ZWISCHEN RISIKO & SICHERHEIT – TEIL 2

In unserem Bereich ist digitale Bildung ein ganz großes Thema – auch mit allen Facetten des Generationenwechsels, der gerade stattfindet. Die einen sind auf ihre bestehenden Prozesse fokussiert und haben zum Teil Angst vor einer unbekannten Materie. Die anderen haben völliges Unverständnis dafür, weshalb alles, was daheim ganz selbstverständlich möglich ist, am Arbeits-PC nicht gehen soll. Es fehlt da auf beiden Seiten am grundsätzlichen Verständnis – auf der einen Seite für den Umgang mit digitalen Tools, auf der anderen für Aspekte wie Datensicherheit.

Und es bedarf auch sehr viel Aufklärungsarbeit bei den 14.000 Mitgliedern unserer Ärztekammer. Deren Fokus liegt voll und ganz auf der Frage: Wo liegt der Nutzen im Zuge des Behandlungsprozesses? Schwierig ist es immer, wenn elektronische Tools gesetzlich aufoktroyiert werden. Um hier Akzeptanz zu schaffen, müssen die Rahmenbedingungen und vor allem die Finanzierung klar sein, und hier gilt es, den Nutzen und mögliche Stolpersteine schon sehr intensiv deutlich zu machen. Das beginnt zum Teil bei wirklichen Basisthemen, wie die Notwendigkeit eines Impressums auf einer Website oder die Umsetzung essentieller Datenschutzkriterien.

Bei uns gibt es beispielsweise verpflichtende Schulungen für alle Mitarbeiter:innen. Wir haben auch ein Team von bereichsübergreifenden sogenannten „Digichamps“ geformt, die unsere User bei der Einführung neuer digitaler Tools, wie etwa Teams, intensiv begleiten.

Die Grenzen tun sich zum einen bei der Akzeptanz auf, wenn es etwa um Themen wie die Multifaktor-Authentisierung geht. Zum anderen aber auch aufgrund von spezifischen Anforderungen in Kernleistungsbereichen. Es ist uns zum Beispiel kaum möglich, USB Sticks generell zu sperren, weil etwa bei der Zulieferung von Blutkonserven die Daten über die Temperaturkurve in der Kühlkette auf USB Sticks dokumentiert werden. Auch, wenn man das nur selektiv zulässt, ist der Handlungsspielraum hier eingeschränkt.

Mittlerweile müssen diese Schulungen gar nicht mehr aus der IT getrieben werden – das tut bei uns in erster Linie schon erfreulicherweise der Betriebsrat. Außerdem lassen wir neue Tools von Super Usern testen um herauszufinden, welche Funktionen wirklich gebraucht werden und auch, wo in der Praxis Sicherheitslücken bei den Anwender:innen auftreten könnten. Bei allen Strategien muss man allerdings eines immer auf dem Radar haben: Auch wenn man noch so gute Sicherheitskonzepte und Pläne für deren Umsetzung hat, gibt es immer ein großes Problem: das Layer-8-Problem, und das sitzt vor dem Rechner, nämlich in Person der User.

Ich kann noch so genau wissen, wie ich in mein MDM auch private Mobile Phones über eine Multifactor Authentication integriere – wenn dann jemand aus dem Management eine Ausnahme haben möchte, wird es extrem schwierig. Die entscheidende Voraussetzung, damit das Bewusstsein für Security in einer Organisation wirklich umgesetzt und gelebt werden kann, ist nämlich, dass ich die Führungsriege davon überzeugen kann. Nur, wenn mir das gelingt, kann ich es auch bei den anderen multiplizieren und nur dann kann Security auch flächendeckend funktionieren.

Und warum es auch sie selbst angeht. Das verständlich zu machen, ist eine kulturelle Herausforderung. Das Problem der digitalen Blockierer, die das nicht verstehen wollen, weil sie alles so beibehalten wollen, wie es schon immer war und sich gegen Änderungen stemmen, wird sich durch die fortschreitende Digitalisierung irgendwann von selbst lösen. Die größere und eigentliche Herausforderung ist es, den hemmungslosen Super Digital Natives die Bedeutung von Security und Datenschutz und den Unterschied zwischen Privatleben und Unternehmen begreiflich zu machen.

Die Digitalisierung in einer Organisation wie der Ärztekammer voranzutreiben, ist eine besondere Herausforderung, weil sich die Funktionärsriege, die den Kurs dafür bestimmt, immer wieder, in unserem Fall alle fünf Jahre, ändert. Das ist für die Mitarbeiter:innen die den aktuellen Kurs umsetzen und leben müssen, nicht einfach. Die Digitalisierung und damit im Zusammenhang auch das Bewusstsein für Security kontinuierlich voranzubringen, wird da zum Teil zum Bohren in dicken Brettern. Die allgemeine Entwicklung in diese Richtung hilft dabei natürlich. Mittlerweile verstehen schon immer mehr Leute, was eine 2-Faktor-Authentisierung ist und warum sie wichtig ist.

Aus meiner früheren Tätigkeit als IT-Verantwortlicher im Gesundheitssektor kann ich sagen, dass dieser Bereich sicher zu den Paradebeispielen dafür gehört. Gerade bei vielen älteren Ärzten in leitenden Positionen gibt es bei dieser digitalen Grundkompetenz Aufholbedarf. Und zugleich haben wir ein anderes, komplett gegensätzliches Problem, nämlich, dass bei vielen Digital Natives diese digitale Kompetenz zwar reichlich vorhanden ist, ihnen dafür aber jegliche Sensibilität für das Thema Sicherheit fehlt – wenn zum Beispiel überhaupt nicht hinterfragt wird, wo man seine Daten überall hinstellt.

Das Bewusstsein für Security ist keine technische oder organisatorische Herausforderung, sondern eine kulturelle. Wir versuchen dieses Bewusstsein zu ermöglichen, indem wir die Komplexität beim Thema Security rausnehmen und auf einen Grad reduzieren, der für die Leute überschaubar ist – zum Beispiel, wenn es um die Prozesse für Notfallmaßnahmen geht. Und natürlich ist es wichtig, dass dieses Bewusstsein durch den Vorstand vorgelebt wird. Neben der Vorbildwirkung hat das auch einen praktischen Nutzen: Executives in exponierten Positionen sind ein viel häufigeres Ziel von Phishing Mails und Credential Harvesting als zum Beispiel Mitarbeiter:innen in der Produktion.

Und natürlich ist der Austausch von Daten auch Teil der täglichen Arbeit – in Form von Kooperationen mit vielen Instituten und Krankenhäusern, für die man beispielsweise Befunde auswertet und ähnliches. Für die IT Security ist das eine Herausforderung, weil der Datenaustausch technisch und früher zum Teil tatsächlich auch in der Praxis über viele Wege laufen kann, die sehr neuralgisch sind – von der Dropbox über USB Sticks bis zu medizintechnischen Analysegeräten, die gar nicht am Netzwerk hängen sollen. Wir sind hier sehr aktiv, um stark zu zentralisieren und möglichst alles im Gesamtblick zu haben und solche potenziellen Sicherheitslücken abzustellen.

Der Drang der Kolleg:innen in der Forschung, Neues zu entdecken und Erkenntnisse zu teilen, bezieht sich allerdings in erster Linie auf den eigenen Bereich und erstreckt sich leider nicht ganz so auf den IT-Bereich. Auch in der Forschung freut sich kaum jemand über IT-Security. Auch hier ist es genauso schwierig, eine 2-Faktor-Authentisierung einzuführen wie in jedem anderen Bereich. So wie wir das für alle externen Dienste, von Exchange über Teams bis zum Service Desk getan haben. Letztlich hat das gut funktioniert, weil wir den Rückhalt von der Geschäftsführung der wissenschaftlichen Leitung hatten. Das ist eine unbedingte Voraussetzung, um Security-Strategien wirklich zu etablieren.

Abseits vom öffentlichen Verkehr der Großstädte, ist dort der Weg für die Patient:innen in die Klinik, zum Teil sehr aufwendig. Hier können IoT-Services wie 24-Stunden-EKG, Blutdruckmessungen oder auch digitale Lösungen für Arztgespräche echten Mehrwert für die Menschen bringen und zugleich die Ambulanzen entlasten. Dieser Bedarf wird zugleich auch durch die demografische Entwicklung zu einem dringenden Thema. Wir sehen da für die nächsten zehn Jahre einen riesigen Umbruch – im Hinblick auf die Patientenströme, aber genauso auf unsere internen Ressourcen. Wir müssen genau hinterfragen, welche Leistungen wir künftig in welcher Form zur Verfügung stellen.

Positiv sehe ich dabei, dass viele IT-Organisationen es mittlerweile geschafft haben , dass die Security nicht mehr als Verhinderer gesehen wird und auch zeitgerecht in Projekte für digitale Innovationen eingebunden wird. Bei uns gibt es beispielsweise für jedes neue IT-Service eine Checklist mit Security-Fragen, die als integraler Bestandteil eines Services akzeptiert ist. Wenn jemand etwa keine Multifaktor-Authentisierung akzeptiert, kann er oder sie dann zum Beispiel auch nicht im Home Office arbeiten. Aber auch ich kann nur betonen, dass es dazu den entsprechenden Rückhalt vom Top Management braucht.

Die IT-Security muss in vielen Bereichen schneller und agiler werden, um mit der Digitalisierung mitzuhalten – wir sind ja alle ständig mit neuen digitalen Lösungen konfrontiert, bei denen auch die Sicherheit immer ein Thema ist. Da muss es dann wahrscheinlich da und dort auch einen Kompromiss zwischen Schnelligkeit und Sicherheit im Sinne von unternehmerisch vertretbaren Risiken geben. Wo es aus meiner Sicht allerdings keine Kompromisse geben kann, ist bei Fragen wie: Was sind die Kernaufgaben, die ich aufrechterhalten muss? Was bedeutet es in der Praxis denn tatsächlich, wenn da etwas ausfällt?

Dinge wie eine Cyber-Versicherung liefern darauf keine Antwort. Ich kenne Fälle, wo das Wiederanlaufen dann einen sechs- oder siebenstelligen Eurobetrag gekostet hat, eine Unmenge an IT-Überstunden und sehr viel Zeit, unter anderen, weil man mit dem Wiederhochfahren zum Teil warten musste, bis die Forensiker der Versicherung alles genau untersucht hatten … und letztlich hat die Versicherung dann nicht gezahlt, weil sie moniert hat, dass man bestimmte Risiken vorab hätte erkennen müssen. Hier tut sich also ein extremes Spannungsfeld zwischen Agilität und Verlässlichkeit auf.

Natürlich liefern etwa eine digitale Befundbesprechung oder ein digitales 24-Stunden-EKG einen klaren Benefit, wenn die räumliche Distanz groß ist und die Verkehrsmöglichkeiten eingeschränkt sind, oder wenn lokal vielleicht gar keine Äzt:innen mehr zur Verfügung stehen, so wie das etwa in skandinavischen Ländern passiert. Bei allen digitalen Services beziehungsweise Anwendungen von e-Health muss jedoch zwingend geklärt werden, was mit den Gesundheitsdaten, die dabei generiert werden, weiter geschieht: Wie werden sie sinnvoll strukturiert aufbereitet? Wie gelangen sie sicher zu den Ärzt:innen und wie können sie genauso sicher ausgewertet werden? Und: Wie sieht es in der Folge mit der „Nutzung“ aus?

Vor allem im Gesundheitsbereich werden häufig viele Daten gesammelt, die umfassend und unter Einhaltung der Datenschutzkriterien zum Beispiel für die Forschung genutzt werden könnten, aber dann tatsächlich brachliegen und niemand echten Nutzen daraus ziehen kann. Hier gibt es noch deutlich Luft nach oben. Hier braucht es natürlich auch das Bewusstsein beispielsweise der Ärzt:innen für diesen Nutzen. Digitale Anwendungen, E-Rezept, ELGA und vieles mehr werden da oft als Angelegenheit der Ärztekammer gesehen, aber als nichts, worum man sich auch selbst kümmern muss. Das unternehmerische Mindset, in Digitalisierung und zugleich auch in Sicherheit zu investieren, damit alles kundenfreundlicher wird, ist da nicht so oft anzutreffen.

Und damit zugleich zu einer immer individuelleren Gestaltung. Die Angriffsvektoren und daher auch die Anforderungen an die IT-Infrastruktur werden in den verschiedenen Branchen immer spezifischer. Gleichzeitig wird das Kerngeschäft immer stärker digitalisiert. Speziell herausfordernd wird es dadurch zum Beispiel in der Fertigung, wenn die komplexen Produktionsabläufe vielfach datenbasiert gesteuert werden, oder wenn heute auch immer mehr Produkte nicht mehr physisch am Ende eines Fließbandes ankommen, sondern in Form von Apps und digitalen Services.

Deshalb gilt es unbedingt, IT-Sicherheit als Teil der IT-Strategie und der digitalen Strategie eines Unternehmens und einer Organisation zu verstehen – und als ein Faktor, der dabei unterstützt, die strategischen Ziele zu erreichen. Das heißt natürlich zugleich, dass auch und gerade in der IT-Security das Wissen um das eigene Business und die entsprechenden Skills immer wichtiger werden.

Es ist allerdings genauso wichtig, dass die Rollen und Bereiche innerhalb der IT-Organisation, von Architektur über Support Management bis zur Infrastruktur, alle ein gemeinsames Verständnis haben, nicht nur, wer was macht, sondern wo die großen Themen tatsächlich liegen. Nur dann kann man entsprechende Maßnahmen setzen. Gleichzeitig ermöglicht dieses Gesamtbild aber auch andere positive Effekte: Wenn das Wissen intern auf breitere Beine gestellt wird, wenn die Infrastruktur-Leute auch wissen, was die Kolleg:innen im Applikationsmanagement bewegt und so weiter, eröffnet das vielfältigere Möglichkeiten, Entwicklungspfade für die bestehenden Mitarbeiter:innen aufzuzeigen und zu gestalten – die übrigens auch für Leute im Business durchaus interessant sind.

Wenn es um hochspezialisierte Skills geht, stellt sich allerdings ohnehin die Frage: Brauchen wir die überhaupt wirklich selber oder decken wir das besser mit Kontakten und Expertenwissen in unserem Ökosystem ab? Wenn man intern zu sehr in ein Spezialthema abdriftet, birgt das zudem die Gefahr, dass die ganzheitliche Sicht auf das Thema Security zu kurz kommt.

Das muss allerdings nicht immer zwangsläufig als Mitarbeiter:innen in der IT-Organisation sein und auch nicht nur in eine Richtung laufen. Das kann auch in gemeinsamen Projekten stattfinden oder auch einmal in die Richtung gehen, dass Leute aus der IT zum Beispiel ins Marketing wechseln und dann dort das Bewusstsein für Security stärken. Unser Ziel ist es, Symbiosen im Sinn einer ganzheitlichen Sicht und Verantwortung zu schaffen.

Dafür braucht es vor allem Leute, die Fragen stellen. Unter Umständen sind das die wertvolleren Security-Mitarbeiter:innen als jemand der immer nur Firewall-Routinen macht. Leute, die natürlich schon die Architektur ein wenig verstehen, die aber zugleich unternehmerisch denken und die sich zum Beispiel auch für die aktuellen Trends und für Technologie-Partner interessieren. Das ist wichtig, um zu beurteilen, ob die beste technische Lösung auch die ist, die wirklich am besten für uns geeignet ist.

Zum Beispiel dadurch, dass Home Office nun auch im öffentlichen Dienst möglich ist und auch stark genutzt wird. Womit wir aber vor allem punkten und dann doch so manche interessante Bewerber:innen gewinnen können, ist unsere regional flächendeckende Aufstellung. Und wir haben vor einigen Jahren auch eine massive Lehrlingsoffensive in der IT gestartet: Pro Jahr bilden wir 25 bis 30 Lehrlinge in der Technik vor Ort und in den zentralen Diensten aus, die dabei unterschiedliche Bereiche und Themen durchlaufen – von der Security über den Applikationsbetrieb im KIS-Umfeld bis zur Infrastruktur. Natürlich bleiben nicht alle Lehrlinge im Unternehmen, aber die, die bleiben, bringen den großen Vorteil mit, dass sie die Themen, die Strukturen und die Prozesse schon gut kennen.

Dieser Vorteil gilt natürlich nicht nur für die Lehrlinge. Gerade für die IT und die Security werden Mitarbeiter:innen, die das Unternehmen und seine Abläufe schon gut kennen, immer wertvoller. Mit insgesamt 16.000 Mitarbeitern im Konzern ist es ja nur logisch, dass es auch intern einen regen Austausch und Wettbewerb um die besten Köpfe gibt.

An einem Standort zwischen den großen Ballungszentren, wie dem unseren in Baden, ist es nämlich kaum mehr möglich, Security-Expert:innen zu bekommen. Natürlich kann man unmöglich alles intern abdecken, sondern muss dazu auf die Ressourcen und das Expertenwissen externer Dienstleister zugreifen, aber das muss man sich immer genau anschauen. Es nützt mir nichts, wenn ein Systemhaus ein SOC mit vierstündigen SLAs für den Notfall für mich betreibt und das dann vielleicht mit zwei Mitarbeiter:innen für 30 andere Kunden auch. Und wenn der Notfall dann eintritt und einer der beiden gerade krank ist, dann bleibe ich unter Umständen auf meinen SLAs sitzen und bekomme eine Pönale, die mir nichts nützt.

Wir forcieren deshalb auch den Austausch von Wissen und auch von Skills mit anderen Unternehmen, vor allem mit solchen, die bei uns geografisch in der Nähe angesiedelt sind, weil die unsere Pains und Needs naturgemäß sehr gut verstehen und umgekehrt genauso.