Wachsam und stets einen Schritt voraus sein

Nach der Entscheidung, ein Sicherheitskonzept für Ihre Apotheke zu etablieren, folgt die Umsetzung. Der große Vorteil von Apotheken ist, dass viele Prozesse und Arbeitsabläufe standardisiert sind, sodass Sie das von uns entwickelte Sicherheitskonzept, das wir in dieser dreiteiligen Artikelserie vorstellen, einfach an die Rahmenbedingungen Ihrer Apotheke anpassen können. 

In den ersten beiden Artikeln dieser Serie haben wir zunächst das Thema IT-Security in Apotheken ganz allgemein beleuchtet (vgl. AWA 16/2022) und dann ein vierstufiges IT-Sicherheitskonzept, das gut für den Einsatz in Apotheken geeignet ist, vorgestellt (vgl. AWA 17/2022). In diesem dritten und letzten Artikel geben wir Ihnen einen Überblick über die verschiedenen Bausteine unseres IT-Sicherheitskonzepts für Apotheken und zugleich einen Leitfaden für deren Implementierung an die Hand.

Ziel unseres Ansatzes ist es, die IT-Sicherheit Ihrer Offizin durch eine ganzheitliche Betrachtung alltagstauglich, ohne eine Behinderung der Betriebsabläufe, auszubauen. Das Konzept ermöglicht eine individuelle Betrachtung der verschiedenen Gegebenheiten und Arbeitsabläufe in Ihrer Apotheke und kann weitgehend selbstständig von Ihnen und Ihrem lokalen IT-Dienstleister umgesetzt werden.

Um sich weder in Details zu verlieren, noch wichtige Schritte zu vergessen, wird Sie das Sicherheitskonzept durch den folgenden Ablauf begleiten:

• Rahmendokument zur Darstellung Ihrer Geschäftsprozesse und Informationswerte, Festlegung von Verantwortlichkeiten und Methodik zum Risikomanagement,
• Risikoregister inklusive Standardrisiken und Möglichkeiten zur individuellen Erweiterung,
• IT-Sicherheitsrichtlinie mit den wichtigsten Regelungen für Ihre Mitarbeiter,
• Standardsicherheitsmaßnahmen, die eine hohe Breitenwirkung erzielen,
• Checkliste zur Steuerung Ihrer Dienstleister,
• Notfallkarte für Sofortmaßnahmen im Ernstfall.

Rahmendokument

Im Rahmendokument werden zunächst die essenziellen Kernprozesse Ihres Tagesgeschäfts beschrieben, um das Risiko über die Steuerung von Verantwortlichkeiten und Maßnahmen erfolgreich zu managen. Ebenso enthält das Rahmendokument das Inventar Ihrer "Informationswerte", indem IT-Systeme, Anwendungen und weitere technische Geräte erfasst werden, die für die tägliche Leistungserbringung notwendig sind und insofern Ausfallrisiken bergen können. Darüber hinaus erläutert das Dokument die Methodik der Risikoanalyse und bildet somit das Herzstück des Sicherheitskonzepts.

"Ein IT-Sicherheitskonzept macht die Risiken in Ihrer Offizin transparent und legt wichtige Schutzmaßnahmen fest. Zudem werden Ihre Mitarbeiter für das Thema sensibilisiert, und Sie sind dank einer vorbereiteten IT-Notfallkarte für den Ernstfall gewappnet. Dabei gilt: Effektive Sicherheitsmaßnahmen müssen nicht zwangsläufig teuer sein!"

Risikoregister

Das Risikoregister enthält bereits eine Sammlung aller gängigen Standardrisiken. Darüber hinaus bietet es die Möglichkeit zur individuellen Erweiterung um Risikofaktoren, die speziell in Ihrer Apotheke oder individuellen IT-Infrastruktur vorhanden sind. Unter Beachtung der übergeordneten Ziele der IT-Sicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – werden die verschiedenen Risiken bewertet. Damit sind Sie in der Lage, geeignete Maßnahmen zur Risikominimierung zu ergreifen.

IT-Sicherheitsrichtlinie für die Mitarbeiter

Der Mensch ist der größte Risikofaktor und darf daher keinesfalls unterschätzt werden. Deshalb legt eine IT-Sicherheitsrichtlinie die wichtigsten Regeln für den Umgang aller Mitarbeiter mit IT-Systemen und Daten fest. Diese ist maßgebend dafür, wie stark IT-Sicherheit im Geschäftsalltag gelebt wird.

Standardsicherheitsmaßnahmen decken schon viel ab

Das Sicherheitskonzept bietet einen Katalog von Standardmaßnahmen, die darauf ausgelegt sind, die größten Risiken mit einer hohen Breitenwirkung zu reduzieren. Dabei werden alle Bereiche – Organisation, Personal, Technik und Infrastruktur – betrachtet.

Checkliste zur effizienten Dienstleistersteuerung

Sind Sie sich Ihrer Abhängigkeiten bewusst? Durch eine Checkliste werden alle Dienstleister inklusive ihrer Tätigkeiten bzw. Leistungen dokumentiert und hinsichtlich der Sensibilität der Daten, mit denen sie umgehen, bewertet. Verarbeitet ein Dienstleister viele Daten und Informationen, die einen hohen Schutzbedarf haben, empfiehlt es sich, auch für diesen eine entsprechende Richtlinie einzuführen.

IT-Notfallkarte für den Ernstfall

Die Notfallkarte ist eine einfache, aber effiziente Handreichung der Allianz für Cybersicherheit, damit Sie bei IT-Notfällen die richtigen Sofortmaßnahmen ergreifen. Damit haben Sie eine erste Handlungsgrundlage für den Ernstfall.

Alle Bausteine des Sicherheitskonzepts sind so konzipiert, dass Sie diese mit geringem Aufwand selbst oder mithilfe eines IT-Dienstleisters an die individuellen Gegebenheiten in Ihrer Offizin anpassen können. Eines sollten Sie in diesem Kontext stets im Blick haben: Verantwortlich für die IT-Sicherheit ist die Apothekenleitung!

Falls Sie mit dem Thema IT insgesamt wenig vertraut sind, empfiehlt es sich, auf externe Expertise zurückzugreifen. Um das hier vorgestellte Konzept zu implementieren, benötigen Sie eine fachliche Begleitung im Umfang von etwa einem Beratertag. Bei komplexen Strukturen – mehrere Filialen, Verblisterung, Versandhandel etc. – kann der Aufwand auch höher ausfallen. Der Aufwand für die Umsetzung ist zudem vom Ist-Zustand Ihrer IT-Infrastruktur abhängig.

Das hier vorgestellte RST-Sicherheitskonzept bildet die Grundlage für eine ganzheitliche Betrachtung der IT-Sicherheit in Ihrer Apotheke. Und es versetzt Sie als Apothekeninhaber oder -leiter in die Lage, dieses leider oft unterschätzte Thema proaktiv zu steuern.

Das ist umso wichtiger, da Cyberkriminelle Tag für Tag dazulernen und ihre Angriffsmethoden kontinuierlich weiterentwickeln. Da heißt es, auf der Hut und stets einen Schritt voraus sein!

• Die eigenen Prozesse und damit verbundene Risiken werden transparent gemacht, das schafft ein nachhaltiges Verständnis für notwendige Schutzmaßnahmen.
• Die vorgeschlagenen Standardmaßnahmen decken bereits einen Großteil der Risiken ab, was den Aufwand minimiert und die Chancen erhöht, dass keine größeren Veränderungen Ihrer Prozessabläufe nötig sind.
• Ihre Mitarbeiter werden für das wichtige Thema IT-Sicherheit und notwendige Schutzmaßnahmen sensibilisiert.
• Im Ernstfall werden Schäden durch bereits umgesetzte Maßnahmen nicht nur reduziert – Sie können zudem schnell und effizient reagieren, da Sie adäquat vorbereitet sind. Dabei gilt: Effektive Sicherheitsmaßnahmen müssen nicht zwangsläufig teuer sein!

Dr. Marian Corbe, Geschäftsführender Gesellschafter, RST Informationssicherheit GmbH, 45128 Essen, E-Mail: mcorbe@rst-beratung.de

Lena Hassel, Associate, RST Informationssicherheit GmbH, 45128 Essen