Von reaktiver zu proaktiver Sicherheit bei ZINN

Die Relevanz unserer Lösungen, unserer Erfahrung und unseres Know-hows wird natürlich erst dann greifbar, wenn wir sie bei unseren Kunden anwenden können. Deshalb fragen wir sie gerne, welche Erfahrungen sie mit unseren Dienstleistungen und Produkten gemacht haben.

Lesen Sie im Folgenden die Geschichte von ZINN (Zorginstelling In Noord-Nederland), das an sechs Standorten alle Arten von Altenpflege anbietet.

Altenpflege rund um die Uhr

Das Gespräch mit Joke Rietel, seit fünf Jahren IKT-Managerin bei ZINN, ist inspirierend. Joke spricht gerne über ihre Organisation, und ihre Geschichten geben der Technologie ein menschliches Gesicht. ZINN bietet älteren Menschen ein Gesamtpaket an Pflege in ihrer vertrauten Umgebung. So lange wie möglich zu Hause, aber auch vor Ort, wenn es aus irgendeinem Grund nicht mehr möglich ist, zu Hause zu bleiben. Die Standorte von ZINN befinden sich in Groningen selbst, aber auch in Haren und Hoogezand. „Man sollte Menschen, die ihr ganzes Leben in der Stadt gelebt haben, nicht in ein Dorf versetzen und umgekehrt“, sagt Joke dazu.

ZINN konzentriert sich auf alle Arten der Altenpflege. Es bietet häusliche Pflege und Rehabilitation an, aber die Kunden können auch „intramural“ oder in einem der Häuser der Organisation leben. Mit einem Team von 3 200 Mitarbeitern – darunter eigene Ärzte, Zahnärzte, Physiotherapeuten und andere Gesundheitsfachkräfte – ist ZINN rund um die Uhr im Einsatz. Die elektronischen Kundenakten (ECDs) müssen daher zu jeder Tages- und Nachtzeit zugänglich sein. Da es sich dabei um sehr persönliche Informationen handelt, birgt dies die entsprechenden Risiken.

Sicherheit geht vor

Während die Systeme von ZINN früher in einer Thin-Client-Umgebung (On-Premise) arbeiteten, wurde vor fünf Jahren auf das Prinzip „alles SaaS, außer…“ umgestellt. Das bedeutete auch, dass von nun an nur noch Standardanwendungen anstelle von individuellen Lösungen eingesetzt werden und dass die Anbieter deren Verwaltung übernehmen.

In der Zwischenzeit wurden alle Netzwerkverbindungen optimiert und skalierbar gemacht, es gibt neue WLAN-Zugangspunkte und Firewalls, die On-Premise-Server wurden schrittweise abgeschafft und der Wechsel von Citrix zu Microsoft wurde vollzogen. Der Schutz der Kundendaten – in allen Bereichen – steht ganz oben auf der Tagesordnung. Scherz: „Es ist nicht die Frage, ob man eines Tages Opfer von Cyberkriminalität wird, sondern wann.“ Das ist auch der Hauptgrund, warum sie die bisher getroffenen Sicherheitsmaßnahmen von einer externen Partei objektiv überprüfen lassen wollte.

Wo stehen wir? Sind wir wirklich so gut, wie wir glauben? Was sind unsere blinden Flecken?

Darüber hinaus spielten natürlich auch Änderungen von Gesetzen und Vorschriften eine Rolle, und es war eine Möglichkeit, die IT-Kosten für den Aufsichtsrat zu belegen. Auf Anraten von Microsoft landete ZINN bei QS solutions. Das von Microsoft entwickelte Cyber Security Assessment Tool (CSAT) wird seit Jahren weltweit eingesetzt, um die Cyber-Resilienz von Organisationen jeder Größe zu testen.

Keine zusätzlichen Kosten

ZINN hat nun schon zwei Jahre in Folge ein Assessment durchführen lassen. Obwohl das erste Mal ein Geschenk von Microsoft war, stellte Joke schon damals kritische Fragen darüber, was getestet wird und was dabei herauskommen könnte. Denn auch abseits jeglicher Investitionen bringt ein Assessment natürlich immer Aktionspunkte – und damit Arbeit – mit sich. Aktionspunkte, die weiterverfolgt werden müssen, meint zumindest Joke. „Es hat keinen Sinn, eine Bewertung durchzuführen, wenn der Bericht danach in der Schublade verschwindet.“

Verbesserungen kosten nicht unbedingt Geld. Man muss nicht immer ein Tool kaufen, um besser abzuschneiden

Die erste CSAT ergab eine Reihe von erwarteten Aktionspunkten, aber auch definitiv ein paar „blinde Flecken“, die das IT-Team zuvor übersehen hatte. Und gerade letzteres macht die Bewertung so wertvoll. „Wenn Verbesserungen notwendig sind, ist das absolut keine Schande“, sagt Joke.

Auf der Grundlage des ersten Berichts hat das IT-Team von ZINN Maßnahmen ergriffen, um die „Lücken“ zu schließen. Ohne zusätzliche Kosten, versteht sich! Dies ist eine wichtige Botschaft, die Joke an Organisationen weitergeben möchte, die zögern, eine Bewertung durchführen zu lassen: „Verbesserungen kosten nicht unbedingt Geld. Man muss nicht immer ein Tool kaufen, um besser abzuschneiden.“

Balance zwischen Sicherheit und Arbeitserleichterung

Die Herausforderung für ZINN bei der Erhöhung der Datensicherheit liegt – wie für viele andere Organisationen auch – darin, die richtige Balance zwischen Sicherheit und Arbeitserleichterung zu finden. Der Schutz sensibler Daten ist natürlich äußerst wichtig, aber er muss praktikabel bleiben und darf die Produktivität nicht beeinträchtigen. Der 24/7-Zugang zu den Anwendungen bleibt der Ausgangspunkt, ebenso wie die Möglichkeit, sich einfach anzumelden.

Das maximale Sicherheitsniveau ist nicht unser Ziel, denn damit kann eine Einrichtung des Gesundheitswesens nicht funktionieren.

In dieser Hinsicht hat sich die Denkweise bei ZINN in den letzten Jahren geändert: Wo früher die IT die Führung innehatte, wird heute immer wieder die Frage gestellt „Wie kann die IT unterstützen?“. Das Ziel ist immer noch, die Cybersicherheit zu erhöhen, aber es handelt sich einfach um einen anderen Ansatzpunkt. Auf die Frage, ob Joke plant, das ZINN auf die höchste Sicherheitsstufe zu bringen, antwortet sie deshalb lapidar: „Nein! Denn das würde bedeuten, dass man als Gesundheitseinrichtung nicht mehr funktionieren könnte.“

Digicoaches

Mitarbeiter im Gesundheitswesen beschäftigen sich während ihrer Arbeit am liebsten nur mit ihren Klienten, doch ein bisschen Verwaltung bleibt niemandem erspart. Wegen der Gesetze und Verordnungen, aber auch, weil es inzwischen in den Verträgen mit den Krankenkassen festgeschrieben ist. Deshalb ist es wichtig, den Ansatz für die Cybersicherheit so einfach wie möglich zu halten, zum Beispiel durch Single Sign-On und ein einheitliches Layout, unabhängig vom Gerät.

Außerdem kommt es auf die Kommunikation an. ZINN arbeitet derzeit mit „Digicoaches“. Dabei handelt es sich um bestehende (Gesundheits-)Mitarbeiter, die zusätzliche Stunden erhalten, um ihre Kollegen bei der technologischen Seite ihrer Arbeit auf eine sehr ansprechende Weise zu unterstützen. Anhand von pflegebezogenen Beispielen erklären sie, warum bestimmte Dinge getan werden müssen, wie zum Beispiel die Zwei-Faktor-Authentifizierung. Und das ist auch nötig, denn für viele Mitarbeiter ist die Schwelle, dem IT-Team eine Frage zu stellen, einfach zu hoch.

Von reaktiv zu proaktiv

Das zweite Assessment – diesmal von ZINN selbst finanziert – sollte die Wirkung der zuvor getroffenen Maßnahmen testen. „Nur so kann man Äpfel mit Äpfeln vergleichen“, sagt Joke. Der Bericht zeigte, dass die Cyber-Reife der Organisation enorm gestiegen war.

Der nächste Schritt besteht darin, herauszufinden, was getan werden kann, um die Cybersicherheit auf ein noch höheres Niveau zu bringen. Das Ziel? Nicht nur reaktiv, sondern proaktiv zu sein. ZINN hat zum Beispiel eine Cybersicherheitsversicherung, die Hilfe bietet, wenn etwas schief geht, aber für Joke geht es darum, was man proaktiv tun kann, um zu vermeiden, dass man in eine solche Situation gerät.

CSAT hat uns wirklich motiviert, die Cybersicherheit bei ZINN in Angriff zu nehmen

„Cybersicherheit ist auch für den Vorstand ein heißes Thema, weshalb wir regelmäßig gefragt werden, wie wir als Organisation vorgehen. CSAT hat uns dafür konkrete Instrumente an die Hand gegeben, die es uns ermöglichen, objektiv und nicht subjektiv zu berichten“, so Joke.

In Zusammenarbeit mit dem Datenmanagementbeauftragten von ZINN wurden alle Aktionspunkte aus dem Bericht in eine Arbeitsliste aufgenommen, über die alle zwei Monate berichtet wird. Dieser Bericht dient auch als Grundlage für die Genehmigung weiterer IT-Initiativen durch den Vorstand. Ziel ist es, den Veränderungen der Qualitätsstandards und -anforderungen, die auch Gesundheitseinrichtungen erfüllen müssen, wie ISO 27001, NEN 7510 und NIS2, voraus zu sein.

Zusammenarbeit

Joke hat den CSAT-Prozess und die Zusammenarbeit mit QS solutions in beiden Fällen als sehr angenehm erlebt: „Bei der ersten Bewertung gab es eine klare und reibungslose Zusammenarbeit mit dem Berater, und Absprachen wurden immer wieder eingehalten. Das war auf jeden Fall die Motivation, auch das zweite Assessment durch QS solutions durchführen zu lassen, das im Übrigen genauso reibungslos verlief.“

Die Welt steht nicht still, man muss sich mit ihr bewegen. CSAT hilft Ihnen, bewusste, wohlüberlegte Entscheidungen zu treffen

Für Unternehmen, die noch zögern, eine Bewertung durchführen zu lassen, hat sie eine klare Botschaft: „CSAT ist vollständig. Sie zeigt, wo Sie stehen und was Sie noch verbessern können. Haben Sie keine Angst vor dem, was entdeckt wird, sondern gehen Sie es positiv an. Es geht nicht darum, mit dem Finger auf andere zu zeigen!“

Mehr wissen?

Möchten Sie auch wissen, wie es um die Cybersicherheit in Ihrem Unternehmen bestellt ist? Suchen Sie einen Partner, der mit Ihnen zusammenarbeitet, um die Sicherheit in Ihrem Unternehmen zu verbessern und die Produktivität Ihrer Mitarbeiter so weit wie möglich zu erhalten? Sprechen Sie uns an! Unsere Experten helfen Ihnen gerne weiter.

Dieses Feld dient zur Validierung und sollte nicht verändert werden.