Warum Perfektion der Feind des Fortschritts ist

Ein häufiger Fehler in der Praxis ist der Versuch, alles auf einmal perfekt machen zu wollen. Dieser Anspruch zeigt sich erfahrungsgemäß besonders bei Betrieben, die sich zum ersten Mal mit Informationssicherheit als Managementthema befassen. Sie wollen heute bereits alles abgesichert haben, und wenn es nach acht Tagen noch nicht steht, stellt sich schnell Frustration ein.

Das Gegenteil wäre „richtiger“. Fortschritt schlägt Perfektion. Eine kleine, praktikable Lösung, die sich in Zukunft verbessern lässt, ist wertvoller als ein perfekter Plan, der erst in drei Monaten Form annimmt. Wer sich auf Perfektion konzentriert, erlaubt sich den Fehler nicht, der zum Lernen gehört. Und genau hier liegt eine der größten kulturellen Herausforderungen.

Interoperable Datenaustauschplattform

Wie Estland sichere Gesundheitsdaten und digitale Resilienz schafft

Konkret gesagt: Wenn ein Fehler passiert, gibt es zwei Möglichkeiten. Die erste ist, den Fehler unter den Teppich zu kehren und einen Schuldigen zu suchen. Die zweite ist, offen damit umzugehen und zu fragen, was die Organisation tun kann, damit dieser Fehler nicht mehr auftritt.

Im Diskurs um Organisationskultur wird häufig zwischen einer Fehlerkultur und einer Lernkultur unterschieden. In einer Fehlerkultur werden Fehler vertuscht, während sie in einer Lernkultur als Anlass für Verbesserung dienen. Um diese Erkenntnis auf die Themen Informations- und Cybersicherheit zu übersetzen: Eines der häufigsten Einfallstore für Ransomware ist der unbedachte Klick auf einen Phishing-Link.

Passiert das einer Pflegekraft oder einem Arzt am Ende einer anstrengenden Nachtschicht, ist die Reaktion der Organisation entscheidend. Herrscht eine negative Fehlerkultur, wird die Person aus Angst vor Abmahnung, Ärger oder Spott schweigen. Die E-Mail wird schnell gelöscht in der Hoffnung, dass niemand etwas merkt. Das gibt der Schadsoftware die wertvolle Zeit, die sie braucht, um sich lautlos im gesamten Kliniknetzwerk auszubreiten – bis Tage später der Notbetrieb ausgerufen werden muss.

In einer echten Lernkultur dagegen greift die gleiche Person sofort zum Hörer und meldet den Klick. Der betroffene Rechner wird in Minuten isoliert, der Angriff im Keim erstickt. Ein einziger Anruf und volle Transparenz verhindern hier Schlimmeres. Genau deshalb ist Informationssicherheit kein IT-Projekt, sondern bedingt zwingend eine Kultur des Vertrauens.

Kommunikation entscheidet über Vertrauen

Ein letzter, entscheidender Erfolgsfaktor betrifft die Kommunikation. Im Gesundheitswesen sind die Anspruchsgruppen zahlreich. Patientinnen und Patienten, Mitarbeitende, Geschäftspartner, Lieferanten, Behörden. Sie alle haben ein berechtigtes Interesse daran, dass eine Organisation ihre Informationssicherheit im Griff hat.

In der Praxis lässt sich jedoch häufig ein Schweigen beobachten, das Vertrauen zerstört. Wenn ein Fehler passiert, gibt es Organisationen, die versuchen, ihn auszusitzen und unter den Teppich zu kehren. Das funktioniert aber nicht in einem Sektor, in dem Patienten mit dringenden Nöten vor der Tür stehen.

Transparenz, schnelles Benennen des Problems und ein realistischer Zeitrahmen wirken stärker als jede Pressemitteilung. Zwischen fünf und vierzehn Tagen ist in den meisten Fällen ein realistischer Zeitraum, um die Konsequenzen eines Vorfalls aufzuarbeiten. Wer das ehrlich kommuniziert, stärkt Vertrauen, statt es zu verspielen. Ein Patient, der erfährt, dass es ein Problem gibt und wann er voraussichtlich mit einer Lösung rechnen kann, reagiert ganz anders als ein Patient, der von dem Vorfall erst aus der Presse erfährt.

Eine Frage der Haltung

Im Kern geht es bei NIS-2 im Gesundheitswesen um eine Haltungsfrage. Informationssicherheit ist kein Thema, das die IT-Abteilung allein lösen kann. Es ist ein Managementthema, ein Organisationsthema, ein Kulturthema. Die Geschäftsführung muss es für sich annehmen, die Mitarbeitenden müssen es verstehen, und die Kommunikation muss stimmen. Wer diese Verantwortung ernst nimmt und den Mut aufbringt, mit Fehlern offen umzugehen, statt sie zu vertuschen, wird feststellen, dass der Weg zu besserer Sicherheit kein einmaliger Sprint ist. Er ist ein fortlaufender Prozess. Und der erste Schritt ist, ehrlich hinzuschauen.

Studie zu Cybersicherheit

Wenige Angriffe, längere Ausfälle im Gesundheitswesen

(ID:50859188)