Business Continuity Management als Schutz bei Cyberangriffen

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​veröffentlicht am 17. Mai 2024 | Lesedauer ca. 3 Minuten

​
Noch besser wäre „Business Continuity Management als Schutz VOR Cyberangriffen”. Die traurige Wahrheit ist aber, dass es keinen 100%igen Schutz davor gibt. Daher gilt es, sich möglichst gut auf den Tag X vorzubereiten, damit die Auswirkungen möglichst gering gehalten werden können.

 

​
Obwohl offizielle Statistiken besagen, dass die Angriffe auf Krankenhäuser abnehmen, erscheinen regelmäßig Meldungen über erfolgreiche Angriffe in den Schlagzeilen. Vermutlich hängt die gesunkene Anzahl auch mit dem gestiegenen Sicherheitsbewusstsein bei den Mitarbeitenden sowie den ergriffenen technischen Maßnahmen zum Schutz der IT-Umgebung zusammen. Dennoch bleibt die Gefahr eines erfolgreichen Angriffes weiterhin auf einem hohen Niveau.

Auch gesetzlich sind alle Krankenhäuser zur Umsetzung der IT-Sicherheit nach dem aktuellen Stand der Technik verpflichtet (s. BSI-KritisV, § ​391 SGB V), egal ob es sich um ein großes Krankenhaus mit mehr als 30.000 vollstationären Fällen pro Jahr oder ein kleines Haus handelt. Den aktuellen Stand können sie insbesondere erfüllen, indem sie die Anforderungen des Branchenspezifischen Sicherheitsstandards (B3S) Medizinische Versorgung umsetzen.

​

Darin werden zahlreiche technische und organisatorische Maßnahmen zur Verbesserung des Schutzes gefordert, u.a. Awareness-Maßnahmen oder Systeme zum Schutz vor Cyberangriffen. Dennoch kann es immer wieder zu erfolgreichen Angriffen kommen, wenn beispielsweise nicht ausreichend abgesicherte Systeme vorhanden sind oder Mitarbeitende auf Phishing-Mail hereinfallen, indem sie „nur” einen Link anklicken oder sogar ihre Zugangsdaten preisgeben. Die Angreifer erhalten innerhalb kürzester Zeit Zugriff auf die Systeme und breiten sich von dort im gesamten Netzwerk aus.

 
Es gilt daher vorbereitet zu sein und entsprechende Maßnahmen zu ergreifen:

1. Führen Sie zunächst eine Business Impact Analyse (BIA) durch. Dabei werden die wichtigsten Geschäftsprozesse, die dafür notwendigen Assets und auch die Abhängigkeiten untereinander ermittelt. Sie bildet die Grundlage für den Aufbau des BCM-Systems, denn „Wer nicht weiß, was wirklich schützenswert ist, der schützt alles ein bisschen – aber nichts wirklich richtig!"
   
2. Im nächsten Schritt ist eine Risikoanalyse durchzuführen, durch welche Schwachstellen und Gefährdungen ermittelt werden, um so evtl. vorhandene Bedrohungen festzustellen. Auf dieser Basis unter Berücksichtigung der Schadenshöhe und Eintrittshäufigkeit bzw. Eintrittswahrscheinlichkeit wird das vorhandene Risiko ermittelt.
3. Daraufhin können Maßnahmen geplant werden, die die Risiken entweder vermeiden, reduzieren oder transferieren. Eine Akzeptanz ist im Krankenhausbereich nur sehr begrenzt möglich.
   
4. Beim Aufbau des Notfallmanagements ist zwischen präventiven und reaktiven Maßnahmen zu unterscheiden. Bei präventiven Maßnahmen stellt man sich die Frage, was vorab getan werden kann, um auf einen Notfall zu reagieren? Eine Notfallstrategie hilft dabei vorsorglich die verschiedenen Maßnahmen, Konzepte und Handbücher (Playbooks) zu erarbeiten, die im Notfall als Reaktion genutzt werden sollen. Ein Beispiel hierfür könnte die Planung für den Einsatz von Ausweich-Rechenzentren sein. Dabei können je nach Schadenspotential unterschiedliche Skalierungen notwendig sein. Vom Dienstleistungsvertrag für den Notbetrieb über ein „Cold-standby“-Ausweich-Rechenzentrum bis hin zu einem „Hot-standby“-Ausweich-Rechenzentrum sind hier verschiedene Ansätze möglich. Genauso wichtig ist es, vorab einen Plan zu erstellen, wie ein möglicher Notbetrieb realisiert werden kann und was dafür benötigt wird. Zu den weiteren reaktiven Maßnahmen zählt z.B. die Zusammenstellung von Notfall-Teams oder das Abarbeiten von Notfallprozessen.
5. Ein weiteres wichtiges Ziel muss es sein, einen Angreifer frühzeitig zu erkennen und auf das Eindringen zu reagieren, damit der Schaden möglichst gering gehalten werden kann.
6. Genauso wichtig ist es, die Notfallmaßnahmen regelmäßig zu üben. Nur so lässt sich feststellen, ob die Notfallplanung funktioniert und auch auf einem aktuellen Stand ist. Eventuelle Probleme wie Kommunikationshürden, fehlende Berechtigungen, unklare Anweisungen und Ähnliches werden dann nicht erst im tatsächlichen Notfall entdeckt, sondern können frühzeitig behoben werden. Oftmals reicht hier auch ein sog. Green-Table-Test aus, bei dem die Szenarien nur virtuell als Gedankenspiel gemeinsam besprochen werden. Es muss eine regelmäßige Überprüfung und Aktualisierung der Notfallplanung geben.
   

 
Klar ist aber auch, dass ein Notfallmanagement immer zunächst mit zusätzlichen Kosten verbunden ist. Die Kosten eines erfolgreichen Angriffs mit langem Ausfall des Geschäftsbetriebs dürften aber deutlich teurer werden. Darüber hinaus wird eine Cyberversicherung nicht zahlen, wenn die Maßnahmen zur Absicherung des Geschäftsbetriebs als nicht ausreichend angesehen werden.

​