OT-Netzwerke gibt es inzwischen in nahezu jedem Bereich des Lebens. Dadurch werden sie immer häufiger attackiert. So waren im Frühjahr 2020 beispielsweise mehrere Anlagen eines Wasserversorgers Ziel eines Angriffs von Cyberkriminellen. Es ist nur noch eine Frage der Zeit, bis es zu signifikanten Vorfällen auch in Krankenhäusern kommen wird, zumal sie heute oft schon mit der Absicherung der IT nach dem Stand der Technik zu kämpfen haben. Im OT-Bereich bedingen die hohen Anschaffungskosten und die Langlebigkeit der Produkte, dass viele Altsysteme noch im Einsatz sind, sowohl bei Gebäudesystemen als auch bei Medizinprodukten. Gleichzeitig sind OT-Systeme noch nicht im Fokus der Sicherheitsstandardisierung angekommen.

Krankenhäuser und andere medizinische Einrichtungen müssen ihre digitale Infrastruktur bestmöglich vor Bedrohungen aus dem Netz schützen. Die Widerstandsfähigkeit der operativen Netzwerke lässt sich in vier Schritten stärken:

1. Die Gefahr verstehen: Im ersten Schritt muss ein Verständnis geschaffen werden, dass nicht nur die IT-, sondern auch die OT-Systeme eines Hauses gefährdet sind. Die spezifischen Risiken der einzelnen Systeme werden erfasst, Schwachstellen identifiziert und unmittelbare Gegenmaßnahmen entwickelt. Bereits in diesen Prozess muss die Krankenhausleitung unbedingt eingebunden werden.
2. Ein Zielbild für die OT-Security entwickeln: Die Risiken der OT-Landschaft sind Ausgangspunkt, um grundlegende Fragen zu stellen. Welche Gegenmaßnahmen sind am drängendsten? Welche Systeme sind nicht mehr wartbar, weil der Servicezeitraum des Herstellers abgelaufen ist oder sie nachträglich undokumentiert verändert wurden? Welche dieser „Altlasten” können oder müssen zwangsläufig durch Neuanschaffungen ausgetauscht werden? Und auch, wie kann der der komplette Bereich der OT-Security unter eine Governance- und Managementstruktur gestellt werden?
3. Integration in eine Cyber-Sicherheitsstrategie: Sind die Handlungsfelder der OT-Sicherheit erfasst, können sie in eine übergeordnete Cyber-Sicherheitsstrategie integriert werden. Das Cyber-Team wird hierzu ergänzt um Experten für Medizingeräte, Gebäudeleittechnik und OT-Security. Der CISO hat somit nicht nur die strategische Konzeption, sondern auch eine multidisziplinäre Koordinationsaufgabe zu managen.
4. IT- & OT-Strategie finanzieren und umsetzen: Je nach bisherigem Reifegrad der Cybersicherheit stehen nun entweder nur die OT-Sicherheitsstrategie zur Umsetzung an oder die gesamte IT- & OT-Sicherheitsstrategie. Die Maßnahmen können nach Umfang, Auswirkungen, Umsetzungsgeschwindigkeit und Kosten priorisiert werden. Für die Finanzierung bieten sich derzeit auch Mittel aus dem Krankenhauszukunftsfonds (KHZG) an, mit dem Bund und Länder insgesamt 4,3 Milliarden Euro zur Verfügung stellen, die für die Sicherheit und Digitalisierung in Krankenhäusern eingesetzt werden können.

Wirksame Sicherheitskonzepte umfassen drei Faktoren: Prozesse, Menschen und Technologie (processes, people, technology, kurz: PPT). Wird nur einer der drei Aspekte vernachlässigt, tun sich Schwachstellen auf. Die sicherheitsrelevanten Prozesse beginnen etwa schon bei formellen Beschaffungs- und Entsorgungsverfahren für technische Geräte, die Standards für Cybersicherheit einbeziehen müssen. Mitarbeiter durch frontale Seminare und Workshops zu schulen reicht heute nicht mehr aus, auch moderne digitale Formate und Lernerfolgsmessung sind nur ein Zwischenschritt zu einer Kultur der Cybersicherheit, auf die alle Maßnahmen zielen müssen. Der Stand der Technik ist schließlich in steter Weiterentwicklung, so dass nur gut ausgebildetes und wachsames Personal und ständig optimierte Prozesse dafür sorgen können, dass die Technologie zeitgemäß, performant und sicher bleibt.