Ausgangslage
Ein Klinik-Verbund mit vier Standorten in Norddeutschland und 1.800 Mitarbeitenden steht in der KRITIS-Verordnung. Phishing-bedingte Datenpannen hätten unmittelbar Behördenmeldungen und Patientenkommunikation zur Folge.
Was umgesetzt wurde
- Phishgate-Rollout in Wellen pro Standort
- Strikte Trennung: KIS und Patientenakten-Systeme bleiben in einem isolierten Netz
- Whitelist eng auf medizinische und administrative Tools zugeschnitten
- Awareness-Module mit Healthcare-spezifischen Beispielen
Ergebnis
- 4 Standorte ausgerollt in 9 Wochen
- Erste KRITIS-Audit-Phase ohne Findings im Bereich „Awareness und technische Warn- und Audit-Maßnahmen“
- Reporting-Dashboard für die Geschäftsführung mit Standort-Vergleich
Besonderheit
Phishgate wurde mit einem on-premise gehosteten Audit-Log betrieben, um KRITIS-konform zu bleiben. Die Architektur ist im Audit-Bericht beschrieben.