In vier Schritten zum Sicherheitskonzept

Warum es essentiell wichtig ist, dass Sie als Apothekeninhaber oder -leiter die IT-Sicherheit in Ihrer Offizin zur Chefsache machen und welche gravierenden Auswirkungen es haben kann, wenn Sie diese Aufgabe vernachlässigen, haben wir im ersten Artikel dieser Serie behandelt (vgl. AWA 16/2022). Entscheidend dabei ist, dass die verschiedenen Maßnahmen aufeinander abgestimmt werden und einer klaren Linie folgen, damit sie wirkungsvoll sind. Als Lösung bietet sich ein individuell auf Ihre Apotheke abgestimmtes IT-Sicherheitskonzept an. Wie ein solches aussieht, erfahren Sie in diesem Artikel.

Grundlage dafür ist zunächst eine Analyse der Geschäftsprozesse und Unternehmenswerte sowie der Risiken, denen diese ausgesetzt sind. Danach werden geeignete technische, organisatorische und infrastrukturelle Maßnahmen ausgewählt und umgesetzt, um die Risiken auf ein akzeptables Maß zu minimieren.

Damit bildet das IT-Sicherheitskonzept die theoretische Grundlage und wahrt die drei wichtigsten Schutzziele:

• Vertraulichkeit,
• Verfügbarkeit und
• Integrität von Informationen.

Durch die Verschriftlichung von Regelungen und Richtlinien wird die Sicherheit zusätzlich erhöht, da alltägliche Situationen, die zu Gefahren der IT-Infrastruktur in Ihrer Offizin werden können, klar geregelt sind.

In jeder Apotheke wird täglich eine Vielzahl personenbezogener Daten verarbeitet, die besonders schutzbedürftig sind – handelt es sich doch um sensible Gesundheitsdaten. Zudem nehmen digitale Anwendungen immer mehr Raum im Alltagsbetrieb ein: So ist z.B. der Verkauf oder eine individuelle Kundenberatung deutlich eingeschränkt, wenn das Warenwirtschaftssystem ausfällt. Durch die fortschreitende Digitalisierung unseres Gesundheitssystems – Stichwort stufenweiser Rollout des E-Rezepts ab September – entstehen neben den Chancen zugleich auch neue Gefahren für diese besonders schützenswerten Daten. Dementsprechend sollte auch die Sicherheitsstrategie immer weiter verbessert und peu á peu angepasst werden, um Schritt zu halten.

IT-Sicherheit ist demnach als kontinuierlicher Prozess zu verstehen, der immer wieder Überprüft werden muss, um die Wirksamkeit der aktuellen Maßnahmen zu beurteilen. Ein IT-Sicherheitskonzept, das stetig evaluiert und an neue Herausforderungen angepasst wird, kann bildlich als Netz verstanden werden: Indem die Maschen immer enger geknüpft werden, bieten sich potenziellen Cyber-Angreifern immer weniger Eintrittsmöglichkeiten.

Zudem nimmt das IT-Sicherheitskonzept alle Mitarbeiter der Apotheke mit in die Verantwortung, indem es bestimmte Aufgaben bestimmten Mitarbeitern zuweist und auch alle übrigen Teammitglieder an die Richtlinien gebunden werden. Im letzten Artikel wurde argumentiert, dass die IT-Sicherheit in der Apotheke Chefsache ist, dabei ging es vorrangig um die Initialisierung des Prozesses. Damit diese im Alltagsbetrieb tatsächlich lückenlos funktioniert, müssen jedoch alle Mitarbeiter eingebunden werden und Verantwortung übernehmen.

Ein gutes IT-Sicherheitskonzept ermöglicht es der Apotheke, den Status quo der IT-Infrastruktur weitgehend selbstständig zu evaluieren, zu dokumentieren und mit geeigneten Maߟnahmen auf mögliche Schwachstellen zu reagieren. Es folgt üblicherweise einem vierstufigen Prozess:

• Risikomanagement: Zunächst werden die Kernprozesse sowie Unternehmenswerte der Apotheke identifiziert, sodann die Risiken analysiert und bewertet. Das Konzept bietet konkrete Hilfestellungen zur Bewertung der Risiken, gemessen an ihrer Eintrittswahrscheinlichkeit und der Schadenshöhe.
• Sicherheitsmaßnahmen: Auf Grundlage der Risikoeinschätzung werden Sicherheitsmaߟnahmen zur Risikoreduktion beschlossen und umgesetzt.
• Zuletzt werden Zusatzregelungen in das Konzept mit aufgenommen, welche die individuellen Umstände der Apotheke berücksichtigen. Diese können u.a. den Umgang mit externen Dienstleistern oder den WLAN-Zugang für Kunden abdecken.
• Zusätzlich zum Sicherheitskonzept sollte über einen Notfallplan nachgedacht werden. Dieser bietet im Ernstfall,€“ etwa bei einem Hackerangriff oder Technikausfall, eine wertvolle Handlungshilfe, um bestmöglich auf den Vorfall reagieren zu können und so schnell wie möglich den Normalzustand wiederzuerlangen.

Die wichtigsten Fragen, die sich rund um die Einführung eines maßgeschneiderten IT-Sicherheitskonzepts stellen, haben wir in FAQ-Form zusammengefasst und beantwortet.

Ziel des in dieser Artikelserie vorgestellten IT-Sicherheitskonzepts ist, dass Sie weitgehend selbstständig den Sicherheitsstand Ihrer Apotheke überprüfen und dokumentieren können, sowie eine praxisnahe Hilfestellung zur Umsetzung geeigneter Präventivmaߟnahmen erhalten. Im dritten und letzten Artikel dieser Serie, der in Ausgabe 18/2022 des AWA erscheinen wird, werden wir die einzelnen Bausteine eines solchen ganzheitlichen IT-Sicherheitskonzepts im Detail erläutern.

Q1: Wieso legt man einen Geltungs- bzw. Anwendungsbereich fest?
A1: Es muss zu Beginn des Sicherheitsprozesses klargestellt werden, dass die Apotheke mit allen Filialen und/oder dem Onlineshop an das Konzept gebunden ist. Bei gröߟeren Apotheken ist es sinnvoll, sich zunächst auf die wesentlichen Geschäftsprozesse zu fokussieren und den Anwendungsbereich später auszuweiten.

Q2: Welche Unterschiede zwischen Apotheken führen dazu, dass ein Sicherheitskonzept individuell angepasst werden muss?
A2: Die Gröߟe der Apotheke und Anzahl der Filialen kann unterschiedliche Sicherheitsmaߟnahmen verlangen. Genauso spielt es eine Rolle, ob ein Versandhandel oder weitere Geschäftsbereiche wie z.B. eine Heimversorgung betrieben werden.

Q3: Wie werden die Risiken konkret bewertet?
A3: Die Risiken werden anhand einer Risikomatrix bewertet, die sowohl die Eintrittswahrscheinlichkeit als auch die möglichen Folgen bei einem Eintritt des Risikos berücksichtigt. Dabei müssen juristische Folgen, finanzielle und Reputationsschäden ebenso beachtet werden wie die Auswirkungen auf die Kundendaten.

Q4: Wie ist die Verantwortung für den IT-Betrieb in Ihrer Apotheke geregelt?
A4: Administrieren Sie Ihre IT-Systeme selbst oder haben Sie dafür eine Fachfirma,€“ z. B. ein lokales IT-Systemhaus,€“ beauftragt? Die für Ihr Unternehmen am besten geeignete Lösung richtet sich nach Ihrer persönlichen Fachkompetenz sowie der Komplexität der IT-Infrastruktur.

Q5: Wie stark ist die Abhängigkeit von externen Dienstleistern?
A5: Beziehungen zu externen Dienstleistern sollten durch Verträge klar geregelt sein. Darin muss definiert sein, wann eine Reaktion bei Störungen erfolgt und wer die Gewährleistung bei Schäden übernimmt.

Q6: Was ist ein Notfallplan?
A6: Notfallpläne gibt es sowohl für die IT-Sicherheit als auch für Notfälle genereller Art. Sie enthalten die wichtigsten Informationen und Handlungsanweisungen zur Meldung und Behandlung des Vorfalls. Ebenso beinhalten sie Telefonnummern von Verantwortlichen, die im Notfall zügig helfen können. Meist werden diese offen ausgehängt, sodass alle Mitarbeiter jederzeit Zugriff haben. 

Dr. Marian Corbe, Geschäftsführender Gesellschafter, RST Informationssicherheit GmbH, 45128 Essen, E-Mail: mcorbe@rst-beratung.de

Carola Kreitmayr, RST Informationssicherheit GmbH, 45128 Essen, ckreitmayr@rst-beratung.de