Zeit läuft! 10 Schritte zur sicheren NIS-2-Umsetzung im Sanitätshaus

00:00:00: Herzlich willkommen wieder in der OT3D Werkstatt. Ich bin Dominik Heinz und wenn du diese Podcastfolge hörst, hoffe ich, dass es für dein Sanitätshaus noch nicht zu spät ist.

00:00:09: Aber was meine ich damit? Naja, die Frist zur Umsetzung, denn das Zweirichtlinie endet am 17. Oktober. Also hoffe ich, dass du diese Folge noch vor dem 17. Oktober hörst und die Anforderungen sind nicht zu unterschätzen.

00:00:21: Außerdem, cyberkriminelle agieren längst nicht mehr als nur in nur einer Person, sondern es gibt automatische Hackertools und sogar Algorithmen, die Angriffe im großen Stil ausführen können. Bleibt also dran, denn diese Folge könnte entscheidend für dein Unternehmen sein.

00:00:37: Und auch diesmal werde ich versuchen, nicht dieses komplizierte bla bla zu platzieren, sondern es so frisch wie möglich, euch das ganze Thema NIST 2 und was das bedeutet, für euer Sanitätshaus wiederzuspiegeln. Also bleibt dran.

00:00:54: Also die NIST 2-Sichtlinie stellt klar, dass Unternehmen im Gesundheitswesen darunter auch Sanitätshäuser je für IT-Systeme schützen müssen. Das ist ja an sich relativ klar, ne?

00:01:05: Aber um das überhaupt, um Cyberkriminalität überhaupt zu verhindern, sind halt bestimmte Faktoren halt wichtig.

00:01:12: Und bevor wir das mal loslegen, habe ich einfach mal ein paar aktuelle Statistiken rausgesucht, was dann halt in den letzten Jahren alles so passiert, dass nur das ja einmal abgeholt wird.

00:01:22: Ich möchte keine Angst machen, wirklich keine Angst machen, ich möchte einfach nur das darüber informieren, dass ihr mal einen guten, kompakten Überblick habt, was das denn bedeutet.

00:01:31: Eine aktuelle Statistik zeigt zum Beispiel, dass im Jahr 2021 über 134.000 Fälle, 134.000 Fälle von Cyberkriminalität in Deutschland gemeldet wurden.

00:01:46: Also eine Zahl, die sich in den letzten Jahren verdoppelt hat. Und das ist nämlich die Spitze des Eisbergs, ne? Angriffe, die von automatisierter System durchgefüllt werden, wie im Darknet relativ einfach wohl Hacker-Tools eingekauft werden können, macht das halt auch immer einfacher, auf so eine Schad-Tools oder so eine Schad-Software zurückzugreifen.

00:02:07: Und mithilfe von künstlicher Intelligenz können diese Tools sogar lernen und sich anpassen auf die Infrastruktur. Was das heute bedeutet, kann man sich noch nicht so wirklich ausmalen, aber so vom Meinbaub-Geschühl her kann es halt sein, dass ein einziger Angriff eine ganze Flut von Folgeangriffen auslösen kann.

00:02:26: Und ich habe ja auch nochmal geguckt von den Quellen her, also die Leute hat das auch zum Beispiel als Quelle benannt oder auch der Bund hat halt diese Quellen halt mal benannt.

00:02:36: Genau, also da hatte ich mal nachgeschaut gehabt. Und die Situation wird halt noch gravierender, wenn wir uns die zunehmende Bedrohung ansehen.

00:02:45: Das BESI-Registritte zum Beispiel im Jahr 2021 allein an einem einzigen Tag 553.000 verschiedene Mallware-Varianten. Das ist schon echt verrückt.

00:02:56: An einem Tag. Und Angriffe sind nicht mehr die Ausnahme, sondern die Regel und jedes Unternehmen ist ein potentielles Ziel.

00:03:04: Ich war neulich auch mal bei einer Fortbildung gewesen und da hatte der Trainer, das hat er extrem gut gemacht, so durch die Reihen gegangen und hat dann so bei jedem Dritten so gesagt, voll wegen 1, 2 Opfer, 1, 2 Opfer.

00:03:17: Um einfach mal zu visualisieren, wie viele Leute, wie viele Unternehmen halt wirklich unbekannt, ohne dass sie das natürlich wissen oder meistens wissen sie es halt nicht, unbekannt entsprechend angegriffen werden von Cyberkriminalität.

00:03:31: Das Thema ist natürlich auch, was ist denn am Tagesende, wenn, wenn, oder anders gesagt, nicht was ist denn, sondern die Cyberkriminellen, die arbeiten nicht von Montag bis Freitag von 6 Uhr bis dann vielleicht 18 Uhr oder so.

00:03:49: Nee, ganz im Gegenteil, die überlegen sich halt voll wegen, okay, mein Programm läuft jetzt gerade, jetzt haben wir gerade mal einen Brückentag. Zum Zeitpunkt der Aufnahme hatten wir ja auch gerade gestern Brückentag, Tag der Deutschen Einheit.

00:04:01: Und jetzt lassen wir das einfach mal laufen, weil wir wissen ja, dass dann an dem Freitag vor dem, nach dem Brückentag, vielleicht nicht so viele Leute aktiv sind.

00:04:10: So, und dann braucht nur irgendjemand, der vielleicht ein bisschen unvorsichtig ist, einen Tor aufmachen in seinem eigenen Unternehmen, weil er einfach auf netter Teil geklickt hat zum Beispiel und damit dann auf einmal Zugang zu dem Rechner darstellt.

00:04:24: Ich will einfach nur, das wirklich nur noch mal so ein bisschen skizzieren, halt, was das halt bedeutet, genau.

00:04:31: Aber jetzt, genug der Angstmacherei, sage ich jetzt mal, na, wir wollen ja sehr praktisch unterwegs sein und was kannst du eigentlich tun, um sicherzustellen, dass dein Sanitätshaus vor diesem Bedrohung geschützt ist.

00:04:42: Und hier sind zehn praktische Schritte, die du sofort umsetzen solltest.

00:04:47: Und ja, da habe ich mir mal Gedanken gemacht und so eine zehn Punkte Checkliste erstellt. Also Punkt eins, die Bestandsaufnahme deiner IT-Systeme erfasst sich jede Software, jedes Netzwerk und jedes Gerät in deinem Unternehmen.

00:05:02: Na, und nur wenn du den vollen Überblick hast, kannst du natürlich Schwachstellen identifizieren. Da ist auch wichtig, von wegen welcher Betriebssysteme laufen denn drauf.

00:05:11: Oder habe ich vielleicht veralterte Hardware, die gar nicht mehr den aktuellen Sicherheitsstandards entsprechen.

00:05:16: Ich gehe natürlich nicht davon aus, dass das bei euch der Fall ist und auch die Server, die im Einsatz sind, da auch nochmal gucken, welche Server-Version jetzt aktuell bei euch im Einsatz ist und alle Sicherheitspatches mal bei oder nicht.

00:05:28: Dann Punkt Nummer zwei, Schulung der Mitarbeiter. Die größte Schwachstelle sind natürlich die Menschen im Unternehmen.

00:05:35: Und wir wissen es ja auch, der eine oder andere sagt, ich bin ja technisch gar nicht so versiert, wie es eigentlich sein sollte oder ach, lass mich doch umruhen mit dem Computer.

00:05:44: Na ja, und diese Mitarbeiter müssen wissen, wie sich auf Fishingmails zum Beispiel reagieren. Also, dass starke Passworter verwendet werden und vielleicht auch zwei Faktor-Sensibilisierung oder zwei Faktor-Identifizierung etabliert wird,

00:05:59: also, dass heute zum guten Standard aktuell laufen. Prüft das einfach mal bei dir nach, ob das auch der Fall ist, einfach um sicherzustellen, dass die sensiblen Daten halt nicht direkt in Zugriff bekommen.

00:06:11: Dann ein dritter Punkt, und zwar Endpunktsicherheit. Stelle sicher, dass schädliche Programme auf Endgeräten isoliert werden.

00:06:19: So wird der schädliche Code gestoppt, bevor er Schaden anrichtet. Also, um nochmal so ein Beispiel zu bringen.

00:06:25: Also, Max Rostermann aus der Buchhaltung zum Beispiel, um da einfach nur noch ein paar Punkte zu stellen.

00:06:33: eine Abrechnung macht, bekommt eine E-Mail, die so aussieht.

00:06:33: Das ist eine vom Geschäftsführer oder von

00:06:35: der Geschäftsführerin formulierte E-Mail, wo er dann drauf steht.

00:06:38: Überweise das noch ganz schnell vom Feierabend, ganz wichtig,

00:06:42: Ausrufezeichen hast du mich gesehen.

00:06:44: So, dann öffnet er diese PDF und schon zack

00:06:47: ist Schadcode auf dem System drauf.

00:06:49: Diese E-Mail wurde aber niemals von der

00:06:52: Geschäftsführung versendet, sondern das war einfach auch dort ein kleines

00:06:56: Programmchen, was halt E-Mails versendet, wo diese PDF mit drin ist.

00:07:00: Also das Dokument, das digitale Dokument und schon ist der Rechner infiltriert.

00:07:05: Was macht man denn da?

00:07:06: Na ja, da gilt es zum Beispiel Thema

00:07:08: in Punkt-Sicherheit, eine Isolation davor zu schalten.

00:07:10: Da gibt es halt auch extrem aktuelle gute

00:07:12: Lösungen, muss man ganz ehrlich sagen, wo man

00:07:15: diese PDF, die man dann öffnet, halt in eine Isolation, also eine Abkapselung

00:07:21: entsprechend öffnen kann.

00:07:22: Wenn da Schadcode drin ist, dann schließt man einfach nur das Fenster

00:07:26: und schon ist die Bedrohung an der Stelle weg.

00:07:28: Oder auch wenn man auf links klickt, kann man diese Isolation auch auf Browser-Ebene

00:07:32: herleiten und das ist eine sehr zwarte Sache.

00:07:35: Aber erzähle ich später auch noch mal ganz klein, ein bisschen davon.

00:07:38: Aber Punkt 4.

00:07:40: System Monitoring und regelmäßige Sicherheitsbewertung.

00:07:44: Überwache deine Systeme kontinuierlich auf Schwachstellen und für regelmäßige

00:07:48: Bewertungen durch, um sicherzustellen, dass deine Maßnahmen funktionieren.

00:07:53: Sollte Logik sein, klar.

00:07:55: Dann einfach mal hinterfragen.

00:07:57: Punkt 5. Notfallpläne und Backups.

00:08:00: Es steht regelmäßig Backups und Sorge dafür, dass alle wissen, was im Falle eines

00:08:04: Angriffs zu tun ist.

00:08:06: Angriff klingt immer natürlich so überspitzt, aber so ist natürlich so

00:08:09: irgendjemand Fremdes, möchte sich Zugang gerieren.

00:08:11: Und da ist natürlich wichtig, was ist denn da dein Backup oder dein Notfallplan,

00:08:16: wenn denn wirklich mal der Renzerserver verschrüsselt ist und du gar nicht mehr an

00:08:19: deine Daten kommst?

00:08:21: Hm.

00:08:22: Dann Nummer 6.

00:08:23: Verantwortung der Geschäftsführung.

00:08:25: Ja, du hörst dir ja gerade zu und du bist wahrscheinlich Geschäftsführer

00:08:29: in einer Sanitätshause mit UT Werkstatt und genau du bist natürlich verantwortlich,

00:08:34: wenn etwas passiert.

00:08:35: Und wenn die Sicherheitsmaßnahmen nicht reichen, kannst du persönlich haftbar

00:08:39: gemacht werden und es ist richtig, die Kontrolle über die Cyber-Sicherheitsstrategie zu haben.

00:08:45: Natürlich hat man immer IT, Techies und so weiter, die einen unterstützen im Unternehmen

00:08:50: oder man hat ein Dienstlaster, der das macht.

00:08:52: Aber am Tagesende, egal, kann man sich drehen und wenden, wie man will, du bist

00:08:56: in der Verantwortung als Geschäftsführung, wenn etwas nicht geklappt hat.

00:09:01: Und dann kommt jetzt der siebte Punkt noch dazu, die Meldepflichteneinheiten.

00:09:05: Und zwar ab dem 17. Oktober 2024 müssen Sicherheitsvorfälle innerhalb einer

00:09:11: bestimmten Frist gemeldet werden.

00:09:13: Und da diese Frist, das relativ kurz,

00:09:16: erkundigt euch da auf jeden Fall.

00:09:20: Dann Nummer acht, Verwaltung kritischer Daten.

00:09:23: Sorgt dafür, dass alle sensiblen Patienten und Daten verschlüsst sind,

00:09:26: sowohl während der Speichuhrung als auch beim Transfer.

00:09:29: Das ist auch ein ganz, ganz wichtiger Punkt.

00:09:31: Sollte normalerweise auch mit der aktuellen Software von Patientenversorgungsdaten,

00:09:35: sollte das auch schon der Fall sein.

00:09:38: Aber frag das noch mal nach, klär das noch mal auch bei

00:09:40: dem Dienstlaster oder bei einem Softwareanbieter, ob das wirklich der Fall ist.

00:09:44: Dann Nummer neun, Koordination mit dem BSI.

00:09:47: Weil was ist denn überhaupt, wenn denn ein Fall aufgetreten ist?

00:09:51: Na ja, da muss man das BSI entsprechend, entsprechend,

00:09:55: entsprechend kontaktieren und eine Meldung rausgeben und dann noch Wahl, eine Meldung

00:09:59: rausgeben, wenn dieser Vollfall behoben ist.

00:10:02: Richtig.

00:10:04: Und Punkt Nummer zehn, wo man vielleicht auch nicht so ganz direkt dran denkt,

00:10:08: die Lieferkette Sicherheit und zwar überprüfe, ob auch deine Partner die

00:10:12: gleichen Rohansicherheitsstandards einhalten wie du.

00:10:15: Neuer schwacher Glieder in der Lieferkette können deine Sicherheit gefährden.

00:10:19: Also du könntest auch von dem CO2-Lieferer entsprechend

00:10:22: irgendwo etwas bekommen, wo, ich sag mal, wo eine Verschlüsselung etc.

00:10:26: drin ist, Trojaner drin ist, dem Warware und wenig andere Sachen hat aller heißen.

00:10:31: Also das ist wirklich was, klärt das noch mal ab.

00:10:35: Und um natürlich sicherzustellen, dass du alle Anforderungen der NIST-Zweirichtlinie erfüllt,

00:10:41: bitten wir natürlich mit unserem Fachbereich Managed Workplace ein spezielles Audit an.

00:10:46: Und wir analysieren halt genau deine Systeme und wir finden auch Schwachstellen

00:10:50: und erstellen eine Roadmap, um sicherzustellen, dass du bis zum 17.

00:10:54: Oktober alle Anforderungen der NIST-Zweirichtlinie erfüllst.

00:10:57: Das wird jetzt aktuell ein bisschen sportlich, muss man sagen.

00:11:00: Und ich gehe auch gleich mal aus, wenn du diese Folge hörst,

00:11:03: wird es noch mal sportlicher sein.

00:11:04: Aber klingelbar uns durch in den shownotzwertigen Linken mit reinpacken, wo ihr genau dieses

00:11:10: Audit entsprechen, mal buchen könnt bei uns.

00:11:13: Es gibt vorher natürlich ein Erstgespräch,

00:11:15: kostenfreies Erstgespräch und das Audit soll euch natürlich

00:11:19: entsprechenden Fahrplan geben, also ein Dokument mit an die Hand geben,

00:11:22: ein Actionplan an die Hand geben, was ihr machen müsst, wo ihr genau was machen müsst.

00:11:27: Und genau und daraus können natürlich Handlungen abgeleitet werden.

00:11:32: Und in den shownotz findet ihr das alles auf jeden Fall und gibt uns gerne eine

00:11:36: Wertung und tritt der Linkengruppe bei 3D Druck in der Ortobiditechnik.

00:11:41: Wenn du halt noch mal mehr wissen willst, wenn du dich halt mit Gleichgesin

00:11:45: austauschen möchtest, deutschsprachig, wenn du eher nicht der digitale Typ bist,

00:11:50: sondern sagt halt voll, ich möchte halt was in den Händen halten,

00:11:53: dann hol ihr auf jeden Fall unseren Praxisleitfaden 3D Druck in der

00:11:57: Ortobiditechnik und dieses Heft gibt es nur in gedruckter Form.

00:12:02: Wir haben uns auch viele Gedanken gemacht, was auf oberer Flughöhe denn wichtig

00:12:06: ist, was du als Sanitätshaus wissen musst.

00:12:09: Und an der Stelle natürlich vielen Dank fürs Zuhören.

00:12:12: Vergesst nicht, noch eine Bewertung, eine 5-Sterne Bewertung zu geben bei Apple iTunes

00:12:18: oder Apple Podcast.

00:12:20: Abonniert uns gerne und wir wissen, dass viele Sanitätshäuser überlegen,

00:12:27: ihre Prozesse zu digitalisieren.

00:12:29: Aber wir wissen auch, dass sehr viele Zögern und noch in der Komfortzone sind.

00:12:33: Wir müssen ja nichts machen.

00:12:34: Das wurde ja bisher immer so gemacht.

00:12:36: An der Stelle kann ich aber nur sagen, von wegen kommt in die Umsetzung,

00:12:39: fängt an und wir als Druckerfachmann unterstützen euch gerne dabei,

00:12:44: ganzheitlich euer Sanitätshaus in die Digitalisierung zu bekommen,

00:12:49: der digitale Werkbau umzusetzen und Danke fürs Zuhören.

00:12:53: Das war nun mal ein kurzer Impuls zum Thema List 2.

00:12:57: Bis zum nächsten Mal.