Aktives Risikomanagement ist eine formelle Forderung von vielen Seiten. Der Gesetzgeber, Aufsichtsbehörden, nationale und internationale Standards fordern uns zum Risikomanagement auf. Und nicht zuletzt liegt es im Interesse der Sicherheit unserer Patient:innen, dass wir uns um Risiken kümmern. Und doch erscheint es oft so, als ob Risikomanagement eher Formsache als tatsächliches Entscheidungswerkzeug im Alltag ist. Risikobewertungen, die jährlich stattfinden, um formelle Anforderungen zum Beispiel einer Zertifizierung eines Informationssicherheitsmanagementsystems zu erfüllen, sind immer noch weitverbreitet. Es fühlt sich eher als Qual an denn als wertvolles Werkzeug.
Schade, dass Sicherheitsstandards an vielen Stellen vage bleiben und zu wenig „Konkretes“ zu Methoden, Fristen und Vorgehen vorgeben beziehungsweise vorschlagen. Gleichzeitig ist das aber auch ein Vorteil, denn wo wenig konkrete Forderungen vorhanden sind, haben wir die Möglichkeit, ein für uns passendes Vorgehensmodell zu finden und anzuwenden.
Warum fällt es uns also so schwer, Risikomanagement zu einer Tagesaufgabe zu machen?
TOP 1: Geschwindigkeit der Veränderung Bedrohungslage
Die Log4J Sicherheitslücke hat zum Beispiel schnelles und gezieltes Reagieren erfordert. Keine Rücksicht nahm die Sicherheitslücke und diejenigen, die sie zu ihren Gunsten ausnutzen wollten, auf die Tagesprioritäten in unseren Kliniken oder auf Dienst- und Urlaubspläne. Tage, ja Stunden können darüber entscheiden, ob es gelingt, die Sicherheitslücken ausreichend zu beseitigen oder auch Kompensationsmaßnahmen zu ergreifen. Die Maßnahmen, die Sicherheitslücke zu schließen, zogen sich hin, da immer wieder neue Patches zu installieren waren, die ihrerseits Auswirkungen hatten.
Es stellt sich vielleicht die Frage: Ist das Schwachstellenmanagement wirklich ein aktiver Teil des Risikomanagements? Die handelnden Personen und betroffenen Abteilungen sind meist nicht dieselben. Auch der Adressatenkreis von Berichten ist häufig ein anderer. „Schwachstellenmanagement macht die IT, das Risikomanagement ist für die Vorstände“, hört man öfters, wobei vollkommen unterschätzt wird, wie sich mangelhaftes IT-Risikomanagement auf die unternehmerische Leistungserbringung auswirken kann.
Mit der Realität hat das nicht viel zu tun. In rasendem Tempo ändern sich die Bedrohungen, und neue Schwachstellen, die von Angreifern ausgenutzt werden können, sind zeitkritisch. Um Maßnahmen sinnvoll zu steuern, brauchen wir heute ein tägliches Lagebild und eine dynamische Form des Risikomanagements. Das erfordert unterschiedliche Informationsquellen und Zuständigkeiten so zu bündeln, dass ein wirklich tagesaktueller Blick auf die Informations- und IT-Sicherheit entstehen kann.
Dazu gehört, dass wir in der Lage sind, Anomalien zu erkennen – Veränderungen zum Beispiel im Netzwerkverkehr, aber auch im Verhalten von Applikationen. Und natürlich sollten wir Versuche erkennen, interne Informationen nach außen weiterzuleiten – egal ob durch Eindringlinge in die Netzwerke oder durch absichtliches oder fahrlässiges Verhalten von innen. Das umfasst Nutzerinnen und Nutzer, die mangels Bewusstseins und in der Hektik des Klinikalltags versuchen Regeln auszuhebeln, aber auch bewusste Sabotageakte (egal aus welcher Veranlassung heraus). Risikomanagement muss sich also deutlich aus den bisherigen formalen Anwendungsfällen heraus zu einem übergreifenden und täglichen Werkzeug im Klinikalltag weiterentwickeln.
TOP 2: Dynamisches, tagesaktuelles Risikomanagement
Wenn wir uns anschauen, was es an Anforderungen zum Risikomanagement zum Beispiel im Bereich der internationalen Standards gibt, fallen uns ein paar Regelwerke ein. Diese stellen zumindest einen gemeinsamen Nenner her und dienen teilweise auch der „offiziellen“ Nachweisführung, zum Beispiel in Zertifizierungsaudits. Da wäre einmal ISO/IEC 31000, als Grundlagenwerk des Risikomanagements, die in der aktuellen Version aus dem Jahr 2018 auf dem Markt ist. Dort sind als Prinzipien unter anderem eine „integrierte“ Risikoanalyse und ein „dynamisches“ Risikomanagement verankert.
DIN EN ISO/IEC 27001:2017 wendet die Grundlagen von ISO 31000 an, um ein Managementsystem für Informationssicherheit (ISMS) zu bilden. Da ISO 27001 ebenfalls sehr generisch bleibt, gibt es mit ISO/IEC 27005 (Ausgabejahr 2018) eine Konkretisierung der ISO 31000 für die Welt der Informationssicherheit mit ein paar spannenden Anhängen. Damit sollen die Anwenderinnen und Anwender zusätzliche Ideen und Anhaltspunkte bekommen, welche Aspekte in einem ISMS berücksichtigt werden sollen. Als Leitfaden bleibt diese Norm aber rein empfehlend und hat keinen verbindlichen Charakter.
Von besonderer Bedeutung für Netzwerke, die Medizinische Produkte enthalten, ist sicherlich EN IEC 80001-1, aktuell aus dem Jahr 2021. Dort werden über den Lebenszyklus eines Medizinproduktes hinweg Hinweise zum Risikomanagement gegeben. Spannend dabei ist es, dass es nicht nur um Sicherheit im Sinn der „Security“ geht, sondern in besonderem Maße auch um „Safety“, also die Patientensicherheit und sichere Anwendung eines Medizinproduktes.
Das bringt uns zu einem wichtigen Aspekt des (Informationssicherheits-)Risikomanagements im klinischen Umfeld. Entgegen der „klassischen“ Anwendung von Informationssicherheitsmanagementsystemen steht hier die Safety an einer wichtigen Position. Versorgungssicherheit des Klinikums, Patientensicherheit und Behandlungseffektivität sind wichtige Eckpfeiler des Risikomanagements, die laufend mit Erwartungen aus Sicht der „Security“ abgeglichen werden müssen. Dafür kann uns EN IEC 80001-1 gut Hinweise geben, wie eine Hazard-Analysis (eine Gefährdungsbeurteilung aus Safety-Sicht) in die „reguläre“ Risikobeurteilung eingebunden werden kann. Ein einfaches dreiphasiges Modell begleitet bei der Anwendung: Risikoanalyse (inklusive der Gefährdungsbeurteilung und Risikoabschätzung), Risikobewertung (Risk Evaluation) und Risk Control mit einer abschließenden Bewertung der ausgewählten Maßnahmen gegen Security- und Safety-Anforderungen.
Spannend ist natürlich auch ein Blick in die neue ISO/IEC 27002 aus dem Jahr 2022, die einen völlig überarbeiteten Katalog an Informationssicherheitsmaßnahmen mitbringt. Ab dem Herbst dieses Jahres kann dieser Katalog dann in die ISO/IEC 27001 eingebunden werden (angekündigt für 1. Oktober).
Insbesondere eine neue Maßnahme „Threat Intelligence“ bringt neue Dynamik in ein ISMS. Bisher war lediglich gefordert gewesen, erkannte Schwachstellen so zeitnah wie möglich zu behandeln, und wenn dies nicht möglich war, die Schwachstelle im Risikomanagement zu betrachten. Nun kommt ein Blick nach vorne dazu durch eine rechtzeitige Aufklärung über Bedrohungen.
Inhaltlich wird dabei zwischen einer strategischen, taktischen und operativen Ebene unterschieden. Auf der strategischen Ebene geht es insbesondere darum, bestehende, aber auch sich in Entwicklung befindende Bedrohungen zu erkennen und daraus eine Bedrohungslandkarte zu entwickeln. Diese Bedrohungslandkarte soll für alle weiteren Maßnahmen der Threat Intelligence genutzt werden. Dazu gehört auf taktischer Ebene, Vektoren von potenziellen Angriffen, aber auch Werkzeuge und Technologien zu erkennen, die Angreifer nutzen könnten. Von diesen wiederum ausgehend geht es darum, auf operativer Ebene tatsächlich spezielle Attacken zu identifizieren, die dem eigenen Haus gefährlich werden können – inklusiver Indikatoren, die als Frühwarnindikatoren genutzt werden könnten.
Dabei ist es wichtig, verlässliche und vertrauenswürdige Quellen zu nutzen – intern wie extern. Dass die Threat Intelligence in das aktive Risikomanagement eingebunden werden muss, daran lässt ISO/IEC 27002 keine Zweifel – denn alle Ergebnisse sollen im Risikomanagement verwendet werden, aber auch für das Testen von Maßnahmen der Informationssicherheit angewendet werden. Generell ist das Ziel, Stückchen für Stückchen das Bewusstsein für Bedrohungsszenarien zu stärken und damit immer „feinfühliger“ zu werden was Trends und neue Bedrohungsthemen angeht.
Wir erkennen, dass sich das Risikomanagement auch in der Normenwelt entwickelt und uns einen guten Indikator gibt, wo es hingeht. Risikomanagement ist bereits heute Tagesaufgabe! Wir tun gut daran, schnell und gezielt auf neue Schwachstellen zu reagieren, Maßnahmen zu etablieren oder, wenn das nicht möglich ist, regelmäßige Überwachungen und Überprüfungen durchzuführen. Und wir müssen laufend unseren Blick auf neue Bedrohungen und Veränderungen am Horizont richten. Was kann auf uns zukommen? Wie können wir uns bestmöglich darauf vorbereiten?
Diese Faktoren beeinflussen das Risikomanagement in Kliniken erheblich. Es ist wichtig, auch die Führungsebenen regelmäßig über die unbeschönigte, aber auch nicht überdramatisierte Lage zu unterrichten. Fakten auf den Tisch legen, Vorschläge für Maßnahmen dazu – und eine realistische Einschätzung der Risikolage abgeben; denn Maßnahmen, die bis gestern gut waren, können heute obsolet sein oder zumindest deutlich an Wirksamkeit verloren haben.
TOP 3: Verankerung in der Praxis
Wie nun können und sollen wir in der Praxis vorgehen? Auch wenn es viele Tools auf dem Markt gibt, ist und bleibt Risikomanagement ein sehr individuelles Geschäft. Wir schätzen Risiken ab und versuchen aus so gut objektivierbaren Daten wie möglich ein Risikolagebild zu erzeugen. Dabei können Vergleiche mit anderen guttun – wo stehen wir, was sehen andere an Risiken; wie schätzen sie ihre Eintrittswahrscheinlichkeiten ab? Auch das ist ein Ziel des neuen „Threat Intelligence“ Controls in ISO/IEC 27002 – der strukturierte Austausch und Abgleich von Informationen mit externen Partnern, um gemeinsam ein noch besseres Lagenbild zu entwickeln.
Risiken sollten im Idealfall auf vier Ebenen ermittelt werden – hier gehen wir ein wenig über das hinaus, was bisher in unterschiedlichen Normen gefordert wird; oder vielleicht besser gesagt: Wir ordnen das neu an.
Organisation/Unternehmen – vor allem die Auswirkung eines Risikos (also zum Beispiel Beeinträchtigung der Versorgungssicherheit, Betriebsunterbrechungen, finanzielle Schäden usw.) zeigen sich am ehesten auf Ebene des Unternehmens oder der Organisation. Deshalb sollte auf dieser Ebene regelmäßig geprüft werden, welche rechtlichen, aufsichtsbehördlichen, vertraglichen oder auch sonstigen Anforderungen und Erwartungen an die Trägerorganisation gestellt werden und welche Auswirkungen entstehen können, wenn diese nicht erfüllt werden.
Prozessebene – die Patientenversorgung folgt festen Abläufen und Prozessen. Prozesse können Kraft ihres Designs mehr oder weniger resilient gegen Störungen sein und schon über geplante Ausfallszenarien verfügen, um mit kurzfristigen Änderungen und Einflüssen umzugehen. Wie das schlecht funktioniert, zeigen uns laufend Prozesse, die am Maximum ihrer Kapazität und gefühlt manchmal darüber laufen – am Beispiel hoch ausgelasteter Bahnstrecken, Bundesautobahnen – oder auch Notaufnahmen. Aus Sicht der Informationssicherheit und des Datenschutzes sind Prozesse besonders deshalb spannend, weil sie die Informations- und Datenflüsse zeigen, woher Informationen kommen und wohin sie gehen und welche Personen und Entitäten damit arbeiten sollen. Auch aus Sicht des Business-Continuity-Managements sind Prozesse wichtig, da sie für die Ermittlung der maximalen Unterbrechungszeit und den Mindestniveaus eines Notbetriebs wichtig sind.
Infrastruktur – in der ISO/IEC 27005 werden diese im Anhang B „Supporting Assets“ oder eingedeutscht „Unterstützungswerte“ genannt. Gemeint ist damit jeder und alles, was in einem Prozess benötigt wird, damit dieser funktionieren kann. Menschen mit ihrer Kompetenz und Erfahrung, IT-Infrastruktur, Räume, Gebäude, Medizintechnik und so weiter. Menschen und Hardware können ausfallen, Software kann Sicherheitslücken aufweisen. Hier greift vor allem das Schwachstellenmanagement, um schnellstmöglich vorhandene Schwachstellen zu schließen – auch mit Organisationsanweisungen und erfolgten Schulungen, wo dies nötig ist.
Dienstleistungen und Produkte – diese Sicht erhält zusehends in der Informationssicherheit Geltung; zuletzt ebenfalls durch die neue ISO/IEC 27002. Über den gesamten Lebenszyklus sollen Produkte und Dienstleistungen versprochene Eigenschaften erhalten können oder es muss nachgesteuert werden. Im Produktbereich sprechen wir von Privacy und Security by Design. Aber auch für die primären Dienstleistungen eines Klinikums hat diese Betrachtung zunehmend Bedeutung.
Fazit: Was also können wir tun, um ein tagesaktuelles Risikolagebild zu erhalten?
Die Herausforderungen sind groß, die zur Verfügung stehenden Ressourcen häufig knapp – ein andauerndes Dilemma, nicht nur in Kliniken. Dennoch ist es entscheidend für die Resilienz unserer Kliniklandschaft, dass wir in die Lage kommen, schnell und gezielt reagieren zu können und dabei genügend Freiraum für unsere Aufgaben haben. Dass wir dabei die Balance zwischen formellen Anforderungen und einem dynamischen Tagesgeschäft halten müssen, macht es nicht leichter; dafür aber herausfordernder. Priorität hat wie in der Notfallmedizin: „Time is brain!“ – die Schnelligkeit einer gezielten Reaktion ist entscheidend, um Attacken abzuwehren.
Deshalb hier zum Schluss zum schnellen Nachlesen die Essenz in sechs Punkten:
- Einsatz von einfach zu benutzenden Tools, die eine aktive Zusammenarbeit vieler Personen im täglichen Risikomanagement ermöglichen. Dazu gehört z.B., schnell neue Risikomeldungen erfassen zu können und auf zugewiesene Aufgaben zu reagieren.
- Einbindungen der Threat Intelligence. Hierzu zählt auch der Austausch mit externen Partnern und Dienstleistern, um zu verstehen, wie sich die Bedrohungslage ändert und welche Trends sich ergeben.
- Laufendes Schwachstellenmanagement und sofortige Meldung über das Risikomanagement, wenn eine Maßnahme nicht möglich ist oder eine Abwägung Security versus Safety nötig ist.
- Nutzen von verlässlichen Informationsquellen für die Risikoanalysen und Erkennen von Risikotrends.
- Laufende Bewertung, ob die umgesetzten Maßnahmen noch ausreichend greifen oder nachjustiert werden muss. Dies gilt natürlich sowohl für technische als auch organisatorische Maßnahmen. Deshalb gehören gezielte Nachschulungen und z.B. Phishing-Tests mit zum Portfolio.
- Ein fundiertes Wissen zum Risikomanagement ist ein wesentlicher Baustein, um die Qualität langfristig zu gewährleisten – gerade in Bezug auf die Planung der Prozesse, aber auch hinsichtlich der schnellen Aktionen, die im Tagesgeschäft zu erledigen sind. Deshalb ist eine vernünftige Weiterbildung in diesem Thema äußerst wichtig!
Autor:
Uwe Rühl
Gesellschafter Resilience Operations Center GmbH
Trainer bei der qSkills GmbH & Co. KG