die IT-Architektur, die Server-Infrastruktur, das Netzwerk und natürlich ganz besonders auf die Security. Mit den bisherigen Ansätzen zu all diesen Themen kommen wir nicht mehr weiter. Da wurde generell viel zu sehr in Systemen und viel zu wenig in Prozessen gedacht, was dann zu völlig überzogenen Notfalllösungen und zu analogen Notfallprozeduren geführt hat, die den nachfolgenden, nötigen Digitalisierungsbedarf viel zu hoch schrauben würden.

Digitalisieren heißt ja nicht, einen analogen Prozess einfach 1:1 digital umzusetzen. Das Problem dabei ist: Was ist, wenn der digitale Prozess dann bricht, wenn die IT ausfällt, oder wenn der Strom nicht mehr da ist? Wie kann ich den digitalen Prozess dann ersetzen, zumindest in Teilen auch analog? Und wer weiß denn überhaupt noch, wie der Prozess analog funktioniert? Gerade aktuell, wo ein massiver Generationenwechsel stattfindet und viele Menschen nach und nach in die Pension gehen, weiß das von den neuen Mitarbeiter:innen kaum jemand.

Gerade in Konzernen hat man stark auf die eigenen länderübergreifenden Prozesse und Ressourcen gesetzt, um Notfälle zu meistern – und dann war plötzlich jedes Land physisch abgeschottet und musste größtenteils auf sich selbst gestellt funktionieren. Es können also immer Szenarien abzudecken sein, die so nicht vorausgesehen wurden. Umso wichtiger sind ganzheitliche Response-Strukturen, um flexibel auf neue Dinge zu reagieren und rasch neue Antworten dafür zu finden.

Mit der NIS2-Richtlinie hat man auch auf EU-Ebene die Richtung vorgegeben. Hier werden neben spezifischen Themen wie Business Continuity, die jetzt verstärkt berücksichtigt werden, die Anforderungen auf der Detaileben generell massiv zunehmen, zum Beispiel wie betroffene Assets in Detection- und Response-Systeme eingebettet sind. Auch die Definition von Branchenstandards geht klar voran – in Deutschland passiert das schon in vielen Branchen, in Österreich bislang vor allem auf dem Energie- und dem Gesundheitssektor und in der Wasserwirtschaft.

Wenn man anfängt, sich mit Risikomanagement zu beschäftigen, nur weil es eine NIS-Richtlinie gibt, dann mangelt es eindeutig daran.

Zu dieser Verantwortung gehört auch und vor allem eine holistische Sicht. Wenn ich den besten Firewall-Konfigurator zum Verantwortlichen für IT-Security mache, dann fehlt zum Beispiel die betriebswirtschaftliche Komponente völlig. Diese Sicht für das Ganze, zu dem jeder und jede Einzelne dazugehört, muss man auf jeder Ebene in die Leute hineinbekommen. Wenn das einmal verankert ist, dann schaffe ich auch leichter resiliente Strukturen, dies es braucht, wenn wirklich einmal etwas passiert.

Die geforderten Reglementarien formal abzuarbeiten, ist nur ein Part. Das muss zur eigentlichen Arbeit mitlaufen und liefert für mich tendenziell eine Checklist, um meine individuelle Situation kritisch zu hinterfragen: Was davon trifft auf meine Szenarien zu? Was kann ich wie daraus für mich ableiten?

Das umzusetzen, in der Organisation zu leben und permanent nachzuschärfen und in der Unternehmenskultur tatsächlich zu verankern, ist der weitaus schwierigere Part. Vor allem auch deshalb, weil sich die Betrachtungsweise und die Priorisierung, die man daraus ableitet, laufend ändern können. Umso wichtiger und zugleich individueller ist das Risikomanagement, weil das Ganze natürlich immer nur so gut abgedeckt ist wie das schwächste Glied in der Kette.

Wie viele Unternehmen hatten denn 2019 einen Risikoprozess für den Ausbruch einer Pandemie in der Schublade? Die meisten waren doch der Ansicht: In modernen Zeiten gibt es das ohnehin nicht mehr. Abgesehen davon gibt es ja unterschiedlichste Ausprägungen einer Pandemie.

Auch wir Expert:innen aus dem Gesundheitssystem haben das nicht vorausgesehen und hatten keine maßgeschneiderten Prozesse dafür vorbereitet. Wir haben die Prozesse aber sehr schnell adaptiert oder neu entwickelt. Die eigentliche Frage ist allerdings eher: Wie kann man sich richtig auf das Unvorhergesehene vorbereiten?

So wie in unserem eigenen Fall zum Beispiel für die Zusammenhänge zwischen den einzelnen Divisions. Welche Dinge laufen dort sehr ähnlich und welche sehr spezifisch? Wo gibt es Verzahnungen? Welche Ursache hat wo welche Auswirkungen? Gerade im Krisenfall ist es wichtig, die wirklichen Pain Points bereits zu kennen, um rasch reagieren zu können, weil man eben nicht alles bis ins Detail vorausplanen kann. Das gilt gerade für neue Bedrohungslagen, wie sie sich die letzten Jahre hindurch immer wieder darstellen. Das Ziel heißt: Be prepared.

Ähnlich wie bei klassischen Gesundheitsthemen ist auch bei der kritischen Infrastruktur eine Risikoabstufung nötig, welche Aufgaben am dringendsten abgedeckt werden müssen. Und darauf gilt es auch die Sicherheitsvorkehrungen dementsprechend auszurichten – mit einer hohen Grundabdeckung von Sicherheit für alle Bereiche und darüber hinaus mit spezifischen Sicherheitsvorkehrungen für ganz bestimmte Bereiche.

Der Ukraine-Krieg hat ja unter anderem dramatisch gezeigt, dass beispielsweise Faktoren wie Strom und Gas nicht selbstverständlich verfügbar sind. Und davor hat uns die Pandemie deutlich gemacht, dass es im Gesamtbild mehr kritische Dinge gibt als die meisten von uns gedacht hatten. Das beginnt mit leeren Regalen bei den Nahversorgern und wird natürlich in engem Sinn immer kritischer, je näher es zum Krankenhaus und zu den Patient:innen geht.

Per se gehören zum großen Gesamtbild der kritischen Infrastruktur Cyber-Angriffe genauso wie Supply Chains dazu und Semmeln und Milch genauso wie Medikamente und gesetzliche Rahmenbedingungen. Deshalb sollte man sich den Level, bis wohin man eine ganzheitliche Betrachtungsweise zieht, offenhalten und auch die Bewertung: Bis hierhin macht es Sinn und ab hier können wir nichts mehr konkret vorausplanen.