Change by disaster or change by design …?

Die fortschreitende Digitalisierung und intensive Nutzung vernetzter Geräte schaffen eine immer stärkere Technikabhängigkeit. Dadurch steigt zugleich die Gefahr eines Ausfalls im täglichen Apothekenbetrieb: Ein solcher führt nicht nur zu erheblichen Einschränkungen des Alltagsbetriebs, sondern auch zu deutlichen finanziellen Einbußen. Ein länger anhaltender Betriebsstillstand kann sogar bis zur Insolvenz führen.

Dabei ist es völlig unerheblich, ob der Ausfall die Folge eines mutwilligen Angriffs – beispielsweise durch einen Hacker – ist, oder durch unbedachtes Handeln eines Mitarbeiters verursacht wurde. Besonders bei Angriffen müssen auch datenschutzrechtliche Folgen bedacht werden, da ein hohes Risiko besteht, dass vertrauliche, personenbezogene Kundendaten gestohlen wurden. Gesundheitsdaten gelten bekanntermaßen als besonders sensibel und schützenswert. Überdies wird mit der flächendeckenden Einführung des E-Rezeptes der gesamte Prozess der Rx-Arzneimittelabgabe digitalisiert: Das erhöht die Komplexität zusätzlich und erzeugt neue Sicherheitsrisiken, die wir bereits thematisiert haben (vgl. AWA 14/2022).

IT-Sicherheit und Datenschutz sind insofern wichtige, leider viel zu häufig vergessene Themen im Apothekenalltag, die in der Regel Hand in Hand gehen. Nur durch ein geeignetes Sicherheitskonzept können Sie als Apothekeninhaber oder -leiter kostspieligen und zugleich imageschädlichen Ausfällen Ihrer IT-Infrastruktur vorbeugen – und im Notfall schnell und angemessen reagieren.

Wieso ist die IT-Sicherheit in Apotheken häufig ein Projekt, das im Archiv verstaubt? Zum einen fehlt oftmals noch das Gefahrenbewusstsein, da die eigene Offizin fälschlicherweise als zu klein oder unwichtig eingeschätzt wird, um Ziel eines Hackerangriffs zu werden. Dabei werden jedoch übergreifende Strukturen und Vernetzungen im Gesundheitswesen vergessen, durch welche die eigene Apotheke infolge von Kaskadeneffekten genauso betroffen sein kann wie das usprüngliche Ziel eines Cyberangriffs. Zum anderen bietet das typische Personaltableau in Apotheken wenig Spielraum für die Ernennung und Qualifizierung eines eigenen IT-Sicherheitsexperten. Das wiederum hat zur Folge, dass es bei der Umsetzung von Sicherheitsmaßnahmen oft an klaren Verantwortlichkeiten mangelt.

Grundsätzlich gilt: IT-Sicherheit ist ein Managementthema! Die Apothekenleitung trifft die strategischen Entscheidungen – unter anderem auch über die Digitalisierungsstrategie – und ist somit dafür verantwortlich, ein IT-Sicherheitskonzept zu initiieren und voranzutreiben. Sie ist sowohl für das Fortbestehen der eigenen Apotheke und die eigenen Mitarbeiter als auch für den Schutz der Kundendaten verantwortlich.

Genauso falsch wie die Vorstellung, dass der "Return on Security Investment" nur gering ist, ist auch die Annahme, dass IT-Sicherheit zwangsläufig immer teuer ist. Auch kleinere Prozessanpassungen haben oft einen großen Wirkungsradius.

Wichtige Investitionen in die IT-Sicherheit unterbleiben aber oft oder werden auf die lange Bank geschoben, weil Präventionsmaßnahmen in der Regel erst dann bedacht werden, wenn bereits ein Notfall eingetreten ist. Spätestens nach den Erfahrungen mit der COVID-19-Pandemie kennen alle Beschäftigten in der Gesundheitsbranche den Satz "There is no glory in prevention".

Präventivmaßnahmen, die einem Notfall vorbeugen, sind nicht en vogue. Das gilt für medizinische Notfälle ebenso wie für Bedrohungen der IT-Sicherheit. Das Grundproblem liegt darin, dass sich die positiven Auswirkungen einer Investition, die Hackerangriffe oder IT-Ausfälle abwendet, weder messen lassen noch anderweitig spürbar sind. Verweigert man sich solchen Investitionen in die IT-Sicherheit konsequent, dann kann das jedoch enorme Negativfolgen für eine Apotheke haben – etwa dadurch, dass sie leichte Beute für einen Cyber-Angriff wird, oder die IT-Infrastruktur ausfällt, weil die Geräte veraltet sind und kein Wartungsvertrag abgeschlossen wurde.

Insofern sollte Prävention von IT-Sicherheitsrisiken derselbe Stellenwert eingeräumt werden wie der Prävention von Gesundheitsrisiken. So machen sich Investitionen in eine sichere IT-Infrastruktur durchaus bezahlt, weil Sie damit die Wahrscheinlichkeit, Opfer eines Hackerangriffs zu werden, deutlich reduzieren, und dadurch die zeitlichen und finanziellen Schäden von Betriebsausfällen minimieren.

Genauso falsch wie die Vorstellung, dass der "Return on Security Investment" nur gering ist, ist auch die Annahme, dass IT-Sicherheit zwangsläufig immer teuer ist. Auch kleinere Prozessanpassungen haben oft einen großen Wirkungsradius – vorausgesetzt, diese werden an die individuellen Abläufe im Apothekenalltag angepasst und richtig implementiert. Wichtig ist dabei vor allem, dass die einzelnen Maßnahmen aufeinander abgestimmt sind und somit Synergien geschaffen werden. Um die IT-Sicherheit in Ihrer Apotheke auf allen Ebenen zu verbessern, sollten Sie als Apothekeninhaber oder -leiter strukturiert vorgehen. Basis ist ein auf Ihre Offizin maßgeschneidertes Sicherheitskonzept.

Ein IT-Sicherheitskonzept hilft Ihnen dabei, Sicherheit als ganzheitliche Aufgabe in Ihrer Apotheke so komfortabel und geordnet wie möglich umzusetzen. Die Alternative ist eine punktuelle Umsetzung einzelner Maßnahmen, wie die Einrichtung einer Firewall oder eines Virenschutzprogramms. Obwohl dies essenzielle Sicherheitsmaßnahmen sind, ist der Schutz durch sie allein sehr begrenzt. Sind Ihre Mitarbeiter z.B. nicht geschult und lassen sich deshalb von einer Phishing-E-Mail täuschen, dann ist die beste Firewall wirkungslos. Genauso gefährlich ist es, die infrastrukturelle Sicherheit Ihrer IT außer Acht zu lassen.

Sind z.B. die Server in Ihrer Apotheke nicht adäquat gegen Hitze, Wasser, extreme Kälte oder sonstige Umwelteinflüsse geschützt, kann dies erhebliche Schäden verursachen. Ebenfalls sicherzustellen ist der physische Zugangsschutz zur Offizin selbst sowie zu wichtigen Geräten.

Betrachten wir hierfür das Beispiel der fiktiven Apotheke KernGesund. Die Apotheke ist bestens gegen digitale Angriffe geschützt, setzt eine aktuelle Firewall und Antiviren-Software ein, und die Mitarbeiter sind geschult, Phishing-Angriffe zu erkennen und abzuwehren. Als zwei Mitarbeiter jedoch gerade mit der Kundenberatung beschäftigt sind, schleicht sich ein weiterer Kunde unbemerkt hinter den nicht extra geschützten Verkaufstisch in der Offizin und kann höchst vertrauliche personenbezogene Gesundheitsdaten einsehen und Rezepte stehlen. Das zeigt, wie essenziell ein geordnetes Vorgehen für die Wirksamkeit einer IT-Sicherheitsstrategie ist. Denn bekanntlich ist eine Kette immer nur so stark wie ihr schwächstes Glied – das gilt auch und gerade für die IT-Sicherheit.

Zunächst müssen die Geschäftsprozesse, Unternehmenswerte und Risiken festgestellt, analysiert und eingeordnet werden. Anschließend können konkrete Maßnahmen geplant und implementiert werden. Dieser gesamte Prozess sollte dokumentiert, überwacht und bei Bedarf angepasst werden.

Ein IT-Sicherheitskonzept sollte in sich stimmig und konsistent sein, um die Einfallstore für Angreifer effektiv zu minimieren. Das Zusammenspiel aus technischen, organisatorischen und infrastrukturellen Maßnahmen bildet dann ein engmaschiges Sicherheitsnetz, das Ihre Offizin bestmöglich vor Angriffen schützt und diese im Ernstfall ggf. auch auffängt.

In den Folgeartikeln der nächsten zwei Ausgaben erklären wir Ihnen, wie ein IT-Sicherheitskonzept konkret aussehen kann und wie Sie es in Ihrer Apotheke umsetzen können.

Dr. Marian Corbe, Geschäftsführender Gesellschafter, RST Informationssicherheit GmbH, 45128 Essen, E-Mail: mcorbe@rst-beratung.de

Carola Kreitmayr, RST Informationssicherheit GmbH, 45128 Essen, ckreitmayr@rst-beratung.de