Diese gleichermaßen brennende wie komplexe Frage liefert mehr als genug Stoff für eine zweiteilige Roundtable-Nachlese. Kaum ein anderer Bereich ist so ein Paradebeispiel für die hohen Anforderungen an digitale Innovationen und zugleich an sichere Infrastrukturen und Prozesse wie der Gesundheitssektor. Und in kaum einem anderen Bereich ist die Einschätzung von Risiken so sensibel.

Deshalb baten wir dazu gemeinsam mit unserem Co-Host T-Systems hochkarätige Digital Executives aus verschiedensten Bereichen des Ecosystems Healthcare zum Erfahrungs- und Gedankenaustausch am Roundtable. Am runden Tisch diskutierten: Dominik Achleitner (NÖM), Christopher Ehmsen (Telekom Cyber Security Austria), Rolf Göder (Kwizda Holding), Christian Jedinger (OÖ Gesundheitsholding), Stefan Konrad (Ärztekammer Wien), Andreas Meneder-Nieuwenhuizen (Telekom Cyber Security Austria), Julia Müller-Rabl (Ärztekammer Wien), Ingomar Schmickl (St. Anna Kinderkrebsforschung) und Martin Urwaleck (Pharmazeutische Gehaltskasse Österreich).

Die Themen im ersten Teil unserer Nachlese: Wie lassen sich all die potenziellen Angriffsvektoren in eine Gesamtstrategie integrieren? Welche Assets, Services und Schnittstellen zum Kernbereich der Patient:innen sind tatsächlich kritisch? Wo bedarf es ganz neue Notfallpläne und ebenso neue Denkansätze? Und warum und wie wird Risikomanagement dabei zum entscheidenden Faktor?

Moderiert wurde die Diskussion von Michael Dvorak, Herausgeber DIGBIZ LEADER Media & CIO GUIDE/CDO GUIDE, fotografiert von Milagros Martinez-Flener.


„Das Thema IT-Sicherheit ist gerade im Gesundheitsbereich heute für viele eine riesige Herausforderung.“

Andreas Meneder-Nieuwenhuizen

Head of International Security Services & Critical Infrastructure Consulting Deutsche Telekom Cyber Security Austria GmbH

„Das Thema IT-Sicherheit ist gerade im Gesundheitsbereich heute für viele eine riesige Herausforderung.“

Andreas Meneder-Nieuwenhuizen

Head of International Security Services & Critical Infrastructure Consulting Deutsche Telekom Cyber Security Austria GmbH
Weiterlesen

Ganz besonders gilt das für die Krankenhäuser selbst – das sind unglaublich komplexe Gebilde, mit ihrer kritischen Infrastruktur und zugleich auch mit vielfältigen Abhängigkeiten und Verzahnungen nach außen. Und je näher es zu den Patient:innen hingeht, umso mehr geht es aus der klassischen IT-Infrastruktur hinaus, auch in die OT hinein. Die IT-Sicherheit wird da schnell zu einem kaum überschaubaren Konvolut an geballten Kategorien, Aspekten und Anforderungen – von Security Governance und Risk Management über Identity, Detection, Response, Business Continuity, Notfall-Krisenmanagement bis hin zu Lieferantensteuerung.

Umso entscheidender ist es, wie und wo man mit Projekten bei der kritischen Infrastruktur ansetzt. Viele ziehen den Kreis am Anfang zu groß. Per se ist ja nicht das ganze Krankenhaus eine kritische Infrastruktur – da gilt es herunterzubrechen: Wo und wodurch gehören welche Aufgaben zur kritischen Infrastruktur, die zunächst einmal die Versorgungssicherheit gewährleisten? Wenn man versucht, sämtliche Themen, Kategorien, Anforderungen und Assets von Anfang an zu integrieren und das alles auch regelmäßig zu auditieren, wird es extrem aufwendig.

Schliessen

„Unser Kernleistungsbereich ist beim Patienten und bei der Patientin. Welche vielfältigen Schnittstellen es zu diesem Bereich aber gibt, ist auf den ersten Blick gar nicht so klar.“

Christian Jedinger

Leiter Enterprise & IT-Architektur sowie IT-Sicherheit Oberösterreichische Gesundheitsholding

„Unser Kernleistungsbereich ist beim Patienten und bei der Patientin. Welche vielfältigen Schnittstellen es zu diesem Bereich aber gibt, ist auf den ersten Blick gar nicht so klar.“

Christian Jedinger

Leiter Enterprise & IT-Architektur sowie IT-Sicherheit Oberösterreichische Gesundheitsholding
Weiterlesen

Die Anforderungen an unsere Gesundheitsholding sind gleichermaßen klar wie vielfältig: die Gesundheitsversorgung für große Teile Oberösterreichs sicherzustellen und zugleich für zwei Schwerpunktkrankenhäuser und im Kepler Universitätsklinikum auch sehr viele spezifische Leistungen. Entsprechend vielfältig sind die Schnittstellen: Da werden Krankenhausinformationssysteme plötzlich zur Schnittstelle zum Bäckerbetrieb, um sicherzustellen, dass täglich 10.000 Patient:innen ihre Semmeln zum Frühstück haben.

Gerade, weil die Verzahnungen immer stärker werden, agieren wir auch sehr eng abgestimmt mit anderen Organisationen im Gesundheitsbereich, dem CERT und auch mit regionalen Playern wie der Energie AG. Gerade solch ein Austausch ist beim Thema Cyber Security extrem wichtig.

Schliessen

„In einem Institut wie der St. Anna Kinderkrebsforschung gibt es sehr spezifische Anforderungen an die kritische IT-Infrastruktur.“

Ingomar Schmickl

Head of IT St. Anna Kinderkrebsforschung GmbH

„In einem Institut wie der St. Anna Kinderkrebsforschung gibt es sehr spezifische Anforderungen an die kritische IT-Infrastruktur.“

Ingomar Schmickl

Head of IT St. Anna Kinderkrebsforschung GmbH
Weiterlesen

Beispielsweise Tiefkühlsysteme und Stickstoff-Tanks, um Gewebeproben zum Teil 30 Jahre lang aufzuheben und dafür bereit zu halten, wenn neue Analysemethoden und neue Theorien und Technologien entwickelt werden, um dem Krebs auf die Schliche zu kommen. Zugleich erhalten wir von vielen Spitälern Gewebeproben zur Diagnostik, wo es teilweise darum geht, dass die Befunde sehr rasch benötigt und geliefert werden. Diese Systeme gegen Ausfälle aufgrund von Cyber-Angriffen oder Blackouts zu schützen, ist natürlich extrem sensibel.

Gleichzeitig beobachten wir immer häufiger, dass NGOs und da auch Organisationen und Institute, die im Gesundheitsbereich tätig sind, ebenfalls deutlich mehr in den Fokus von Angreifern rücken. Das beginnt bei klassischen Ransomware-Angriffen und reicht bis dahin, dass sogar Operationen nicht wie geplant durchgeführt werden konnten. Und mit dieser Entwicklung und dieser Erkenntnis klarzukommen, ist für uns und für den gesamten Gesundheitsbereich eine enorme Herausforderung. Lange Zeit waren das primäre Ziel von Hackern doch eher die großen Unternehmen, bei denen es nach außen hin deutlich mehr Kapital für Angreifer zu holen gab – auch, wenn man sich natürlich nie darauf verlassen konnte, wenn man eine kritische Infrastruktur zu schützen und zu gewährleisten hat.

Schliessen

„Dass nur die ganz großen Unternehmen lohnende Ziele für Cyber-Angriffe sind, ist spätestens jetzt eine klare Fehleinschätzung.“

Stefan Konrad

Vizepräsident Ärztekammer für Wien und Vorstandsverantwortlicher für das Thema Digitalisierung, Oberarzt an der Universitätsklinik für Radioonkologie des AKH Wien, niedergelassener Arzt in einem digitalen Ärztezentrum

„Dass nur die ganz großen Unternehmen lohnende Ziele für Cyber-Angriffe sind, ist spätestens jetzt eine klare Fehleinschätzung.“

Stefan Konrad

Vizepräsident Ärztekammer für Wien und Vorstandsverantwortlicher für das Thema Digitalisierung, Oberarzt an der Universitätsklinik für Radioonkologie des AKH Wien, niedergelassener Arzt in einem digitalen Ärztezentrum
Weiterlesen

Die Pandemie hat nicht nur einen längst fälligen Push für die Digitalisierung gebracht, sondern auch andere systemkritische Themen deutlich aufgezeigt, wie zum Beispiel die Lieferketten-Problematik: Bei uns war in den letzten Jahren unter anderem die Verteilung von Schutzmaterialien an den kompletten niedergelassenen Ärztebereich ein ganz großes Thema – eines, bei dem auch die Kammer zur zentralen kritischen Infrastruktur wurde.

Gleichzeitig hantiert auch die Ärztekammer Wien mit Summen, bei denen sich eine Erpressung vermutlich lohnen würde. Inwieweit die öffentliche Hand auf eine Erpressung eingeht, ist dann eine andere Frage. Was jetzt allerdings verstärkt dazu kommt, ist, dass eine Organisation wie unsere ja auch eine politische Rolle hat, und da kann man nicht ausschließen, dass es irgendwo das Interesse gibt, uns zu schaden. Außerdem verfügen wir über äußerst sensibles Datenmaterial wie zum Beispiel die Ärztelisten. Klar ist heute, dass Cyber Crime auf jeden Fall viel mehr einschließt als klassische Erpressung, und das gilt es alles im Fokus zu haben.

Schliessen

„Die Angriffsvektoren und die Akteure selbst – und dadurch zugleich auch die Angriffsziele – sind heute extrem vielfältig.“

Christopher Ehmsen

CEO Deutsche Telekom Cyber Security Austria GmbH

„Die Angriffsvektoren und die Akteure selbst – und dadurch zugleich auch die Angriffsziele – sind heute extrem vielfältig.“

Christopher Ehmsen

CEO Deutsche Telekom Cyber Security Austria GmbH
Weiterlesen

Wir beobachten klassische Erpressungen, wo es einfach um Geld geht, genauso wie Angriffe, um an sensible Informationen heranzukommen oder auch um jemandem gezielt zu schaden. Und spätestens jetzt sind auch mittelständische Unternehmen, die aufgrund ihrer Größe früher nicht so im Fokus standen, oder eben Organisationen im Gesundheitsbereich tatsächlich genauso potenzielle Opfer. Hier spielt auch mit hinein, dass diese Ziele häufig nicht so aufwendig gegen Cyber Crime abgesichert sind wie etwa die großen Industriebetriebe.

Auch die Komplexität der Angriffe hat extrem zugenommen. Einen Ransomware-Angriff bemerkt man recht rasch, spätestens dann, wenn einfach nichts mehr geht. Aber wenn jemand in mein Netzwerk eindringt, um an Infos heranzukommen, dann möchte er möglichst lange unbemerkt agieren. Und im Nachhinein dann herauszufinden, wo der Angreifer überall war und was er alles gefunden und abgezogen hat, ist extrem schwierig und häufig unmöglich. Da kann es dann mitunter die einzige sinnvolle Konsequenz sein, die IT wirklich komplett neu aufzubauen. Und das hat dann noch viel gravierendere Auswirkungen als eine klassische Erpressung.

Schliessen

„Das Besondere an der aktuellen Situation ist, dass sich eine Vielzahl von vielschichtigen Themen- und Problemfeldern aneinanderreihen und schon eine neue Intensität und Dramatik mit sich bringen.“

Rolf Göder

Manager Group IT/CIO Kwizda Holding GmbH

„Das Besondere an der aktuellen Situation ist, dass sich eine Vielzahl von vielschichtigen Themen- und Problemfeldern aneinanderreihen und schon eine neue Intensität und Dramatik mit sich bringen.“

Rolf Göder

Manager Group IT/CIO Kwizda Holding GmbH
Weiterlesen

Und das jetzt schon über einen längeren Zeitraum hindurch – mit der Pandemie, mit der dadurch ausgelösten Lieferkettenproblematik und jetzt mit den geopolitischen Krisen. Darauf gilt es zu reagieren und ein Stück weit die bestehenden Strukturen und Prozesse zu ändern. Und gleichzeitig auch die Denkweise – eine Planung auf drei Jahre zum Beispiel macht nur noch für das große Ganze Sinn, aber nicht auf eine konkrete Ebene heruntergebrochen.

Es gibt ja diese Erkenntnis, dass man gestärkt aus einer Krise hervorgeht – genau die gilt es zu nutzen, um nicht bei der nächsten Krise wieder ganz vorne beginnen zu müssen. Am Anfang der Pandemie wäre es nämlich nicht nötig gewesen, quasi über Nacht alles ins Home Office verschieben zu müssen, weil man damit schon viel früher beginnen hätte können. Und man darf sich jetzt nicht zurücklehnen, weil die Corona-Krise doch einiges geändert und beschleunigt hat, sondern muss laufend nachschärfen.

Schliessen

„Wir sind gerade dabei, Krisenszenarien zu evaluieren und uns genau anzuschauen, was davon eigentlich noch wirklich relevant ist.“

Martin Urwaleck

IT-Leiter Pharmazeutische Gehaltskasse für Österreich

„Wir sind gerade dabei, Krisenszenarien zu evaluieren und uns genau anzuschauen, was davon eigentlich noch wirklich relevant ist.“

Martin Urwaleck

IT-Leiter Pharmazeutische Gehaltskasse für Österreich
Weiterlesen

Weil sich in den letzten Jahren vieles massiv geändert hat. Das bedeutet auch, die geänderten Anforderungen durch die fortschreitende Digitalisierung auf klassische IT-Themen umfassend zu berücksichtigen: auf die IT-Architektur, die Server-Infrastruktur, das Netzwerk und natürlich ganz besonders auf die Security. Mit den bisherigen Ansätzen zu all diesen Themen kommen wir nicht mehr weiter. Da wurde generell viel zu sehr in Systemen und viel zu wenig in Prozessen gedacht, was dann zu völlig überzogenen Notfalllösungen und zu analogen Notfallprozeduren geführt hat, die den nachfolgenden, nötigen Digitalisierungsbedarf viel zu hoch schrauben würden.

Digitalisieren heißt ja nicht, einen analogen Prozess einfach 1:1 digital umzusetzen. Das Problem dabei ist: Was ist, wenn der digitale Prozess dann bricht, wenn die IT ausfällt, oder wenn der Strom nicht mehr da ist? Wie kann ich den digitalen Prozess dann ersetzen, zumindest in Teilen auch analog? Und wer weiß denn überhaupt noch, wie der Prozess analog funktioniert? Gerade aktuell, wo ein massiver Generationenwechsel stattfindet und viele Menschen nach und nach in die Pension gehen, weiß das von den neuen Mitarbeiter:innen kaum jemand.

Schliessen

„Gerade das Pandemie-Szenario hat natürlich klassische Response-Pläne zum Teil komplett über den Haufen geworfen.“

Andreas Meneder- Nieuwenhuizen

Head of International Security Services & Critical Infrastructure Consulting Deutsche Telekom Cyber Security Austria GmbH

„Gerade das Pandemie-Szenario hat natürlich klassische Response-Pläne zum Teil komplett über den Haufen geworfen.“

Andreas Meneder- Nieuwenhuizen

Head of International Security Services & Critical Infrastructure Consulting Deutsche Telekom Cyber Security Austria GmbH
Weiterlesen

Gerade in Konzernen hat man stark auf die eigenen länderübergreifenden Prozesse und Ressourcen gesetzt, um Notfälle zu meistern – und dann war plötzlich jedes Land physisch abgeschottet und musste größtenteils auf sich selbst gestellt funktionieren. Es können also immer Szenarien abzudecken sein, die so nicht vorausgesehen wurden. Umso wichtiger sind ganzheitliche Response-Strukturen, um flexibel auf neue Dinge zu reagieren und rasch neue Antworten dafür zu finden.

Mit der NIS2-Richtlinie hat man auch auf EU-Ebene die Richtung vorgegeben. Hier werden neben spezifischen Themen wie Business Continuity, die jetzt verstärkt berücksichtigt werden, die Anforderungen auf der Detaileben generell massiv zunehmen, zum Beispiel wie betroffene Assets in Detection- und Response-Systeme eingebettet sind. Auch die Definition von Branchenstandards geht klar voran – in Deutschland passiert das schon in vielen Branchen, in Österreich bislang vor allem auf dem Energie- und dem Gesundheitssektor und in der Wasserwirtschaft.

Schliessen

„Für mich ist IT-Sicherheit vor allem eine Frage von Verantwortung.“

Dominik Achleitner

Head of IT NÖM AG

„Für mich ist IT-Sicherheit vor allem eine Frage von Verantwortung.“

Dominik Achleitner

Head of IT NÖM AG
Weiterlesen

Wenn man anfängt, sich mit Risikomanagement zu beschäftigen, nur weil es eine NIS-Richtlinie gibt, dann mangelt es eindeutig daran.

Zu dieser Verantwortung gehört auch und vor allem eine holistische Sicht. Wenn ich den besten Firewall-Konfigurator zum Verantwortlichen für IT-Security mache, dann fehlt zum Beispiel die betriebswirtschaftliche Komponente völlig. Diese Sicht für das Ganze, zu dem jeder und jede Einzelne dazugehört, muss man auf jeder Ebene in die Leute hineinbekommen. Wenn das einmal verankert ist, dann schaffe ich auch leichter resiliente Strukturen, dies es braucht, wenn wirklich einmal etwas passiert.

Schliessen

„Die NIS-Richtlinie und entsprechende Audits und die dabei behandelten Kriterien und Themenfelder sind wichtig und notwendig. Man darf sich nur nicht der Illusion hingeben, dass die Arbeit damit getan ist.“

Rolf Göder

Manager Group IT/CIO Kwizda Holding GmbH

„Die NIS-Richtlinie und entsprechende Audits und die dabei behandelten Kriterien und Themenfelder sind wichtig und notwendig. Man darf sich nur nicht der Illusion hingeben, dass die Arbeit damit getan ist.“

Rolf Göder

Manager Group IT/CIO Kwizda Holding GmbH
Weiterlesen

Die geforderten Reglementarien formal abzuarbeiten, ist nur ein Part. Das muss zur eigentlichen Arbeit mitlaufen und liefert für mich tendenziell eine Checklist, um meine individuelle Situation kritisch zu hinterfragen: Was davon trifft auf meine Szenarien zu? Was kann ich wie daraus für mich ableiten?

Das umzusetzen, in der Organisation zu leben und permanent nachzuschärfen und in der Unternehmenskultur tatsächlich zu verankern, ist der weitaus schwierigere Part. Vor allem auch deshalb, weil sich die Betrachtungsweise und die Priorisierung, die man daraus ableitet, laufend ändern können. Umso wichtiger und zugleich individueller ist das Risikomanagement, weil das Ganze natürlich immer nur so gut abgedeckt ist wie das schwächste Glied in der Kette.

Schliessen

„Die Frage ist ja nicht, ob man auf alles Unvorhergesehene und damit auch auf das Richtige vorbereitet sein kann. Das ist einfach nicht möglich.“

Stefan Konrad

Vizepräsident Ärztekammer für Wien und Vorstandsverantwortlicher für das Thema Digitalisierung, Oberarzt an der Universitätsklinik für Radioonkologie des AKH Wien, niedergelassener Arzt in einem digitalen Ärztezentrum

„Die Frage ist ja nicht, ob man auf alles Unvorhergesehene und damit auch auf das Richtige vorbereitet sein kann. Das ist einfach nicht möglich.“

Stefan Konrad

Vizepräsident Ärztekammer für Wien und Vorstandsverantwortlicher für das Thema Digitalisierung, Oberarzt an der Universitätsklinik für Radioonkologie des AKH Wien, niedergelassener Arzt in einem digitalen Ärztezentrum
Weiterlesen

Wie viele Unternehmen hatten denn 2019 einen Risikoprozess für den Ausbruch einer Pandemie in der Schublade? Die meisten waren doch der Ansicht: In modernen Zeiten gibt es das ohnehin nicht mehr. Abgesehen davon gibt es ja unterschiedlichste Ausprägungen einer Pandemie.

Auch wir Expert:innen aus dem Gesundheitssystem haben das nicht vorausgesehen und hatten keine maßgeschneiderten Prozesse dafür vorbereitet. Wir haben die Prozesse aber sehr schnell adaptiert oder neu entwickelt. Die eigentliche Frage ist allerdings eher: Wie kann man sich richtig auf das Unvorhergesehene vorbereiten?

Schliessen

„Risikomanagement ist ein perfekter Hebel, um das Verständnis für das Ganze zu erreichen und zu verstärken.“

Rolf Göder

Manager Group IT/CIO Kwizda Holding GmbH

„Risikomanagement ist ein perfekter Hebel, um das Verständnis für das Ganze zu erreichen und zu verstärken.“

Rolf Göder

Manager Group IT/CIO Kwizda Holding GmbH
Weiterlesen

So wie in unserem eigenen Fall zum Beispiel für die Zusammenhänge zwischen den einzelnen Divisions. Welche Dinge laufen dort sehr ähnlich und welche sehr spezifisch? Wo gibt es Verzahnungen? Welche Ursache hat wo welche Auswirkungen? Gerade im Krisenfall ist es wichtig, die wirklichen Pain Points bereits zu kennen, um rasch reagieren zu können, weil man eben nicht alles bis ins Detail vorausplanen kann. Das gilt gerade für neue Bedrohungslagen, wie sie sich die letzten Jahre hindurch immer wieder darstellen. Das Ziel heißt: Be prepared.

Ähnlich wie bei klassischen Gesundheitsthemen ist auch bei der kritischen Infrastruktur eine Risikoabstufung nötig, welche Aufgaben am dringendsten abgedeckt werden müssen. Und darauf gilt es auch die Sicherheitsvorkehrungen dementsprechend auszurichten – mit einer hohen Grundabdeckung von Sicherheit für alle Bereiche und darüber hinaus mit spezifischen Sicherheitsvorkehrungen für ganz bestimmte Bereiche.

Schliessen

„Es ist wichtig, dass sich sich das Gesamtbild der kritischen Infrastruktur und die daraus abgeleitete Risikobewertung laufend ändern und anpassen.“

Christopher Ehmsen

CEO Deutsche Telekom Cyber Security Austria GmbH

„Es ist wichtig, dass sich sich das Gesamtbild der kritischen Infrastruktur und die daraus abgeleitete Risikobewertung laufend ändern und anpassen.“

Christopher Ehmsen

CEO Deutsche Telekom Cyber Security Austria GmbH
Weiterlesen

Der Ukraine-Krieg hat ja unter anderem dramatisch gezeigt, dass beispielsweise Faktoren wie Strom und Gas nicht selbstverständlich verfügbar sind. Und davor hat uns die Pandemie deutlich gemacht, dass es im Gesamtbild mehr kritische Dinge gibt als die meisten von uns gedacht hatten. Das beginnt mit leeren Regalen bei den Nahversorgern und wird natürlich in engem Sinn immer kritischer, je näher es zum Krankenhaus und zu den Patient:innen geht.

Per se gehören zum großen Gesamtbild der kritischen Infrastruktur Cyber-Angriffe genauso wie Supply Chains dazu und Semmeln und Milch genauso wie Medikamente und gesetzliche Rahmenbedingungen. Deshalb sollte man sich den Level, bis wohin man eine ganzheitliche Betrachtungsweise zieht, offenhalten und auch die Bewertung: Bis hierhin macht es Sinn und ab hier können wir nichts mehr konkret vorausplanen.

Schliessen