UKM mit bundesweit erstem Security Operation Center (SOC) in einer Klinik zur Abwehr von Cyber-Attacken
Die Sicherheit von Informationen hat gerade im Umgang mit sensiblen Patientendaten höchste Priorität. Bei täglich tausendfachen Angriffen, müssen sich Kliniken lückenlos gegen Attacken von außen schützen. Zu diesem Zweck hat das UKM (Universitätsklinikum Münster) jetzt als erste Klinik bundesweit ein mit eigenem Fachpersonal betriebenes Security Operation Center (SOC) installiert. Dort können die Mitarbeitenden Hackerangriffe von außen beobachten, um die IT-Systeme und –Infrastruktur vor Schaden zu bewahren. Auch die Sensibilisierung der IT-Anwender und –Anwenderinnen in Bezug auf Gefährdungen ist wichtig.
Münster (ukm/aw) – Als Anfang Oktober weltweit facebook und der Messengerdienst whatsapp „down“, also nicht mehr erreichbar, waren, war es ein einfacher Mitarbeiterfehler, der dafür verantwortlich war, dass die beiden Plattformen sich über Stunden buchstäblich selbst ausgesperrt hatten. „Wo Menschen sind, passieren Fehler. Deswegen kann so etwas theoretisch überall passieren“, sagt Sascha Czech, CISO und Leiter der Stabsstelle Informationssicherheit & Business Continuity Management des UKM (Universitätsklinikum Münster). Mit dem neuen Security Operation Center (SOC), einem Analysezentrum für IT-Sicherheit, wie es sonst nur Großkonzerne betreiben, wollen Czech und sein Team dafür sorgen, dass am UKM die Prinzipien der Informationssicherheit – Verfügbarkeit, Authentizität, Integrität – nach innen wie nach außen gewährleistet werden. „Dafür arbeiten wir im SOC mit Software, die Anomalien KI-gestützt erkennt“, so Czech. Aber ist es wirklich sicher, die eigene IT-Sicherheit von einer künstlichen Intelligenz steuern zu lassen? „Das ist kein Problem“, sagt Czech, „schließlich wird die KI immer noch vom Menschen dahinter angewendet und gibt ausschließlich Empfehlungen, die durch Menschen bestätigt werden müssen. Deswegen kann sie sich nicht verselbständigen, sondern ist ein am Menschen lernendes System“, gibt er zu verstehen.
Der Leiterin des Geschäftsbereichs IT am UKM, Katja Kümmel, ist es wichtig zu sagen, dass das SOC keinesfalls in der Lage ist, die Arbeit einzelner Mitarbeitender an den IT-Systemen, also etwa vor dem PC, zu überwachen. „Das neue SOC alarmiert im Zweifel 24/7. Die Systeme sehen zum Beispiel alle Server und Rechner des UKM, also etwa, welche Software aufgespielt ist und welcher Browser benutzt wird, und ob dieser upgedatet werden muss. So können wir Einschätzungen zur Kritikalität abgeben und dem einzelnen IT-User helfen, Schwachstellen zu beheben. Wir bekommen damit ein zu 95 Prozent vollständiges Bild zum Sicherheits-Zustand unserer Systeme“, so Kümmel weiter.
Ungewöhnliche Datenzugriffe beispielsweise könne die KI ohne weiteres erkennen, weil das lernende System den Ist-Zustand mit dem Normalzustand abgleicht. „Wenn unsere Klinik für Allgemeinchirurgie ohne erkennbaren Grund einen hohen Datenaustausch mit der Onkologie hat, fällt das der KI auf und notfalls könnte sie diesen Datenaustausch unterbrechen. Erst wenn wir wissen, dass der Datenabruf legitim war, kann der Prozess fortgesetzt werden“, verdeutlicht Czech am Einzelfall. Aber auch für den Extremfall eines externen Hacks sehen Kümmel und Czech ihre besondere Aufgabe: „Im Katastrophenfall müssen wir gewährleisten, dass unsere IT-Systeme möglichst schnell wieder anlaufen und unsere Daten verfügbar bleiben. Deshalb haben wir IT-Notfallpläne für unsere Systeme, die den Krankenhausbetrieb datensicher garantieren“, so Kümmel weiter.
Der Kaufmännische Direktor des UKM, Dr. Christoph Hoppenheit, sieht die insgesamt 1,5 Millionen-Euro-Investition, die auch aus Mitteln des Landes Nordrhein-Westfalen aus dem Krankenhauszukunftsfonds gefördert wird, als begründet und gut investiert an. „Es wäre ja nicht nur ein ökonomisches Problem, wenn wir beispielsweise wegen eines Cyber-Angriffs lahmgelegt würden. Was uns viel mehr bewegt, ist die Sicherheit unserer Patienten. Wir haben hier in der ganzen Klinik medizinische Prozesse laufen, die höchst vulnerabel sind und wenn diese unterbrochen werden, herrscht unmittelbare Lebensgefahr. Deswegen haben wir im Vorstand die Haltung – und da werden wir auch entsprechend politisch unterstützt – alles in unserer Macht Stehende zu tun, um den Erfolg eines Angriffs zu verhindern. Da sind wir sicher Vorreiter und aus unserer Sicht ist dieses Ziel auch alternativlos“, so Hoppenheit.