Extreme Networks hat zahlreiche Kunden im Umfeld Gesundheitswesen, also Krankenhäuser oder Medizinische Versorgungszentren u.ä. Deren Hauptanliegen sind vor allem die Absicherung der – vertraulichen – Patientendaten und der Schutz der eigenen Infrastruktur gegen Angriffe durch Erpresser und Hacker. Ganz abgesehen davon soll der gesamte Datenbestand grundsätzlich immer verfügbar sein, und zwar ohne Wartezeiten.
Der Hersteller hat sich über die Jahre mit Zukäufen verstärkt und dafür gesorgt, dass zusätzliches Know-how in die Firma kam. So wurden beispielsweise Enterasys (früher Cabletron) und Avaya (früher: Nortel) in Extreme Networks integriert und damit die Bereiche Core Switching und Management-Automation. Zusammen mit den ohnedies bei Extreme vorhandenen Skills sorgten diese Zukäufe dafür, dass heute Management via Künstlicher Intelligenz (KI) die Arbeitslast der IT-Abteilungen verringert.
Automatisierte Prozesse mit höchster Zuverlässigkeit und Performanz
Das Universitätsklinikum Leipzig (UKL) blickt gemeinsam mit der Medizinischen Fakultät als zweitälteste deutsche Universitätsmedizin auf eine reiche Tradition zurück. Heute verfügt das Klinikum mit rund 1.450 Betten über eine der modernsten baulichen und technischen Infrastrukturen in Europa. Jährlich werden hier über 400.000 stationäre und ambulante Patienten auf höchstem medizinischen Niveau behandelt. In den angeschlossenen Kliniken, Instituten und Einrichtungen arbeiten Menschen aus 55 Nationen gemeinsam in der Krankenversorgung, der medizinischen Forschung und Lehre. 300 Studenten aus dem Ausland erlernen hier die Medizin und die Zahnmedizin.
Im Umkehrschluss muss die Netzinfrastruktur diese hohen Qualitätsansprüche vor allem hinsichtlich Flexibilität und Hochverfügbarkeit erfüllen. Darüber hinaus ist eine höchstmögliche Sicherheit unabdingbar, da die Krankenhaus-IT per Gesetz zu den kritischen Infrastrukturen gehört und damit einer Vielzahl an Regularien unterliegt. Mithilfe von Extreme Networks gelingt es dem UKL, seine Netzinfrastruktur fortlaufend topmodern zu halten, eine Vielzahl an Diensten zu automatisieren und die Verfügbarkeit stabil zu halten. Dies alles, ohne Zugeständnisse an die IT-Sicherheit machen zu müssen.
In den Zuständigkeitsbereich der UKL-Technik fällt nicht allein die IT des Krankenhauses, sondern auch die für die medizinische Fakultät sowie für das medizinische Versorgungszentrum. Die Mitarbeiter des Bereiches 1 – Informationsmanagement sind für mehr als 6.500 Anwender zuständig und betreuen über 18.000 Endgeräte pro Monat. Hinzu kommt, dass die Nutzung dieser Endgeräte stark volatil ist. Mal kommt neue Medizintechnik hinzu, mal müssen unterschiedliche Hardwareklassen sinnvoll miteinander kombiniert werden. „Darüber hinaus haben wir sehr häufig Umzüge innerhalb des Campus, bei dem Mitarbeiter ihre Ausstattung mitnehmen und am neuen Platz selbstverständlich dieselbe Netzumgebung vorfinden möchten wie zuvor“, so Daniel Pfuhl, Abteilungsleiter Systemmanagement.
Darüber hinaus gilt der Sicherheit im Klinikum ein besonderes Augenmerk. Alle zwei Jahre wird die Krankenhaus-IT, die den hohen Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht, neu auditiert. Dennoch ist die Personaldecke mit den technischen Mitarbeitern in einer Einrichtung des Gesundheitswesens in der Regel überschaubar, so dass viele Netzdienste automatisiert ablaufen müssen. Diesen Anspruch vertritt auch das Leipziger Universitätsklinikum: Sichere Automatisierung war und ist das Gebot der Stunde. Hinzu kommt, dass diese personelle Ausstattung eine enge Anbindung an den Lieferanten erfordert.
„Mit unseren wichtigsten Herstellern sind wir strategische Partnerschaften eingegangen. Das heißt, dass die vier Grundprinzipien des BSI für den Grundschutz, die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität sowohl für den grundsätzlichen Betrieb als auch für den Support ständig im Mittelpunkt stehen müssen. Genauso wie der für das UKL besonders wichtige Grundsatz der Resilienz“, ergänzt Daniel Pfuhl.
Diese Prinzipien sind dem Abteilungsleiter und seinen Mitarbeitern auch aus zwei weiteren Gründen äußerst wichtig: Ein etwaiger Ausfall des Netzes oder von einzelnen Bestandteilen davon dürfe sich zu keiner Zeit auf die Patientensicherheit auswirken. Zudem könne das Klinikum lediglich ordnungsgemäß dokumentierte Leistungen abrechnen, so Pfuhl. Käme es zu einem Ausfall des Netzes, müssten die medizinischen Mitarbeiter trotz ihrer hohen Belastung zu Stift und Papier greifen, um ihre Arbeit zu belegen.
Mehr als 1.000 Access Points und über 500 Switches kommen im UKL zum Einsatz. Eingebunden sind diese Geräte in die Network Access Control (NAC)-Lösung ExtremeControl. Um hinsichtlich Support und Störungsbehebung auf der sicheren Seite zu sein, setzt das Leipziger Uni-Klinikum auf die Extreme Networks Premier Services. Dieser Support ist auf Kunden mit höchsten Ansprüchen an Verfügbarkeit, Service und Netzhandling zugeschnitten. Ziel dabei ist es, dass der Kunde bei unvorhersehbaren Szenarien sofort adäquaten Support erhält. Ein so genannter Premier Delivery Manager steht dem Leipziger Krankenhaus zur Maximalversorgung als ständige Anlaufstelle zur Verfügung – solange, bis das Problem gelöst ist.
Durch das NAC ist die Krankenhaus-IT sehr früh in der Lage, Netzteilnehmer automatisch zu identifizieren. Nur Autorisierte haben auf diese Weise Zutritt zum Netz. Gleiches gilt für die dynamische WLAN-Zuweisung von Endsystem-Gruppen. Kein IT-Mitarbeiter muss dafür mehr Switch Ports konfigurieren, was uns das Leben sehr erleichtert“, ergänzt Thomas Heid, Netzspezialist in Pfuhls Team, zur Multi-User-Authentifizierung.
Stichwort Automatisierung: In Krankenhäusern existiert in der Regel eine große Anzahl an Geräten unterschiedlichster Hersteller, vom Standard-PC über Röntgengeräte mit Netzanschluss bis hin zu ultramodernen Robotern. Für jeden Bereich kann die IT-Abteilung des UKL in der Netzinfrastruktur nun Segmente automatisch zuweisen und durch eine nachgelagerte Firewall lassen sich die Netze voneinander trennen.
Deutsches Rheuma-Forschungszentrum Berlin mit ganzheitlicher Netzstrategie
Das Deutsche Rheuma-Forschungszentrum Berlin (DRFZ) ist eine Organisation mit ganzheitlicher Netzstrategie. Dies bedeutet: In ein physikalisches Netz werden sowohl ein medizinisches Netz als auch eines für Standardbürorechner wie PCs oder Laptops integriert – virtuell voneinander getrennt sowie leistungsstark und maximal abgesichert. Darüber hinaus müssen damit beispielsweise Studierende, die sich über das weltweit zugängliche Hochschulnetz „Eduroam“ am Standort Berlin anmelden, bedient werden können. Gemeinsam mit seinem Partner E.INFRA ermöglichte Extreme Networks dem Institut eine solche Netzinfrastruktur. Die spezifischen Herausforderungen waren: Die Modernisierung musste während des laufenden Betriebs erfolgen und die neuen innovativen Funktionalitäten sollten sowohl ein besonders einfaches Management als auch höchste Sicherheit bieten. Im Ergebnis entstand so eine von Grund auf neue Netzinfrastruktur mit sehr besonderen Ausprägungen.
Das Deutsche Rheuma-Forschungszentrum Berlin (DRFZ) ist ein Institut der Leibniz-Gemeinschaft und wurde 1988 als Stiftung bürgerlichen Rechts vom Land Berlin und der Immanuel-Krankenhaus GmbH gegründet. Die Leibniz-Gemeinschaft verbindet 96 eigenständige Forschungseinrichtungen mit einem großen wissenschaftlichen Querschnitt.
Das DRFZ untersucht mit grundlagenwissenschaftlichen und epidemiologischen Methoden die Entstehungsbedingungen und Folgen rheumatischer und muskuloskelettaler Erkrankungen. Ziel ist die Entwicklung von neuen Therapien und deren schneller Transfer in den klinischen Alltag. Damit sind gleich zwei Basisanforderungen der neu zu schaffenden Netzinfrastruktur genannt – sowohl in quantitativer als auch in qualitativer Ausprägung. Rheumatische Forschung bedeutet auch, eine große Anzahl an Daten und Dateien aus bildgebenden Verfahren wie FACS-Geräte und Mikroskope zu nutzen und zu managen. Das heißt, die Performanz des Netzes darf auch bei Lastspitzen beim Umgang mit sehr großen Bilddateien nicht gefährdet sein. Des Weiteren müssen auch die Office-IT und andere medizinische Geräte ausreichend Bandbreite zur Verfügung gestellt bekommen. Leistungsstabilität ist zudem hinsichtlich der Skalierbarkeit gefordert, wenn sich kurzfristig mehr Nutzer anmelden. Das kann auf dem Campus der Organisation immer wieder der Fall sein.
Zum Einsatz kommen im DRFZ vorrangig Switche der X440-Serie sowie die AP3912i Access Points. Die Hardware allein macht indes nur die halbe Miete des Erfolgsprojektes aus, denn die damit einhergehenden Funktionalitäten veredeln sie gewissermaßen. So nutzt die Forschungseinrichtung intensiv ExtremeAnalytics, dies auf Ebene der im Netz eingesetzten Geräte und ebenso für die darauf laufenden Applikationen. Diese Softwarelösung gibt dem Administrator automatisiert granulare Einblicke, wer welche Anwendung wann und wo nutzt. Derart entstehen Nutzungsmuster, mit denen sich die Anwendungen optimieren lassen. Zudem fährt die Software Analysen, so dass das Netz nicht durch Anwendungstelemetrie ausgebremst wird. Die Administratoren verhindern so eine Schatten-IT und blockieren unerwünschte Anwendungen. Das DRFZ nutzt ExtremeControl ebenso auf Gerätebene, um auch hier mehr Einfachheit und Sicherheit zu generieren. Hierdurch werden beispielsweise potenziell gefährdende Laptops konsequent gesperrt. Anwender können über diese Lösung außerdem einfacher Eintritt in das Netz bekommen.
Fazit
Extreme Networks verfügt mit seinen cloudbasiert verwaltbaren Switches über einen großen Werkzeugkasten, den der Hersteller der Administration großer Netze an die Hand gibt, um auf der einen Seite für maximale Performance zu sorgen – und auf der anderen dafür, dass die Sicherheit nicht zu kurz kommt. Die Möglichkeiten für die Administration reichen daher von der reinen Anschließen und Geht-Installation bis hin zur Mikrosegmentierung eines Netzes mit unterschiedlichen Sicherheitszonen und besonders fein einstellbaren Zugriffsrechten für einzelne Benutzer oder auch Benutzergruppen.
Stephan Mayer