D&:ten ge?hack%t? IT-Grundschutz einfach erklärt

Jenseits der Öffnungszeiten sind Praxisräume sicher verschlossen, die Alarmanlage ist scharf gestellt und mancherorts dreht der Wachdienst seine Runden. Diese Sicherheitsmaßnahmen sorgen dafür, dass am nächsten Tag der Betrieb wieder regulär laufen kann. Schützende Basis-­Sicherheitsvorkehrungen müssen auch der IT gelten. Aufgrund deutlich zunehmender Angriffe wächst die Bedeutung von Cyberschutz weiter. Unsere IT-Spezialisten Jean-Marc Lempp und Dennis Sattler erklären, wie ein praktikabler IT-Grundschutz in der radiologischen Praxis entsteht.

1. Sicherheits[ ]lücken schließen

Daten bilden die Grundlage der Praxisarbeit. Das wissen auch die Angreifer, wenn sie Malware einschleusen und Datenklau betreiben. Die beste Vorbeugung gegen Schadprogramme oder andere Angriffe auf IT-Systeme, Anwendungsprogramme und Protokolle ist, sich frühzeitig um Sicherheitslücken und deren Beseitigung, z. B. durch Einspielen von Patches und Updates, zu kümmern. Mit einem gut aufgestellten Update- und Patch-Management und Warnsystem werden Angriffe stark erschwert.

2. Datensicherung – nicht alles auf eine Karte setzen

Benötigt man ein Konzept für Datensicherungsmaßnahmen? Ja, denn es können wichtige fachliche Anforderungen an die betroffenen Geschäftsprozesse bei der Wiederherstellung nach einem Datenverlust berücksichtigt werden. Das betrifft zum Beispiel benötigte Wiederherstellungszeiten oder die Datensicherungsintervalle. Werden wertvolle Daten aus allen Geschäftsprozessen auf ein Speichermedium konzentriert, kann dieses selbst ein bevorzugtes Angriffsziel werden. „Im Datensicherungskonzept bedenken wir das und darüber hinaus auch eine getrennte Ablage von wichtigen Backups“, so Jean-Marc Lempp vom Curagita-Team.

3. IT-Monitoring – Systemüber­wachung mit Alarm

Alle Komponenten der Praxis-IT werden in einem einheitlichen IT-Monitoring zusammengefasst, welches zuvor per Konzept mit dem übergeordneten Service-Management abgestimmt wurde. Die nach Plan angelegte Überwachung der Systeme ermittelt angemessene Schwellenwerte. Bei Grenzwertüberschreitung erfolgt eine Meldung oder es wird Alarm ausgelöst. Der IT-Betrieb legt fest, welche Meldewege genutzt werden und welche Konsequenzen aus den Meldungen oder Alarmen gezogen werden. Die erzeugte Datenbasis aus dem Monitoring gibt Aufschluss darüber, ob die bestehende Infrastruktur erweitert oder angepasst werden muss. „Über die gewonnenen Erkenntnisse, die das aktuelle Lagebild der betriebenen IT und die zeitliche Entwicklung sowie Trends darstellen, wird mit unseren Klienten regelmäßig gesprochen“, sagt Jean-Marc Lempp. Die Konzeption des IT-Monitorings sollte regelmäßig an den neuesten Stand der Technik und der betriebenen Infrastruktur angepasst werden.

4. Einführung einer Active ­Directory Domäne und deren ­Vorteile für die Sicherheit

Das Active Directory (AD) ist eine Verzeichnisdienst- und Identitätsverwaltungsplattform von Microsoft, die in Windows-basierten Netzwerken verwendet wird. In dieser Active Directory Domain werden Benutzerkonten und Computerobjekte organisiert und verwaltet. So kann die zentrale Authentifizierung und Autorisierung von Benutzern und die gemeinsame Nutzung von Ressourcen in einem Netzwerk organisiert werden. Insgesamt trägt eine Active Directory Domain zur Schaffung von Sicherheit und Effizienz bei und wird von den Experten für den Basisschutz mit den folgenden Funktionen und Vorteilen empfohlen:

a. Zentralisierte Benutzerverwaltung: Durch die Nutzung einer Domäne können Benutzerkonten, Gruppen und Computer zentral verwaltet werden. Dies erleichtert die Verwaltung und Sicherheit der IT-Infrastruktur.

b. Single Sign-On (SSO): Benutzer können sich einmal anmelden und auf alle Ressourcen zugreifen, für die sie berechtigt sind, ohne sich mehrfach authentifizieren zu müssen.

c. Zugriffssteuerung und Sicherheit: Mit Active Directory können Administratoren granulare Berechtigungen vergeben. Dies hilft, den Zugriff auf kritische Ressourcen zu kontrollieren und sicherheitsrelevante Richtlinien zu implementieren.

d. Skalierbarkeit: Active Directory ist gut skalierbar und kann mit dem Wachstum eines Unternehmens problemlos erweitert werden.

e. Gruppenrichtlinien: Administra­toren können Gruppenrichtlinien festlegen, um die Konfiguration von Benutzerkonten und Computern zu standardisieren, was die Verwaltung erleichtert und Sicherheitsrichtlinien durchsetzt.

f. Reduzierte Arbeitsbelastung für Administratoren: Automatisierungsfunktionen, z. B. die automatische Verteilung von Software und Updates, reduzieren den manuellen Verwaltungsaufwand.

g. Zentrale Speicherung von ­Ressourcen: Dateien und Anwendungen können zur erleichterten Datensicherung und gemeinsamen Nutzung zentral auf Servern gespeichert werden.

h. Replikation und Ausfallsicherheit: Active Directory unterstützt die Replikation von Informationen zwischen Domänencontrollern, um Ausfallsicherheit zu gewährleisten.

i. Integrierte Dienste: Active Directory bietet eine breite Palette von Diensten, darunter DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol) und Zertifikatsdienste.

j. Einfache Integration von ­Anwendungen: Viele Anwendungen und Dienste sind so konzipiert, dass sie nahtlos mit Active Directory zusammenarbeiten, was die Bereitstellung und Verwaltung erleichtert.

Diese Vorteile machen Active Directory zu einem leistungsstarken Werkzeug für die Sicherheit und Verwaltung einer Unternehmens-IT-Infrastruktur.

Gern besprechen unsere IT-Experten Ihre Fragen und geben Tipps zur Sicherheit Ihrer Praxis-IT. Unterstützung für Setup, Monitoring oder Prüfungen können als Dienstleistungsbausteine bedarfsorientiert angeboten werden – auch, wenn die Praxis-IT bereits durch einen externen Dienstleister betreut wird.