IT-/OT-Sicherheit und Netzsegmentierung
Facility Management: Kliniken und Krankenhäuser » FM » Medizintechnik, FM und IT/OT-Schnittstellen » IT-/OT-Sicherheit und Netzsegmentierung
IT-/OT-Sicherheit und Netzwerksegmentierung für Krankenhäuser und Kliniken
Die zunehmende Verbindung von Informationstechnologie (IT) und Operational Technology (OT) in Krankenhäusern und Kliniken verbessert die Steuerung klinischer, technischer und administrativer Prozesse, erhöht jedoch auch die Anforderungen an Cybersicherheit, Betriebsstabilität und Verantwortlichkeiten. Das Facility Management spielt dabei eine zentrale Rolle, da es gebäudetechnische Systeme, kritische Infrastruktur und technische Betriebsprozesse sicher, verfügbar und koordiniert mit IT, Medizintechnik und Klinikbetrieb betreuen muss.
Netzwerksegmentierung für sichere Kliniksysteme
Zweck und Funktionen
Die IT-Umgebung unterstützt die Verarbeitung, Speicherung, Übertragung und Bereitstellung von digitalen Informationen innerhalb der Gesundheitseinrichtung. Sie bildet die Grundlage für klinische Dokumentation, administrative Abläufe, Kommunikation, Datenanalyse und digitale Zusammenarbeit. Für das Facility Management ist die IT relevant, weil viele technische Prozesse, Meldewege und Dokumentationen über IT-Systeme gesteuert oder unterstützt werden.
Zentrale IT-Systeme
| IT-Bereich | Typische Systeme |
|---|---|
| Klinische Informationssysteme | Elektronische Patientenakten, PACS, Laborinformationssysteme |
| Administrative Systeme | Personalwesen, Finanzwesen, Beschaffung |
| Kommunikationssysteme | E-Mail, VoIP, Kollaborationsplattformen |
| Dateninfrastruktur | Server, Datenbanken, Cloud-Dienste |
| Cybersicherheitssysteme | Identitätsmanagement, Endgeräteschutz, SIEM-Systeme |
Diese Systeme verarbeiten häufig sensible Patienten-, Mitarbeiter- und Organisationsdaten. Daher müssen Zugriff, Verfügbarkeit, Integrität und Vertraulichkeit klar geregelt und technisch abgesichert sein.
Wesentliche Merkmale
| Merkmal | Beschreibung |
|---|---|
| Datenzentrierter Betrieb | Schwerpunkt liegt auf Verarbeitung, Speicherung und Bereitstellung von Informationen |
| Hohe Nutzerinteraktion | Nutzung durch klinisches, administratives und technisches Personal |
| Regelmäßige Aktualisierungen | Software-Patches und Systemupdates erfolgen vergleichsweise häufig |
| Hohe Vertraulichkeitsanforderungen | Schutz von Patienten- und Unternehmensdaten ist zwingend erforderlich |
Aus Facility-Management-Sicht ist wichtig, IT-Systeme nicht isoliert zu betrachten. Gebäudeleittechnik, Wartungsplanung, Störmeldungen, Zutrittskontrolle und Energieberichte können direkt oder indirekt von IT-Diensten abhängig sein.
Zweck und Funktionen
Die OT-Umgebung umfasst technische Systeme, die physische Anlagen überwachen, steuern oder regeln. In Krankenhäusern betrifft dies insbesondere Gebäudeautomation, Energieversorgung, Wassertechnik, Sicherheitsanlagen und technische Systeme, die für den kontinuierlichen Klinikbetrieb erforderlich sind. Der Schwerpunkt liegt nicht auf Datenverarbeitung, sondern auf sicherem, stabilem und verfügbarem Anlagenbetrieb.
Zentrale OT-Systeme
| OT-Bereich | Typische Systeme |
|---|---|
| Gebäudeautomationssysteme | HLK-Anlagen, Beleuchtungssteuerung |
| Energiemanagementsysteme | Stromüberwachung, USV-Systeme |
| Wassersysteme | Wasseraufbereitung, Verteilungssteuerungen |
| Medizinische Gasversorgung | Überwachungs- und Alarmsysteme |
| Sicherheits- und Schutzsysteme | Brandmeldeanlage, Zutrittskontrolle, Videoüberwachung |
Diese Systeme haben direkte Auswirkungen auf die Sicherheit, Funktionsfähigkeit und Nutzbarkeit von Bereichen wie Operationssälen, Intensivstationen, Laboren, Technikräumen und Patientenzonen.
Wesentliche Merkmale
| Merkmal | Beschreibung |
|---|---|
| Verfügbarkeitsorientierung | Kontinuierlicher Betrieb ist für die Versorgung entscheidend |
| Echtzeitverarbeitung | Überwachung und Steuerung müssen unmittelbar reagieren |
| Lange Anlagenlebenszyklen | Systeme bleiben oft viele Jahre oder Jahrzehnte im Einsatz |
| Begrenzte Stillstandszeiten | Wartungsfenster sind im Klinikbetrieb stark eingeschränkt |
Für das Facility Management bedeutet dies, dass OT-Sicherheit immer mit Betriebssicherheit, Wartbarkeit und klinischer Versorgungssicherheit abgestimmt werden muss. Sicherheitsmaßnahmen dürfen die Anlagenfunktion nicht unkontrolliert beeinträchtigen.
Integrationsbereiche
| Integrationsbereich | Betrieblicher Zweck |
|---|---|
| Zentrale Überwachung | Einheitliche Übersicht über technische Anlagen und Betriebszustände |
| Alarmmanagement | Meldung, Eskalation und Nachverfolgung kritischer Ereignisse |
| Datenanalyse | Auswertung von Energieverbrauch, Anlagenleistung und Betriebsverhalten |
| Fernsupport | Zugriff durch Hersteller, Dienstleister oder Wartungspartner |
| Berichtssysteme | Betriebs-, Nachweis- und Compliance-Berichte |
IT und OT sind in modernen Gesundheitseinrichtungen zunehmend miteinander verbunden. Beispiele sind webbasierte Bedienoberflächen für Gebäudeautomation, zentrale Leitstände, digitale Wartungstickets, Energiemonitoring und externe Fernwartungszugänge. Diese Verbindungen schaffen Effizienz, erhöhen aber auch das Risiko, dass Störungen oder Angriffe von einem Bereich in den anderen übergreifen.
Facility-Management-Aspekte
Das Facility Management muss die technischen und organisatorischen Abhängigkeiten zwischen IT und OT kennen. Dazu gehört, kritische Anlagen zu identifizieren, Schnittstellen zu dokumentieren und klare Kommunikationswege mit IT, Medizintechnik, Klinikbetrieb und externen Dienstleistern festzulegen. Wartungsarbeiten an OT-Systemen müssen mit IT-Änderungen, klinischen Betriebszeiten und Sicherheitsanforderungen abgestimmt werden. Besonders wichtig ist dies bei Systemen mit Einfluss auf Luftqualität, Temperatur, Stromversorgung, medizinische Gase, Zutritt, Brandschutz und Notstromversorgung. Cybersecurity-Auswirkungen vernetzter Gebäudetechnik müssen bereits bei Planung, Beschaffung, Inbetriebnahme und Betrieb berücksichtigt werden. Neue Systeme sollten nur eingebunden werden, wenn Netzwerkzugänge, Benutzerrechte, Updatefähigkeit und Fernzugriffskonzepte geprüft sind.
Bedrohungslage der Cybersicherheit
Krankenhäuser und Kliniken sind auf durchgängige Verfügbarkeit digitaler und technischer Systeme angewiesen. Cyberbedrohungen können daher nicht nur Daten betreffen, sondern auch den physischen Betrieb, die Patientensicherheit und die Funktionsfähigkeit kritischer Infrastruktur.
Häufige Bedrohungsquellen
| Bedrohungsquelle | Beispiele |
|---|---|
| Externe Angreifer | Hackergruppen, Cyberkriminelle |
| Interne Bedrohungen | Unbefugte oder fehlerhafte Handlungen von Mitarbeitenden |
| Drittanbieter | Kompromittierte Fernzugänge oder Wartungsverbindungen |
| Schadsoftware-Kampagnen | Ransomware und andere schädliche Software |
| Lieferkettenrisiken | Schwachstellen in Software, Hardware oder Komponenten |
Aus Sicht des Facility Managements sind insbesondere ungesicherte Fernwartungszugänge, veraltete Steuerungssysteme, unzureichend dokumentierte Netzwerkverbindungen und fehlende Zuständigkeiten kritisch.
Zentrale Risikobereiche
| Risikokategorie | Mögliche Auswirkung |
|---|---|
| Datenverletzung | Offenlegung von Patienten- oder Organisationsdaten |
| Ransomware | Verlust der Systemverfügbarkeit |
| Unbefugter Zugriff | Kompromittierung sensibler Daten oder Funktionen |
| Dienstunterbrechung | Störungen klinischer und administrativer Abläufe |
IT-Risiken können auch Facility-Management-Prozesse beeinträchtigen. Fallen Kommunikationssysteme, Dokumentationsplattformen oder Ticketsysteme aus, werden Störungen langsamer erkannt, priorisiert oder behoben.
Betriebliche Folgen
Eine Störung von IT-Systemen kann die klinische Effizienz reduzieren, weil Mitarbeitende auf Ersatzprozesse ausweichen müssen. Gleichzeitig können Meldeketten, Freigaben, Dokumentationen und Nachweise verzögert werden. Regulatorische Anforderungen können verletzt werden, wenn Daten nicht geschützt, Änderungen nicht dokumentiert oder Sicherheitsvorfälle nicht ordnungsgemäß eskaliert werden. Zusätzlich können Kosten durch Betriebsunterbrechungen, Wiederherstellung, externe Unterstützung und Reputationsschäden entstehen.
Zentrale Risikobereiche
| Risikokategorie | Mögliche Auswirkung |
|---|---|
| Störung der Gebäudeleittechnik | Verlust von HLK- oder Umgebungssteuerungen |
| Beeinflussung der Stromversorgung | Unterbrechungen oder instabile elektrische Versorgung |
| Ausfall der medizinischen Gasüberwachung | Erhöhtes betriebliches und sicherheitstechnisches Risiko |
| Kompromittierung von Sicherheitssystemen | Reduzierter Schutz von Gebäude, Personen und Bereichen |
OT-Risiken sind besonders kritisch, weil sie unmittelbare Auswirkungen auf physische Anlagen haben können. Eine fehlerhafte Temperaturregelung, ausgefallene Alarme, gestörte Lüftung oder eingeschränkte Zutrittskontrolle kann den Klinikbetrieb direkt beeinträchtigen.
Betriebliche Folgen
Die wichtigsten Folgen sind Risiken für die Patientensicherheit, Instabilität der technischen Infrastruktur, Unterbrechungen von Versorgungsprozessen und ein erhöhter manueller Aufwand für Kontrolle und Betrieb. Facility Manager müssen daher sicherstellen, dass kritische OT-Systeme überwacht, geschützt und im Notfall manuell oder über definierte Ersatzprozesse betrieben werden können. Notfallpläne müssen regelmäßig geprüft und mit den verantwortlichen Fachbereichen abgestimmt werden.
Bewertungskomponenten
| Bewertungsbereich | Zweck |
|---|---|
| Asset-Identifikation | Ermittlung kritischer IT- und OT-Systeme |
| Schwachstellenbewertung | Identifikation technischer Schwächen |
| Bedrohungsanalyse | Bewertung realistischer Angriffsszenarien |
| Auswirkungsbewertung | Einschätzung betrieblicher Folgen |
| Risikopriorisierung | Grundlage für Maßnahmenplanung |
Eine wirksame Risikobewertung beginnt mit einer vollständigen und aktuellen Übersicht über Systeme, Anlagen, Schnittstellen, Verantwortliche und Dienstleister. Für jedes kritische System sollte klar sein, welche Funktion es erfüllt, welche Bereiche davon abhängig sind und welche Auswirkungen ein Ausfall hätte. Die Bewertung muss technische und betriebliche Kriterien berücksichtigen. Dazu zählen Netzwerkverbindungen, Benutzerkonten, Fernzugriffe, Softwarestände, Wartungsverträge, Ersatzteilverfügbarkeit und Anforderungen an Verfügbarkeit oder Wiederanlauf. Risiken sollten priorisiert werden, damit Ressourcen gezielt eingesetzt werden. Vorrang haben Systeme, deren Ausfall Patientensicherheit, Brandschutz, Energieversorgung, Lüftung, medizinische Gase, Zutritt oder andere kritische Betriebsfunktionen beeinträchtigen kann.
Netzwerksegmentierung
Netzwerksegmentierung teilt die Netzwerkinfrastruktur in getrennte, kontrollierte Zonen auf. Ziel ist es, unbefugte Kommunikation zu verhindern, kritische Systeme zu schützen und die Ausbreitung von Störungen oder Angriffen zu begrenzen.
Hauptziele
| Ziel | Nutzen |
|---|---|
| Isolierung kritischer Systeme | Schutz wesentlicher Krankenhaus- und Klinikdienste |
| Begrenzung der Angriffsausbreitung | Reduzierung lateraler Bewegungen im Netzwerk |
| Zugriffskontrolle | Einschränkung unbefugter Kommunikation |
| Verbesserte Überwachung | Höhere Transparenz über Netzwerkaktivitäten |
Für das Facility Management ist Segmentierung besonders wichtig, weil OT-Systeme häufig andere Schutzanforderungen haben als klassische IT-Systeme. Eine direkte, unkontrollierte Verbindung zwischen Büro-IT und Gebäudeautomation sollte vermieden werden.
Empfohlene Netzwerkzonen
| Netzwerkzone | Typische Assets |
|---|---|
| Corporate-IT-Zone | Administrative Systeme und Nutzergeräte |
| Klinische IT-Zone | Klinische Anwendungen und Patientendatensysteme |
| Medizinprodukte-Zone | Vernetzte medizinische Geräte |
| OT-Zone | Gebäudeautomation und Facility-Systeme |
| Externe Zugriffszone | Fernwartungs- und Herstellerzugänge |
Jede Zone sollte nach Schutzbedarf, Funktion und Kommunikationsanforderungen definiert werden. Die OT-Zone sollte getrennt von Büro-IT, Gastnetzwerken, klinischen Informationssystemen und externen Verbindungen betrieben werden.
Segmentierungsprinzipien
IT- und OT-Umgebungen müssen grundsätzlich getrennt werden. Kommunikation zwischen den Zonen darf nur erfolgen, wenn sie betrieblich erforderlich, dokumentiert und technisch kontrolliert ist. Zugriffe sollten nach dem Least-Privilege-Prinzip eingerichtet werden. Nutzer, Systeme und Dienstleister erhalten nur die Berechtigungen, die für ihre Aufgabe notwendig sind. Kritische Systeme müssen besonders geschützt werden. Dazu zählen Gebäudeleittechnik, Energieversorgung, Brandmeldeanlagen, Zutrittskontrolle, medizinische Gasüberwachung, USV-Systeme und andere Anlagen mit direktem Einfluss auf den Klinikbetrieb.
Technische Kontrollen
| Kontrolle | Zweck |
|---|---|
| Firewalls | Filterung des Datenverkehrs zwischen Zonen |
| VLANs | Logische Trennung von Netzwerkbereichen |
| Access Control Lists | Einschränkung erlaubter Kommunikationswege |
| Sichere Gateways | Kontrollierte Kommunikation zwischen Netzwerken |
| Netzwerküberwachungssysteme | Erkennung von Bedrohungen und Transparenz über Aktivitäten |
Technische Kontrollen müssen klar konfiguriert, dokumentiert und regelmäßig überprüft werden. Besonders wichtig ist, dass nur erforderliche Protokolle, Ports und Zielsysteme freigegeben sind. Fernzugriffe von Herstellern oder Wartungsdienstleistern dürfen nicht dauerhaft und unkontrolliert offenstehen. Sie sollten zeitlich begrenzt, authentifiziert, protokolliert und über definierte sichere Zugangswege erfolgen.
Anforderungen an das Zugriffsmanagement
| Anforderung | Zweck |
|---|---|
| Benutzerauthentifizierung | Überprüfung der Identität |
| Rollenbasierte Zugriffskontrolle | Steuerung von Berechtigungen |
| Sicherheit des Fernzugriffs | Schutz externer Verbindungen |
| Protokollierung und Überwachung | Sicherheitskontrolle und Nachvollziehbarkeit |
Zugriffsrechte müssen nachvollziehbar vergeben und regelmäßig geprüft werden. Gemeinsame Benutzerkonten sollten vermieden werden, da sie Verantwortlichkeiten verschleiern und Sicherheitsvorfälle schwerer nachvollziehbar machen.
Betriebliche Aktivitäten
| Aktivität | Ziel |
|---|---|
| Überprüfung der Netzwerkkonfiguration | Nachweis der Wirksamkeit der Segmentierung |
| Validierung von Firewall-Regeln | Sicherstellung angemessener Zugriffskontrolle |
| Änderungsmanagement | Kontrolle von Netzwerkänderungen |
| Regelmäßige Tests | Bestätigung der Sicherheitsleistung |
Netzwerksegmentierung ist keine einmalige Maßnahme. Änderungen an Anlagen, Software, Dienstleisterzugängen oder klinischen Prozessen können neue Kommunikationswege erzeugen und bestehende Schutzmaßnahmen verändern. Das Facility Management sollte bei Änderungen an OT-Systemen frühzeitig die IT-Sicherheit einbeziehen. Jede Änderung sollte dokumentiert, bewertet, freigegeben und nach Umsetzung überprüft werden. Firewall-Regeln und Netzwerkfreigaben sollten regelmäßig auf Notwendigkeit, Aktualität und Risiko geprüft werden. Nicht mehr benötigte Verbindungen sind zu entfernen, damit die Angriffsfläche reduziert bleibt.
Sicherheitsgovernance
Sicherheitsgovernance legt Verantwortlichkeiten, Entscheidungswege, Kontrollmechanismen und Mindestanforderungen für Cybersicherheit fest. Sie stellt sicher, dass IT-, OT- und Facility-Risiken nicht isoliert behandelt werden, sondern als Teil des gesamten Risikomanagements der Gesundheitseinrichtung.
Governance-Komponenten
| Komponente | Funktion |
|---|---|
| Richtlinien | Festlegung verbindlicher Sicherheitsanforderungen |
| Standards | Definition technischer und organisatorischer Erwartungen |
| Verfahren | Anleitung für betriebliche Abläufe |
| Kontrollmechanismen | Überwachung von Einhaltung und Leistung |
Ein wirksames Governance-Modell muss für den täglichen Betrieb verständlich und anwendbar sein. Vorgaben sollten klar beschreiben, wer Entscheidungen trifft, wer Systeme betreibt, wer Änderungen genehmigt und wer im Sicherheitsvorfall informiert werden muss.
Governance-Struktur
| Stakeholder | Verantwortlichkeiten |
|---|---|
| Geschäftsführung | Strategische Aufsicht und Bereitstellung von Ressourcen |
| Facility Management | Schutz von OT- und gebäudetechnischen Systemen |
| IT-Abteilung | IT-Sicherheitsbetrieb und Schutz der IT-Infrastruktur |
| Medizintechnik | Sicherheitskoordination für medizinische Technologie |
| Risiko- und Compliance-Funktionen | Governance- und Compliance-Überwachung |
Facility Management ist verantwortlich für den sicheren technischen Betrieb der gebäudebezogenen Anlagen. Dazu gehören Anlagenverfügbarkeit, Wartungskoordination, Dienstleistersteuerung, technische Dokumentation und die Einhaltung definierter Sicherheitsvorgaben. Die IT-Abteilung verantwortet die technische Netzwerksicherheit, Identitätsdienste, Protokollierung, Monitoring und Schutzmaßnahmen für IT-Infrastruktur. Bei OT-Systemen ist eine enge Abstimmung erforderlich, da technische Sicherheitsmaßnahmen den Anlagenbetrieb beeinflussen können.
Koordinationsanforderungen
Cybersicherheit muss funktionsübergreifend geplant werden. Facility Management, IT, Medizintechnik, Klinikbetrieb, Einkauf, Datenschutz, Risiko- und Compliance-Funktionen müssen klare Schnittstellen haben. Gemeinsame Risikobewertungen sind erforderlich, damit technische, klinische und betriebliche Auswirkungen vollständig berücksichtigt werden. Incident-Response-Prozesse müssen so abgestimmt sein, dass bei einem Vorfall sowohl digitale Systeme als auch physische Anlagen bewertet werden. Verantwortlichkeiten für kritische Infrastruktur müssen eindeutig zugewiesen sein. Es darf keine unklaren Zuständigkeiten für Fernzugriffe, Systemupdates, Lieferantenkommunikation, Störungseskalation oder Wiederherstellung geben.
Richtlinienbereiche
| Richtlinienbereich | Umfang |
|---|---|
| Zugriffskontrolle | Anforderungen an Benutzer- und Systemzugriffe |
| Netzwerksicherheit | Segmentierung und Kommunikationskontrollen |
| Fernzugriff | Hersteller- und externe Verbindungen |
| Asset Management | Lebenszyklusmanagement von IT- und OT-Systemen |
| Vorfallmeldung | Eskalationsverfahren für Cybersicherheitsereignisse |
Sicherheitsrichtlinien müssen praxisnah formuliert und für alle betroffenen Bereiche verbindlich sein. Für Facility Management sind insbesondere Vorgaben zu Fernwartung, Dienstleisterzugang, Anlagenänderungen, Passwortverwaltung, Dokumentation und Notfallbetrieb relevant. Richtlinien sollten regelmäßig überprüft werden, insbesondere nach Systemänderungen, Sicherheitsvorfällen, Auditergebnissen oder organisatorischen Veränderungen. Veraltete oder unklare Vorgaben erhöhen das Risiko uneinheitlicher Entscheidungen. Bei neuen OT-Systemen sollten Sicherheitsanforderungen bereits in Ausschreibung, Beschaffung und Vertragsgestaltung berücksichtigt werden. Dazu gehören Anforderungen an Benutzerverwaltung, Protokollierung, Updatefähigkeit, Netzwerksegmentierung, Supportprozesse und sichere Fernwartung.
Aktivitäten der Sicherheitsüberwachung
| Aktivität | Zweck |
|---|---|
| Überwachung von Sicherheitsereignissen | Erkennung und Reaktion auf Bedrohungen |
| Zugriffsprüfungen | Überprüfung autorisierter Zugriffe |
| Schwachstellenmanagement | Identifikation und Behebung von Schwächen |
| Sicherheitsaudits | Überprüfung der Einhaltung von Vorgaben |
Überwachung muss sowohl IT- als auch OT-relevante Ereignisse berücksichtigen. Dazu gehören ungewöhnliche Netzwerkverbindungen, fehlgeschlagene Anmeldungen, unerwartete Konfigurationsänderungen, nicht autorisierte Geräte und Auffälligkeiten in Fernwartungszugängen. Compliance-Prüfungen sollten nicht nur dokumentenbasiert erfolgen. Sie müssen auch technische Nachweise, Konfigurationsstände, Zugriffslisten, Wartungsprotokolle und Änderungsnachweise einbeziehen.
Elemente der kontinuierlichen Verbesserung
| Element | Ziel |
|---|---|
| Cybersicherheitsschulungen | Verbesserung des Sicherheitsbewusstseins |
| Sicherheitsbewertungen | Bewertung der Wirksamkeit von Kontrollen |
| Lessons-Learned-Reviews | Verbesserung der künftigen Vorbereitung |
| Governance-Reviews | Stärkung der Sicherheitsaufsicht |
Kontinuierliche Verbesserung stellt sicher, dass Sicherheitsmaßnahmen an neue Risiken, geänderte Systeme und betriebliche Erfahrungen angepasst werden. Schulungen sollten praxisnah sein und Rollen im Facility Management, in der IT, in der Medizintechnik und bei Dienstleistern berücksichtigen. Nach Vorfällen, Tests oder Audits sollten konkrete Verbesserungsmaßnahmen festgelegt werden. Jede Maßnahme benötigt eine verantwortliche Stelle, einen Umsetzungsstatus und eine nachvollziehbare Wirksamkeitsprüfung.
