• Keine Ergebnisse gefunden

dynamischen Risikoportfolioberechnung mithilfe von dynSRM

5.1. Bewertung des Aufbaus der Sicherheitsarchitektur f¨ ur die medizinischen Forschungsnetze

5.1.1. Organisatorische Sicherheitsrichtlinien

5.1.1.1. Rechtliche und finanzielle Absicherung Im Abschnitt 3.3

”Organisatorische Aspekte von Sicherheitsrichtlinien“ werden u. a. Vorkeh-rungen wie beispielsweise die rechtliche und finanzielle Absicherung des Forschungsnetzes vorgestellt. Vielf¨altige Risikoauslagerungsm¨oglichkeiten in Form von Versicherungsver-tr¨agen werden aufgezeigt. Einige Risiken m¨ussen aufgrund von gesetzlichen und sonstigen Bestimmungen (wie z. B. Probandenversicherung bei der Durchf¨uhrung von klinischen Stu-dien nach dem Arzneimittel- und dem Medizinproduktgesetz) pflichtversichert werden. Bei vielen Versicherungsprodukten besteht jedoch keine Pflicht, es handelt sich also um eine f¨ur das Forschungsnetz fakultative Versicherung, bei der es die Kosten und den Nutzen eines Versicherungsvertrags gegen¨uberzustellen gilt. Mehrere Versicherungsgesellschaften bieten bereits jetzt die sogenannten Cyberinsurance-Vertr¨age mit den Deckungssummen bis zu 50 Millionen USD an. Die momentan eher verhaltene Reaktion des Marktes auf das Angebot

1Insbesondere aus dem Bereich

Social-Engineering“.

kann sich schlagartig ¨andern, wenn der Abschluss der Cyberversicherungen als Pflicht gesetzlich verankert werden sollte (vgl. [BP07, S. 52. f.]). Die in den Abschnitten 4.3.1 und 4.3.2 durchgef¨uhrten Analysen k¨onnen als eine Bewertungsbasis f¨ur die Optimierung des Risikoportfolios eines Forschungsnetzes bei der Entscheidung f¨ur oder gegen den Abschluss von Versicherungsvertr¨agen dienen. Da die Versicherungen in erster Linie die Minimierung des eigenen Risikos anstreben, kn¨upfen sie ihre Deckungszusagen an die Implementierung m¨oglichst vollst¨andiger Sicherheitsmaßnahmenkataloge gegen alle erdenklichen Gefahren.

Aus diesem Grund sind Versicherungen als Teil der Risikotransferstrategie nicht als das Allheilmittel, sondern als Erg¨anzung des Sicherheitsmaßnahmenportfolios zu verstehen (vgl. [B¨oh10]).

5.1.1.2. Personalmanagement Im Abschnitt 3.3.2

”Personale Aspekte f¨ur den Betrieb von Forschungsnetzen“ erfolgt die Analyse der Sicherheitsmaßnahmen in einem der sicherheitstechnisch wichtigsten Bereiche einer Organisation: dem Personalmanagement. Die zu ber¨ucksichtigenden Merkmale der Personalplanung, -beschaffung, -einarbeitung, -weiterentwicklung und -trennung werden erl¨autert. Das Personalmanagement in medizinischen Einrichtungen und insbesondere im Forschungsbereich weist eine Reihe von Besonderheiten auf, die bei der Planung von Sicherheitsmaßnahmen ber¨ucksichtigt werden m¨ussen. So muss der Personalbeschaffung aufgrund hoher Fluktuation, den befristeten Arbeitsvertr¨agen und den ungen¨ugenden finanziellen Mitteln f¨ur die Mitarbeiterschulungen eine besondere Bedeutung beigemessen werden (vgl. [WB09]).

Die in der Arbeit vorgestellten Aspekte des Personalmanagements m¨ussen im Falle eines konkreten Forschungsnetzes wesentlich detaillierter untersucht werden. Vor allem die Konformit¨at im Hinblick auf die geltende Gesetzgebung muss gepr¨uft werden. So ist beispielsweise die f¨ur die Personalbeschaffung unterbreitete Empfehlung, die Ausk¨unfte uber die Verm¨¨ ogensverh¨altnisse des Bewerbers einzuholen, in vielen F¨allen nicht rechtm¨aßig.

Auch die Rechtm¨aßigkeit der Einholung eines F¨uhrungszeugnisses ist arbeitsrechtlich zu hinterfragen. Das vorgeschlagene Einholen von Referenzen beim aktuellen Arbeitgeber kann von einigen Bewerbern als negativ empfunden werden.

Trotz diverser noch zu kl¨arender Fragen kann bereits die Einhaltung einiger weniger Grundregeln des Personalmanagementprozesses das Sicherheitsniveau deutlich erh¨ohen.

Insbesondere die Personalsensibilisierung f¨ur die datenschutz- und die sicherheitsrelevanten Fragestellungen bedarf weiterer Untersuchungen. Erfahrungen zeigen, dass das Missachten bzw. Unterlassen von Sicherheitsmaßnahmen durch das Personal nicht allein durch die Schulungen in Verbindung mit technischen Unterst¨utzungsmaßnahmen zu verhindern ist.

Die Personalmanagementmaßnahmen m¨ussen eine Reihe von intrinsischen und extrinsischen Faktoren ber¨ucksichtigen, um nicht nur das Sicherheitsbewusstsein des Personals zu wecken, sondern um auch die bewussten Sicherheitsfehlhandlungen effektiv zu verhindern (vgl. [WBS08]).

5.1.1.3. Notfallplanung In den Abschnitten 3.3.3

”Organisation und Gestaltung von Notfallvorsorgemaßnahmen“

und 3.3.4

”Wiederaufnahme des Betriebs“ werden die als Vorbereitung auf den Ernstfall dienenden organisatorischen Maßnahmen vorgestellt. Durch diese Maßnahmen soll der Wie-derherstellungsaufwand in einem Schadensszenario reduziert werden. Die vorgeschlagenen Maßnahmen beinhalten die Einrichtung eines Notuser-Verfahrens und die Durchf¨uhrung von Notfallsimulationen. Auch den Soft- und Hardwareausf¨allen soll mit der Verf¨ugbarkeit einer Notfalldokumentation sowie dem Abschluss von Vertr¨agen mit Hardwareherstellern2 vorgebeugt werden.

Die praktische Umsetzung der vorgeschlagenen Maßnahmen erfordert wie im Falle aller nicht wertsch¨opfenden Prozesse einen starken R¨uckhalt seitens der Forschungsnetzleitung.

So zeigen die pers¨onlichen Erfahrungen des Autors, dass alleine die wiederkehrende Vorbereitung einer Notfallsimulation mehrere Mannwochen an Aufwand erfordern kann und den Organisatoren einen hohen Kompetenzstand abverlangt. Angesichts der im Abschnitt 3.3.2

”Personale Aspekte f¨ur den Betrieb von Forschungsnetzen“ beschriebenen Probleme im Zusammenhang mit der Mitarbeiterfluktuation und dem permanenten Mangel an Personal erscheint eine konsequente Umsetzung dieser Maßnahmen im vollen Umfang als ein Wunschdenken. Synergien k¨onnen f¨ur Abhilfe sorgen. So k¨onnte beispielsweise die Verantwortung f¨ur die Planung und Durchf¨uhrung von Notfall¨ubungen von einem unabh¨angigen Tr¨ager ¨ubernommen werden oder in Form einer einrichtungs¨ubergreifenden Kooperation erfolgen (vgl. [Sta09, S. 32]).

Die in den Kliniken angesiedelten Forschungsnetze k¨onnen von den Notfallvorkehrungen der jeweiligen Einrichtungen profitieren. Es w¨are erstrebenswert, wenn die Forschungsnetz-komponenten in den Pl¨anen ber¨ucksichtigt w¨urden. Die gravierendsten Probleme bestehen in der unzureichenden, nicht vorhandenen und oft nicht aktuellen Dokumentation. F¨ur dieses Problem ist dem Autor auch keine wirksame L¨osung bekannt.

Im Abschnitt 3.3.4

”Wiederaufnahme des Betriebs“ erfolgt die Auseinandersetzung mit den wichtigsten Voraussetzungen f¨ur die Wiederaufnahme des Betriebs nach einem Sicher-heitsvorfall. Bei vielen Schadensszenarien ist daf¨ur das Vorhandensein von finanziellen Mitteln notwendig. Dem steht jedoch der stark eingeschr¨ankte finanzielle Spielraum eines Forschungsnetzes gegen¨uber. Insbesondere kurz nach einem Sicherheitsvorfall k¨onnte ein Forschungsnetz in Liquidit¨atsprobleme geraten, die die Bew¨altigung des Vorfalls und eine schnelle Wiederaufnahme des Betriebs erschweren. Eine kreditbasierte Finanzierung w¨urde mit h¨ochster Wahrscheinlichkeit an der mangelnden Bonit¨at des Forschungsnetzes scheitern.

Auch die abgeschlossenen Versicherungsvertr¨age beseitigen den Liquidit¨atsengpass nicht, denn die Zahlungen des Versicherers werden i. d. R. erst dann geleistet, wenn die Ursache und die H¨ohe des Schadens feststehen. Die erste Abschlagszahlung ist nicht fr¨uher als einen

2Die Vorratshaltung von Hardware empfiehlt sich nur in wenigen F¨allen, z. B. dann, wenn die Infrastruktur mehrere gleichartige kritische Bestandteile aufweist.

Monat nach dem Melden des Vorfalls zu erwarten.3 Die in der Wirtschaft oft anzutreffende Bildung von R¨ucklagen, um die erste Zeit zu ¨uberbr¨ucken, ist bei einem Forschungsnetz kaum anwendbar. Eine m¨ogliche L¨osung best¨unde in der Gr¨undung eines Soforthilfe-Fonds, zu dem sich mehrere Forschungsnetze, Tr¨agereinrichtungen, Sponsoren etc. zusammenschlie-ßen k¨onnten. Alternativ k¨onnen die Garantien von privaten oder ¨offentlichen Tr¨agern in Erw¨agung gezogen werden. Dies sollte jedoch der Meinung des Autors nach zentralisiert f¨ur alle Forschungsnetze erfolgen, wof¨ur es einer gesetzlichen bzw. politischen Initiative bedarf. Diese existiert jedoch dem Kenntnisstand des Autors nach nicht. Eine sorgf¨altige Pr¨ufung der Notwendigkeit einer solchen ¨Uberbr¨uckungsfinanzierung ist die Voraussetzung f¨ur die Planung und Gestaltung der vorgeschlagenen Notfallmaßnahmen.

5.1.1.4. Benefit Denial Im Abschnitt 3.3.5

”Verringerung der Lukrativit¨at eines Angriffs (Benefit Denial)“ werden einige Benefit-Denial-Maßnahmen diskutiert, deren Ziel in der Reduzierung der Lukrativit¨at eines Angriffs besteht. Neben der konsequenten Anwendung des Minimalprinzips bei der Datensammlung und der Verwendung von robusten Watermarking-Verfahren bei Bilddaten werden auch die Vor- und Nachteile der Zusammenlegung von Daten mehrerer Forschungsnetze diskutiert.

Die ge¨außerten grundlegenden Bedenken der Datensch¨utzer gegen eine gemeinsame Daten-haltung k¨onnen mit der steigenden Lukrativit¨at eines Angriffs erkl¨art werden (vgl. [Sok99]).

Dabei muss die grunds¨atzliche Forderung nach der Sicherstellung des Nichtvorhandenseins von gemeinsamen Patientenindikatoren erf¨ullt werden (vgl. [RDSP06, S. XIV]). Die von der Datenzusammenlegung erhofften Vorteile bed¨urfen einer genaueren ¨Uberpr¨ufung. Ein Vorteil der Datenzusammenlegung mehrerer Forschungsnetze k¨onnte beispielsweise darin bestehen, dass auch beim Aussp¨ahen der gemeinsamenIDAT-Datenbank die Zugeh¨origkeit eines Patienten zu einem Forschungsnetz und die daraus abgeleitete Bestimmung seiner Erkrankung nicht eindeutig feststellbar w¨aren. Aus der heutigen Sicht w¨are dabei nur ein eingeschr¨ankter Nutzen zu erwarten, denn die notwendigen Voraussetzungen f¨ur eine nutzbringende Datenzusammenlegung w¨aren in der Praxis kaum zu erf¨ullen.

So w¨urde z. B. die Verschmelzung einer großen Forschungsdatenbank mit einer wesentlich kleineren die Wahrscheinlichkeit einer unerw¨unschten Reidentifizierung nur unwesentlich erh¨ohen. Doch so einfach und verlockend dieser Vorschlag in der Theorie erscheint, so problematisch kann die Auswahl der f¨ur die Datenzusammenf¨uhrung sinnvollen

” Kombina-tionsm¨oglichkeiten“ werden. Durch das Hinzuziehen von eventuell bekannten k¨orperlichen

3Die meisten Versicherer integrieren ¨ahnlich lautende Zahlungsklauseln in ihre Bedingungswerke:

Ist die Leistungspflicht des Versicherers dem Grunde und der H¨ohe nach festgestellt, hat die Auszahlung der Entsch¨adigung binnen zwei Wochen zu erfolgen. Jedoch kann einen Monat nach Anzeige des Schadens als Abschlagszahlung der Betrag verlangt werden, der nach Lage der Sache mindestens zu zahlen ist.“

Merkmalen und weiteren Begleitinformationen4 w¨aren R¨uckschl¨usse auf die Art der Erkran-kung m¨oglich (vgl. [PDKB08, S. 496]). In vielen Szenarien kann bereits das Bekanntwerden der Zugeh¨origkeit zu einem beliebigen Forschungsnetz durch eine unerw¨unschte Reidentifi-zierung f¨ur den Betroffenen negativ sein. So w¨urde z. B. kaum ein Unternehmen in die Ausbildung einer jungen F¨uhrungskraft investieren, wenn die Gesch¨aftsleitung ¨uber eine schwerwiegende Erkrankung des Mitarbeiters Bescheid w¨usste. Praktisch alle durch die Forschungsnetze untersuchten Krankheiten wie Demenz, Parkinson, Schizophrenie, Depres-sion, chronisch entz¨undliche Darmerkrankungen etc. w¨aren in diesem Fall K.o.-Kriterien f¨ur weitere Investitionen in diesen Mitarbeiter. In dieser Hinsicht w¨are die Datenzusammen-legung nur in begr¨undeten Ausnahmef¨allen als eine sinnvolle Benefit-Denial-Maßnahme zu verstehen. In vielen F¨allen w¨aren die Auswirkungen auf das Sicherheitsniveau eher als negativ zu bewerten.