Das Städtische Krankenhaus Kiel hat das Ziel, in der Region nördlich von Hamburg rund um die Uhr eine erstklassige Patientenversorgung zu bieten. Das Krankenhaus behandelt jährlich über 25.000 stationäre und etwa 50.000 ambulante Patienten und führt jährlich etwa 55.000 radiologische Untersuchungen durch.
Die Schwerpunkte des Krankenhauses liegen in den Bereichen Notfall- und Unfallversorgung, Geriatrie, Chirurgie, Hämatologie/Onkologie, Urologie, Intensivmedizin, Gynäkologie und Geburtshilfe. Mit fast 2.000 Geburten seiner Frauenklinik verzeichnete das Krankenhaus eine der höchsten Geburtenraten im Jahr 2021 in der Region Schleswig-Holstein.
Kritische Leistungen wie die Erstversorgung und Nachsorge von Herzinfarktpatienten werden über die kardiologische Klinik abgewickelt. In der Klinik für Hämatologie und Onkologie stehen alle Untersuchungsmethoden zur Diagnose von bösartigen Organtumoren zur Verfügung. Die Diagnose und Behandlung von Patienten mit Erkrankungen der Speiseröhre, des Magen-Darm-Trakts, der Bauchspeicheldrüse und der Leber ist ebenfalls in der Klinik für Gastroenterologie/Rheumatologie gewährleistet. Im Bereich der Chirurgie und Unfallchirurgie liegen die Kernkompetenzen in der Allgemeinchirurgie und der Viszeralchirurgie.
Die Klinik setzt auf Sicherheit, Qualitätskontrollen und moderne Behandlungsmethoden, um den Patienten den höchsten Versorgungsstandard zu bieten. Die einzelnen Abteilungen arbeiten eng zusammen, um den Patienten eine medizinische Versorgung auf höchstem Niveau zu garantieren.
Für eine ganzheitliche Patientenversorgung arbeiten das Krankenhaus und seine Kliniken nicht nur mit internen Experten und Fachärzten zusammen, sondern setzen auch auf die Zusammenarbeit mit niedergelassenen Ärzten und Experten aus dem Gesundheitswesen. All dies wird natürlich durch die hohe Verfügbarkeit einer IT-Infrastruktur ermöglicht, die proaktiv gewartet werden muss.
Für diese Fallstudie sprachen wir mit Holger Lohmann, IT-Systemadministrator des Krankenhauses.
Das IT-Team des Städtischen Krankenhauses Kiel unterliegt als Gesundheitsdienstleister immer mehr Vorschriften. Sicherheit und Compliance waren für das Team ein wichtiges Anliegen. Das Team brauchte eine Möglichkeit, proaktiv die Einhaltung von Sicherheitsvorschriften zu erreichen und gegenüber den Aufsichtsbehörden entsprechende Nachweise erbringen zu können.
Als Gesundheitseinrichtung mit kritischer Infrastruktur stand das Team vor der Herausforderung, neue Sicherheitsvorschriften einhalten zu müssen. Dies erforderte einen völlig anderen Ansatz bei der Überwachung der gesamten Infrastruktur auf Schwachstellen und Fehlkonfigurationen. Außerdem gab es im gesamten Krankenhaus verteilte Windows- und Linux-Rechner, die abgedeckt und auf gesetzliche Anforderungen und Schwachstellen überprüft werden mussten. Weitere wichtige Faktoren waren das Thema Change Management, die Dokumentation von Änderungen an den Systemen und Audits.
Die Klinik betreibt 12 ESXi-Hosts mit fast 300 virtuellen Maschinen sowie einen Datenbank-Cluster und zahlreiche Windows-Produktionsrechner. Für alle müssen die getroffenen Sicherheitsmaßnahmen ausführlich dokumentiert werden.
Laut Herrn Lohmann investiert sein Team bereits jetzt: "50 % unserer Zeit in die Sicherheit und den Rest in die Aufrechterhaltung des Betriebs. Wir hatten einen reaktiven Ansatz, mit sehr begrenzter Sichtbarkeit von Schwachstellen und Fehlkonfigurationen."
Ein manueller Nachweis der Einhaltung der Vorgaben des BSI IT-Grundschutzes (und möglicherweise anderer Normen) kam nicht in Frage. Lohmann suchte nach einer Lösung, die sein Team bei der Umstellung auf einen proaktiven Ansatz unterstützen würde.
"Wir mussten eine hohe Verfügbarkeit gewährleisten und in der Lage sein, die Maßnahmen für das Schwachstellenmanagement als auch für die Einhaltung der Sicherheitsvorschriften nachzuweisen."
Herr Lohmann stieß zum ersten Mal auf Runecast, als das Team die VMware-Protokolle manuell durchgehen musste. Er wusste, dass dies viel zu lange dauern würde und suchte nach einer Möglichkeit, die Protokolle einfacher nach Problemen zu durchsuchen.
"Runecast bietet genau das, was wir gesucht haben", sagt Lohmann. "Wir haben maximal eine Stunde gebraucht, um die Appliance einzusetzen, die Zugangsdaten für vCenter einzugeben und einen Scan durchzuführen."
Der erste Runecast-Scan deckte Schwachstellen, Fehlkonfigurationen in der VMware-Sicherheitsstruktur und einige andere Fehler auf, die behoben werden mussten - einschließlich einer Reihe von Fehlkonfigurationen im Windows-Betriebssystem. Letztere konnten seitdem durch bessere Gruppenrichtlinien entschärft werden.
"Runecast half uns zu erkennen, wie viele Systeme betroffen waren und wie kritisch die Schwachstellen waren", sagt Lohmann, "also haben wir die neu entdeckten Probleme einfach gemäß der Prioritäten von kritisch über mittel bis niedrig behoben."
Auf die Frage nach dem Zeitaufwand antwortet Lohmann ehrlich: "Wir konnten 80% der Probleme, die unsere VMware-Sicherheit betrafen, innerhalb von zwei bis drei Wochen beheben. Bei den Betriebssystemen auf den Produktionsmaschinen müssen wir davon ausgehen, dass es bis zu einigen Monaten dauern kann."
Sie fanden in der Runecast-Plattform eine Lösung, um alle Schwachstellen und Fehlkonfigurationen zu entschärfen und ihre Infrastruktur mit geltenden Sicherheitsvorschriften in Einklang zu bringen.
"Wir waren überrascht von der schieren Menge an Informationen, die uns zur Verfügung standen, mit so vielen verschiedenen Ansichten der Probleme, auf die man stößt", sagte Herr Lohmann. "Aber alles ist in einer einzigen Plattform und wirklich übersichtlich."
In Bezug auf die laufenden Vorteile erklärte Herr Lohmann, dass Runecast ihnen hilft, die Sicherheit der "ESXi- und Windows-Systeme zu härten und alles in einer Plattform sichtbar und einfach zu handhaben. So sind wir in der Lage, dem Krankenhauspersonal und unseren Patienten eine zuverlässigere IT-Infrastruktur hinter den angebotenen Dienstleistungen zu bieten."
In den ersten Monaten nach dem Einsatz von Runecast konnte das Team die größten Probleme in ihrer Umgebung bereinigen. Runecast half dabei, die Kontrolle über neue Entwicklungen zu erlangen. Bevor sie Runecast einsetzten, musste sich das Team reaktiv) mit ein oder zwei kleineren Vorfällen pro Monat und einem größeren Vorfall etwa einmal pro Quartal befassen. Nach der Verlagerung einiger der eher reaktiven und zeitaufwändigen Erkennungsaufgaben auf den proaktiven Ansatz mit Runecast konnte die Aufmerksamkeit auf strategischere Aufgaben gerichtet werden.
"Die Skripte zur Fehlerbehebung haben uns bereits 100 Stunden in den ersten Monaten gespart", sagt Herr Lohmann. "Wir haben weitere zwei Monate manuelle Arbeit bei der Beseitigung von Schwachstellen gespart. Wenn ich das alles hätte selbst machen müssen... Der Rechercheteil allein hätte schon zu viel Zeit gekostet."
Auf die Frage, welche Aspekte von Runecast ihn und sein Team auch nach längerer, regelmäßiger Arbeit überraschen, antwortete Herr Lohmann: "Man bekommt alles erklärt, was man tun muss. Wenn man das alles selbst sucht, wird man verrückt."
Herr Lohmann gibt anderen Organisationen, die Runecast in Erwägung ziehen, den folgenden Rat:
"Schauen Sie sich an, wie viel Ihr IT-Personal kostet und wie viel weitere Team -Mitarbeiter Sie bräuchten, um nur ansatzweise an den Punkt zu kommen, den Runecast erreicht. Wir hätten vielleicht 1-2 Leute mehr gebraucht, um im Laufe der Zeit annähernd die gleiche Arbeit zu erledigen – ganz zu schweigen von den Qualifikationslücken und der Schwierigkeit, überhaupt geeignete Sicherheitsspezialisten zu finden."
"Mit den Skripten zur Behebung von Schwachstellen hat uns Runecast in den ersten Monaten bereits Hunderte von Stunden manueller Arbeit gespart."
Holger Lohmann
IT-Systemadministrator
Lassen Sie es laufen... Sie werden über die Ergebnisse erstaunt sein. Wir denken immer, dass viele Anwendungen von Natur aus sicher sind und wie sie entworfen wurden, aber nach dem Einsatz von Runecast verstehen Sie wirklich die Lücken, die Sie in Ihrer Umgebung haben könnten, und es ist definitiv ein Augenöffner.
Vizepräsident - Infrastruktur und Sicherheit an den omanischen Flughäfen
