Im Rahmen von Terminen bei Kunden, z. B. vor einer größeren Zertifizierung, Revisionsprüfung, IT-Prüfung im Rahmen von Jahresabschlussprüfungen, Sicherheitsprüfung etc. wird oft ein sogenannter „Cybersecurity-Check“ durchgeführt. Hierbei sollen die größten „Stolpersteine“ innerhalb der IT-Landschaft und die ordnungsgemäßen „Härtungsmöglichkeiten“ der Systeme aufgezeigt werden. Im Vorfeld wird sich mit den beteiligten Entscheidungsträgern auf einen Rahmen verständigt. In diesem ersten Kick-Off Gespräch werden die einzelnen Schritte und Unternehmensteile angesprochen und ein grober „Fahrplan“ entworfen.
Der eigentliche „Cybersecurity-Check“ besteht im Wesentlichen aus zwei Komponenten: Zum einen aus der organisatorischen und zum anderen aus der technischen Prüfung, bezogen auf den zuvor festgelegten Untersuchungsgegenstand.
Bei der organisatorischen Prüfung werden die Unternehmensstrukturen und Abläufe geprüft. Werden bestehende Regelungen, Arbeitsanweisungen und Vorschriften angewendet?
Bei der technischen Prüfung werden die sicherheitsrelevanten Aspekte genauer analysiert. Hier liegt der Fokus meist auf den Bereichen IT-Infrastruktur (z. B. Netzwerk- und Clientebene, Windows Gruppenrichtlinien, Virtualisierungstechnologien, DHCP, DNS, Fileserver, Domaincontroller, offene Ports, Patch-Level-Stand, Schnittstellen etc.) sowie IT-Anwendungen (z. B. Passwort Policy und Windows Active Directory).
Nach einer Prüfung der besprochenen Unternehmensteile wird von dem Prüfer eine genaue Risikoanalyse mit Bewertung der einzelnen Faktoren sowie deren Schweregrade im Hinblick auf die Risiken vorgenommen. Selbstverständlich werden nicht nur die jeweiligen Problemstellen aufgezeigt, sondern auch konkrete Handlungsmöglichkeiten zur Lösung der jeweiligen Faktoren. Die jeweiligen Entscheidungsträger erhalten diesen „Prüfbericht“ im Rahmen des „Cybersecurity-Checks“ ausgehändigt. Nach der Umsetzung der empfohlenen Maßnahmen können die größten „Stolpersteine“ auf dem Weg zu einer guten Compliance-Sicherheit und einer eventuellen Prüfung oder Zertifizierung aus dem Weg geräumt werden.
Ein weiterer wichtiger Faktor sind die Mitarbeitenden in den Krankenhäusern, die mit den IT-Systemen und Patientendaten arbeiten (müssen). Diese müssen je nach Aufgabengebiet regelmäßig in den Bereichen Informationssicherheit und Datenschutz geschult werden. Die IT-Administratoren sollten stets auf dem neuesten Stand der IT-Sicherheit (operative Umsetzung) sein. Hierzu gehören z. B. Veröffentlichungen von Schwachstellen, Updates von Herstellern, aktuelle IT-News etc. Weiter sind die Systeme ordnungsgemäß zu administrieren. Der oder die Informationssicherheits- und Datenschutzbeauftragte (ISB / DSB) kann intern Schulungen durchführen und seine/ihre überwachende Rolle wahrnehmen.