IT-Risikomanagement im Krankenhaus
Das IT-Risikomanagement im Krankenhaus ist eine zentrale Aufgabe und ein übergreifender Prozess in der Klinik bzw. in der gesamten Organisation. Die Risiken werden dabei systemmatisch identifiziert, analysiert, bewertet und Maßnahmen festgelegt, um die Risiken zu beherrschen. Genauer gesagt: das Risikomanagement soll im Hinblick auf die kritischen Prozesse des Krankenhauses, das Sicherheitsniveau akzetabel und nachhaltig verbessern.
“Das, wobei unsere Berechnungen versagen, nennen wir Zufall.”
Albert Einstein
Das IT-Risikomanagement ist dabei ebenso wie das klinische Risikomanagement (kRM) eine Führungsaufgabe. Die Verantwortung liegt je nach Krankenhausstruktur beim CISO, IT-Sicherheitsbeauftragtem, IT-Risikomanager oder beim Informationssicherheitsbeauftragten (ISB).
Was bedeutet Risikomanagement?
Risikomanagement ist die Tätigkeit des Umgangs mit Risiken.
Dies umfasst sämtliche Maßnahmen zur
- Erkennung,
- Analyse,
- Bewertung,
- Überwachung,
- Steuerung und
- Kontrolle
von Risiken.
Ein etwas verändertes und vereinfachtes Modell besteht aus den vier Hauptaktivitäten
- Risikoindentifikation
Für die Risikoidentifikation stehen mehrere Methoden zur Verfügung. Interviews, Checklisten, Aufzeichnungen über in der Vergangenheit eingetretene Risiken oder Workshops sind dabei gängige Vorgehensweisen.
- Risikoanalyse/-bewertung
Ein Risiko existiert nach der hier vertretenen Auffassung nur dann, wenn eine bestehende Bedrohung (threat) durch eine vorhandene Schwachstelle (vulnerabilty) ausgenutzt wird. Bedrohungs- und Schwachstellenkataloge unterstützen den Prozess der Analyse hierbei hervorragend. Für die daraus resultierenden Risiken erfolgt eine Abschätzung des Ausmaßes und der Wahrscheinlichkeit, dass das spezifische Ereignis tatsächlich eintritt.
- Riskobehandlung/-steuerung
Grundsätzlich stehen für die Risikobehandlung mehrere Wege offen. Typischwerweise sind das
a) Vermeiden der Aktivitäten, welche das Risiko auslösen, z.B. durch Verzicht einen Web-Server selbst zu betreiben
b) Umsetzen von Sicherheitsmaßnahmen, z.B. durch Anwenden der Controls aus dem Anhang A der ISO 27001
c) Übertragen des Risikos auf andere Parteien, z.B. durch Versicherungen
d) Akzeptieren des Risikos, z.B. da Maßnahmen gegenüber dem möglichen Schaden nicht wirtschaftlich wären
Die Ergebnisse dieser Aktivitäten münden in den Risikobehandlingsplan. Darin sind Aufgaben, Verantwortlichkeiten, Prioritäten, Ressourcen, Zeitrahmen und Termine beschrieben. Im Prinzip eine detaillierte ToDo-Liste, wie mit den einzelnen Risiken umgegangen werden soll.
- Risikoüberwachung
Risiken verändern sich. Die Wirksamkeit und Effizienz der umgesetzten Maßnahmen ist deshalb regelmäßig zu überprüfen.
Integriertes IT-Risikomanagement
Aus Sicht der Krankenhausleitung ist es wünschenswert, sowohl das klinische Risikomanagemt als auch das IT-Risikomanagement in einem unternehmensweiten RMS (Risiko-Management-System) zusammenzufassen. Leider sind entsprechende Tools meißt sehr kompliziert in der Bedienung und teuer. Kleinere Lösungen oder auch Tools basierend auf Kalkulationstabellen bieten dann auf der anderen Seite nicht die notwendigen Schnittstellen für einen konsistenten Datenaustausch. Zudem ist das Reporting bei diesen Lösungen oft nur rudimentär vorhanden.
Erfahren Sie hier, wie Sie sich aus der Spreadsheet-Falle befreien können.