Deutsches Krankenhaus spart Hunderte von Stunden bei der Einhaltung von Sicherheitsvorschriften

Zusammenfassung

Das Städtische Krankenhaus in Kiel, Deutschland, hat es sich zur Aufgabe gemacht, in seiner Region nördlich von Hamburg rund um die Uhr eine erstklassige Patientenversorgung zu gewährleisten. Das Krankenhaus behandelt jährlich über 25.000 stationäre und rund 50.000 ambulante Patienten und führt jährlich rund 55.000 radiologische Untersuchungen durch.

Die Schwerpunkte des Krankenhauses liegen in den Bereichen Notfall- und Unfallversorgung, Geriatrie, Chirurgie, Hämatologie/Onkologie, Urologie, Intensivmedizin, Gynäkologie und Geburtshilfe. Mit einer Frauenklinik und knapp 2.000 Geburten im Jahr 2021 verzeichnete es eine der höchsten Geburtenraten in Schleswig-Holstein.

Kritische Leistungen wie die Erstversorgung und Nachsorge von Herzinfarktpatienten werden über die kardiologische Klinik abgewickelt. In der Klinik für Hämatologie und Onkologie stehen alle Untersuchungsmethoden zur Diagnose von bösartigen Organtumoren zur Verfügung. Die Diagnostik und Behandlung von Patienten mit Erkrankungen der Speiseröhre, des Magen-Darm-Traktes, der Bauchspeicheldrüse und der Leber ist ebenfalls in der Klinik für Gastroenterologie/Rheumatologie gewährleistet. Im Bereich der Chirurgie und Unfallchirurgie liegen die Kernkompetenzen in der Allgemeinchirurgie und Viszeralchirurgie.

Um den Patienten höchste Versorgungsstandards bieten zu können, sind sie auf Sicherheit, Qualitätskontrollen und moderne Behandlungsmethoden angewiesen. Die einzelnen Abteilungen müssen eng zusammenarbeiten, um zu gewährleisten, dass die Patienten die bestmögliche medizinische Versorgung erhalten.

Für eine ganzheitliche Patientenversorgung arbeiten das Krankenhaus und seine Kliniken nicht nur mit internen Experten und Fachärzten zusammen, sondern sind auch auf die Zusammenarbeit mit niedergelassenen Ärzten und Experten aus dem Gesundheitswesen angewiesen. All dies wird natürlich durch die hohe Verfügbarkeit einer IT-Infrastruktur ermöglicht, die proaktiv gewartet werden muss.

Für diese Fallstudie sprachen wir mit Holger Lohmann, IT-Systemadministrator des Krankenhauses.

Herausforderungen (vor der Verwendung von Runecast)

Die IT Team des Städtischen Krankenhauses Kiel unterliegt als Gesundheitsdienstleister einer immer stärkeren Regulierung. Sicherheit und Compliance waren ein wichtiges Anliegen für Team. Sie brauchten eine Möglichkeit, proaktiv die Sicherheitskonformität zu erreichen und nachzuweisen, da die Aufsichtsbehörden Nachweise für die Konformität sehen wollen, die sie in ihrem vorherigen Zustand nur schwer hätten erbringen können.

Als Einrichtung des Gesundheitswesens mit "kritischer Infrastruktur" stand Team vor der Herausforderung, im kommenden Jahr neue Sicherheitsvorschriften einhalten zu müssen. Dies würde einen völlig anderen Ansatz bei der Überwachung der gesamten Infrastruktur auf Schwachstellen und Fehlkonfigurationen erfordern. Außerdem gab es im gesamten Krankenhaus verteilte Windows- und Linux-Rechner, die abgedeckt und auf rechtliche Anforderungen und Schwachstellen überprüft werden mussten. Auch das Thema Change Management, die Dokumentation solcher Änderungen an den Systemen und das Auditing waren wichtige Faktoren, mit denen man sich auseinandersetzen musste.

Das Unternehmen betrieb 12 ESXi-Hosts mit fast 300 virtuellen Maschinen sowie einen Datenbank-Cluster und zahlreiche Windows-Produktionsrechner, die alle eine ausführliche Dokumentation der getroffenen Sicherheitsmaßnahmen erfordern würden.

Herr Lohmann erklärt: "Bereits jetzt investierten wir 50 % unserer Zeit in die Sicherheit und der Rest in die Aufrechterhaltung des Betriebs. Wir hatten einen reaktiven Ansatz, mit sehr begrenzter Sichtbarkeit von Schwachstellen und Fehlkonfigurationen.

Da sie wussten, dass sie die Einhaltung des BSI IT-Grundschutzes (und möglicherweise anderer Normen) nachweisen mussten - und sich nicht zutrauten, dies manuell zu tun - suchten sie nach einer Lösung, die sie bei der Umstellung auf einen proaktiven Ansatz unterstützen würde.

"Wir mussten eine hohe Verfügbarkeit gewährleisten und in der Lage sein, die Maßnahmen nachzuweisen, die wir sowohl für das Schwachstellenmanagement als auch für die Einhaltung der Sicherheitsvorschriften ergriffen haben", so Lohmann.

Die Lösung

Herr Lohmann entdeckte Runecast zum ersten Mal, als Team die VMware-Protokolle manuell durchgehen musste, aber er wusste, dass dies viel zu lange dauern würde, und er brauchte eine Möglichkeit, die Protokolle einfacher nach Problemen zu durchsuchen.

"Runecast hat genau das geliefert, was wir gesucht haben", sagt Lohmann, "wir haben maximal eine Stunde gebraucht, um die Appliance einzusetzen, die Zugangsdaten für vCenter einzugeben und einen Scan durchzuführen."

Der erste Runecast-Scan deckte Schwachstellen, Fehlkonfigurationen in der VMware-Sicherheitsstruktur und einige andere Fehler auf, die behoben werden mussten - einschließlich einer Reihe von Fehlkonfigurationen im Windows-Betriebssystem, die sie seitdem durch bessere Gruppenrichtlinien zu entschärfen versuchen.

"Runecast hat uns geholfen, zu erkennen, wie viele Systeme betroffen waren und wie kritisch die Schwachstellen waren", sagt Lohmann, "also haben wir bei der Auswahl unserer Prioritäten einfach die neu entdeckten Probleme von kritisch über mittel bis gering behoben."

Wie lange es dauerte, die anfänglichen Erkenntnisse zu entschärfen, "Wir konnten 80 % der Probleme, die unsere VMware-Sicherheit betrafen, innerhalb von zwei bis drei Wochen beheben. Bei den Betriebssystemen konnten wir davon ausgehen, dass es einige Monate dauern würde, da es sich um Produktionsmaschinen handelt."

Sie fanden in der Runecast-Plattform die Lösung, die sie brauchten, um alle Schwachstellen und Fehlkonfigurationen zu entschärfen und ihre Infrastruktur mit den Sicherheitsvorschriften, an denen sie gemessen werden, konform zu machen.

"Wir waren überrascht von der schieren Menge an Informationen, mit so vielen verschiedenen Ansichten zu den Problemen, auf die man stößt", sagte Herr Lohmann, "aber alles ist in einer Plattform und einfach."

Laufende Leistungen

In Bezug auf die laufenden Vorteile erklärte Herr Lohmann: "Runecast hilft uns, die Sicherheit unserer ESXi- und Windows-Systeme zu härten - und alles in einer Plattform sichtbar und einfach zu handhaben zu haben - so dass wir in der Lage sind, dem Krankenhauspersonal und unseren Patienten eine zuverlässigere IT-Infrastruktur hinter den von uns angebotenen Dienstleistungen zu bieten."

In den ersten Monaten nach dem Einsatz von Runecast war Team in der Lage, die größten Probleme in ihrer Umgebung zu bereinigen, und es hat ihnen bereits geholfen, sichtbare Kontrolle über neue Entwicklungen zu erlangen. Bevor sie Runecast einsetzten, waren sie es gewohnt, sich (reaktiv) mit ein oder zwei kleineren Vorfällen pro Monat und einem größeren Vorfall etwa einmal pro Quartal zu befassen. Nachdem sie einige ihrer eher reaktiven und zeitaufwändigen Erkennungsaufgaben auf einen proaktiven Ansatz mit Runecast verlagert haben, konnte die Team ihre Aufmerksamkeit auf wichtigere Projekte richten.

"Allein mit den Skripten zur Fehlerbehebung - wenn ich das alles selbst machen müsste - hat es uns schon hat uns bereits 100 Stunden in den ersten Monaten gespart", sagt Herr Lohmann. "Wir haben bereits zwei Monate manuelle Arbeit bei der Beseitigung von Schwachstellen gespart. Der Rechercheteil allein hätte uns viel zu viel Zeit gekostet."

Auf die Frage, welche Aspekte von Runecast ihn und Team auch nach längerer, regelmäßiger Arbeit überraschen, antwortete Herr Lohmann: "Man bekommt alles erklärt, was man tun muss. Wenn man das alles selbst sucht, wird man verrückt."

Herr Lohmann gab anderen Organisationen, die Runecast in Erwägung ziehen, den folgenden Rat:

"Schauen Sie sich an, wie viel Ihr IT-Personal kostet und wie Sie die Kosten für weitere Team -Mitarbeiter einsparen können - die Sie vielleicht nicht einmal an den Punkt bringen, den Runecast erreicht. Wir hätten vielleicht 1-2 Leute mehr gebraucht, um im Laufe der Zeit annähernd die gleiche Arbeit zu erledigen, was noch mehr kostet, wenn man die Qualifikationslücken und die Schwierigkeit, Sicherheitsspezialisten zu finden, berücksichtigt."