"Der Mensch ist eine ganz wichtige Firewall"

Was sind die wichtigsten Säulen der IT-Sicherheitsstrategie in Ihrem Unternehmen?

Natürlich geht es um Infrastruktur, Prozesse, Richtlinien und Risikoanalysen. Aber ganz wichtig ist der Mensch – die Kolleginnen und Kollegen der Sana Kliniken. Der Mensch kann sowohl Schwachstelle sein oder eben auch eine ganz wichtige Firewall. Wir sind dabei, ein Bewusstsein für IT-Sicherheit zu schaffen. Wir haben einheitliche und verpflichtende Security-Awareness-Schulungen aufgesetzt. Zielgruppe sind Personal für Verwaltung, aber eben auch das medizinische und pflegerische, da hier insbesondere kritische Informationen verarbeitet werden. Klar ist aber auch: IT-Sicherheit muss für die Beschäftigten einfach sein. Das ist unsere Aufgabe, die Prozesse handhabbar zu gestalten. Bei all dem muss man zwei Sachverhalte verstehen: Teile der Gesundheitsbranche zählen zur kritischen Infrastruktur in Deutschland und es gibt kaum sensiblere Daten als Patientendaten. Also: Sicherheit, Verfügbarkeit, Wirtschaftlichkeit und einfache Bedienung müssen Hand in Hand gehen.

Welche Technologie wird Ihre Arbeit in Zukunft massiv verändern?

Künstliche Intelligenz: dieses Thema wird derzeit als ganz großes Chancen-Thema diskutiert. Und das ist es –  gerade mit Blick auf IT-Security. KI wird uns helfen, Bedrohungen besser zu erkennen, schneller und auch automatisch reagieren zu können. Zugleich werden auch Angreifer KI für ihre kriminellen Zwecke nutzen. Künftig wird KI genutzt werden, um Schwachstellen bei uns zu finden. Auch für Phishing-Angriffe kann KI sicherlich eingesetzt werden. Daher wird es sehr spannend, wie KI unter ethischen Gesichtspunkten weiterentwickelt wird und sich die Produktwelt in der IT-Sicherheit verändert.

Welchen Fehler werden Sie kein zweites Mal machen? 

Ich will es positiv formulieren: IT- und Informationssicherheit ist eine Team-Leistung. Dazu müssen ganz viele Partner in einem Unternehmen – und gerade in einem Konzern – eingebunden sein. Dazu ist es notwendig, IT- und Informationssicherheit als integriertes Managementsystem zu verstehen, das nur dann funktioniert, wenn insbesondere Datenschutz, Qualitätsmanagement, Governance, Compliance und Risikomanagement am selben Ende des Strickes ziehen. Gleichzeitig: Entscheidungsprozesse dürfen nicht „over engineered“ und zu komplex sein. Ansonsten werden Innovationen negativ beeinflusst, man verliert den Anschluss zum Markt und schlussendlich den Kampf gegen Cyberkriminalität.

Was würden Sie sich von der Politik wünschen, damit in Unternehmen in Deutschland mehr IT-Sicherheit einkehrt?

Als Unternehmen der Gesundheitsbranche haben wir aufgrund der Verarbeitung von sensiblen Informationen ein enorm hohes Eigeninteresse an hoher IT-Sicherheit. Aber wir müssen auch konstatieren: Generell müsste in Deutschland der Reifegrad für IT-Sicherheit höher sein. Daher muss die Gesetzgebung strenger werden, um ein höheres Sicherheitsniveau zu erreichen. Wir brauchen strengere Standards und Vorschriften sowie Verpflichtungen zu Zertifizierungen oder Auditpflichten. Und es braucht auch die notwendigen finanziellen Ressourcen, diese Sicherheitsstandards im laufenden Betrieb aufrecht erhalten zu könne. Mit Blick aufs Gesundheitswesen: Es ist schön, wenn jeder sechste Euro im Rahmen des Krankenhauszukunftsgesetzes für Sicherheit ausgegeben werden soll. Aber: Investition ist nur die eine Seite der Medaille. Es kommt auf den sicheren Betrieb der Systeme an. Dafür braucht es Personal, das am Arbeitsmarkt – wenn überhaupt - derzeit nur zu hohen Preisen zu bekommen ist. Das wird allerdings bei der Vergütung von Gesundheitsleistungen nicht angemessen berücksichtigt.

Die Fragen stellte Andreas Schulte