Das Gesundheitswesen befindet sich im Wandel. Von traditionellen IT-Strukturen, die oft als Hindernis für Innovation und schnelles Handeln wahrgenommen wurden, hin zu modernen, flexiblen und sicheren Umgebungen. Im Zentrum dieser Entwicklung steht die Rolle des Chief Information Security Officer (CISO), der in einem hochsensiblen, rund um die Uhr funktionierenden Sektor eine Balance zwischen Sicherheit und nutzerfreundlicher Technologie finden muss. Ein herausragendes Beispiel dafür bietet die Reise von Jason Elrod, CISO des MultiCare Health Systems, der das traditionelle "Department of No" in eine "Kultur des Ja" transformierte und damit den Weg für moderne Versorgung ebnete. Das Gesundheitswesen ist einzigartig in seinen Anforderungen.
Im Gegensatz zu anderen Branchen darf hier keine nennenswerte Ausfallzeit entstehen – Krankenhäuser, Kliniken und andere medizinische Einrichtungen müssen permanent funktionieren, da Menschenleben auf dem Spiel stehen. Diese immer verfügbaren Systeme stellen enorme Herausforderungen an die IT-Sicherheit, denn ein Ausfall oder eine Sicherheitslücke kann dramatische Folgen haben. Diese Realität prägte lange Zeit die Sicherheitskultur: Deren Aufgabe sah sich vor allem darin, Risiken zu minimieren und den Zugang streng zu kontrollieren. Sicherheit wurde als Bremse empfunden, die Innovation und effiziente Abläufe hemmte. Daraus entstand das Bild einer "Department of No", das Gewähren und Ermöglichen verhinderte.
Jason Elrod sieht diese Entwicklung kritisch, beschreibt den bisherigen Umgang mit IT im Gesundheitswesen als "rückwärts gehen in die Zukunft". Die technische Infrastruktur war vielfach nicht zukunftssicher ausgelegt, zu stark auf den Status quo fokussiert und weniger auf Flexibilität und Anpassungsfähigkeit. Die Komplexität der Systeme, die zahlreichen Schnittstellen und die Einbindung unterschiedlicher Geräte und Nutzergruppen erschwerten die Administration und führten zu einer "byzantinischen Spaghetti" aus veralteten Netzwerken und Segmentierungen. Trotz der guten Absicht litt die Nutzererfahrung, und die notwendige Agilität für moderne Versorgung blieb häufig aus. Die digitale Transformation und die steigende Vernetzung im Gesundheitssektor stellt zudem neue Anforderungen an die Sicherheit.
Die Zunahme von Telemedizin, mobilem Arbeiten und vernetzten medizinischen Geräten erweitert die Angriffsflächen erheblich. Sicherheitskonzepte, die allein auf Netzwerkstandorten basieren, stoßen hier an ihre Grenzen. Es wird klar, dass nur ein Paradigmenwechsel weiterhelfen kann. Statt starre Barrieren zu errichten, muss Sicherheit intelligent, dynamisch und nutzerorientiert gestaltet werden. Ein zentraler Ansatzpunkt für Elrod war die Einführung von identitätsbasierter Mikrosegmentierung mit der Lösung von Elisity.
Hier richtet sich der Fokus nicht mehr auf physische oder logische Standortstrukturen im Netzwerk, sondern auf die Identitäten von Nutzern, Geräten und Workloads. So lassen sich granulare Zugriffsrechte definieren, die überall und jederzeit gelten und sich flexibel den Bedürfnissen anpassen. Sicherheitsrichtlinien verfolgen die Identität und schaffen individuelle sichere Segmente, die sich dynamisch an Veränderungen anpassen, ohne die gesamte Infrastruktur neu aufbauen zu müssen. Diese neue Herangehensweise bringt zahlreiche Vorteile mit sich. Die technischen Teams bei MultiCare reagierten zunächst skeptisch, da die Implementierung ohne größere disruptive Änderungen am Netzwerk erfolgt und doch hohe Sicherheit sowie Übersicht erzeugt.
Als die Funktionalitäten und Sichtbarkeit der Lösung sichtbar wurden, änderte sich die Haltung schnell und es entstand ein neues Verständnis für Möglichkeiten und Chancen. Die Technologie erfüllte nicht nur die Erwartungen, sondern löste einen kulturellen Wandel im Team und zwischen Abteilungen aus. Ein besonders nachhaltiger Effekt war die Verbesserung der Zusammenarbeit zwischen IT und Sicherheitsteams. Wo früher häufig Reibungen und Konflikte durch unterschiedliche Zielsetzungen bestanden, entstand durch die geteilte Plattform und einheitliche Prozesse eine Kooperation auf Augenhöhe. Nutzer, IT und Security arbeiten jetzt gemeinsam an Lösungen, statt gegeneinander.
Die gemeinsame Verantwortung förderte den Wandel vom "Wie komme ich an den Schutz vorbei?" hin zum "Wie können wir gemeinsam sicher und effizient arbeiten?". Die geteilte Sicht auf das System, die einheitlichen Tools und das gegenseitige Verständnis stärken die gesamte Organisation. Für die behandelnden Ärzte, Pflegekräfte und andere medizinische Fachkräfte bedeutet diese Transformation eine enorme Erleichterung. Die Hürden beim Zugang zu benötigten Daten und Anwendungen sind deutlich gesunken. Sicherheitsmechanismen laufen transparent im Hintergrund und minimieren die kognitive Belastung des Personals.
So können sie sich voll und ganz auf die Patientenversorgung konzentrieren. Die Versorgung wird dadurch schneller, sicherer und agiler, was besonders bei lebenswichtigen Entscheidungen von unschätzbarem Wert ist. Parallel zu technologischen Neuerungen unterstreicht die Integration von Sicherheits- und IT-Teams einen grundlegenden Trend in der Cyberabwehr. Untersuchungen zeigen, dass die Trennung dieser Bereiche Risiken und Ineffizienzen fördert – ein Umstand, der im Gesundheitswesen besonders nachteilig und sogar lebensbedrohlich sein kann. MultiCare und andere Vorreiter setzen daher verstärkt auf integrierte Modelle, bei denen IT und Security harmonisch zusammenarbeiten und so Reaktionszeiten verkürzen, Fehlkonfigurationen reduzieren und die Sicherheit insgesamt verbessern.
Die wirtschaftlichen Vorteile dieser Integration sind ebenfalls signifikant. Studien bescheinigen hohe Renditen durch eingesparte Kosten und verhinderte Schäden. Durch Automatisierung, verbesserte Prozesse und eine klarere Rollenverteilung können finanzielle Ressourcen gezielter eingesetzt werden. Das steigert nicht nur die Effizienz, sondern macht zugleich die Organisation widerstandsfähiger gegenüber Cyberbedrohungen. Das Beispiel von MultiCare und seinem CISO Jason Elrod zeigt eindrucksvoll, wie der Schritt von der restriktiven "Department of No"-Mentalität hin zu einer "Kultur des Ja" realisiert werden kann.
Identitätsbasierte Mikrosegmentierung ist dabei kein Allheilmittel, aber ein essenzieller Baustein auf dem Weg in eine moderne, sichere und zugleich flexible digitale Gesundheitsversorgung. Es ist ein Wandel, der technologische Innovation, organisatorische Veränderung und kulturelle Anpassung miteinander verbindet. Gesundheitsorganisationen stehen vor der Herausforderung, Sicherheit nicht als Hindernis zu sehen, sondern als Enabler für Innovation und schnelle Versorgung. Durch eine neue Denkweise, die auf Vertrauen, Zusammenarbeit und dynamischer Kontrolle beruht, kann Sicherheit zum Motor für Fortschritt werden statt zum Bremsklotz. Die Reise von MultiCare beweist, dass dieses Ziel mit der richtigen Technologie und einer überzeugten Führung erreichbar ist.
Die Zukunft des Gesundheitswesens ist digital, vernetzt und patientenzentriert – und die Sicherheit spielt dabei eine Schlüsselrolle. Wer sich heute auf eine Kultur des "Ja" einlässt, schafft die Voraussetzungen für bessere Versorgung, zufriedenere Mitarbeiter und widerstandsfähige Systeme. Die Brücke in diese neue Welt wird gebaut auf Basis von innovativen Sicherheitsansätzen wie der identitätsbasierten Mikrosegmentierung und einem kulturellen Wandel, der alle Beteiligten mitnimmt. Für Organisationen, die ähnliche Herausforderungen meistern wollen, bietet der Weg von MultiCare wertvolle Impulse. Er zeigt, wie technische Innovationen mit kulturellen Veränderungen verbunden werden müssen, um den Spagat zwischen Sicherheit und Flexibilität erfolgreich zu bewältigen.
Die Botschaft ist klar: Sicherheit in der Gesundheitsversorgung muss nicht „Nein“ sagen, sondern darf und sollte zum „Ja“ werden – für eine zukunftsfähige, moderne Versorgung zum Wohl aller. Wer sich mit den Probemstellungen moderner Healthcare-Security auseinandersetzt, sollte die Möglichkeiten der identitätsbasierten Mikrosegmentierung und die Bedeutung der Zusammenarbeit zwischen IT und Security genauer betrachten. Nur so lässt sich in einem hochsensiblen Umfeld wie dem Gesundheitswesen das Spannungsfeld aus Datenschutz, Compliance, Verfügbarkeit und Benutzerfreundlichkeit meistern und der Weg in eine sichere Zukunft bereiten.
