Suchen

Zero-Trust-Sicherheit Ist Ihr Krankenhaus auf den nächsten Cyber-Angriff vorbereitet?

| Autor / Redakteur: Dietmar Schnabel* / Ira Zahorsky

Während der COVID-19-Krise suchen Cyber-Kriminelle weiterhin nach Schwachstellen in Systemen – und kennen entgegen anderer Meldungen keine Gnade mit Krankenhäusern.

Firma zum Thema

Cyber-Angriffe auf Krankenhäuser nehmen stetig zu, denn Patientendaten bringen viel Geld auf dem Schwarzmarkt.
Cyber-Angriffe auf Krankenhäuser nehmen stetig zu, denn Patientendaten bringen viel Geld auf dem Schwarzmarkt.
(Bild: © titima157 - adobe.stock.com )

Krankenhäuser sind, wie nie zuvor, mit Cloud-, Mobil- und IoT-Technologien verbunden, die ihre Effizienz und Qualität verbessern. Diese Veränderungen haben jedoch Löcher in den bislang bewährten IT-Sicherheits-Perimeter gestanzt und neue Angriffswege für Hacker geschaffen.

Die Attacken auf das Gesundheitswesen haben daher allein im vergangenen Monat um 150 Prozent zugenommen. Ein Opfer war die Universitätsklinik Brno in der Tschechischen Republik, die am 19. März einen lähmenden Cyber-Angriff erlitt, bei dem ihr IT-Netzwerk abgeschaltet wurde. Angesichts der aktuellen Pandemie und der Wichtigkeit funktionierender Kliniken darf daher die Optimierung der IT-Sicherheit von Krankenhäusern nicht länger hinten angestellt werden. Es ist entscheidend, schnell zu handeln, um die Sicherheit der Patienten, die Vertraulichkeit der Daten und einen kontinuierlichen Gesundheitsdienst zu gewährleisten.

Mit rund 40 Millionen Patientenakten, die 2019 gestohlen und im Internet veröffentlicht wurden, erleben Gesundheitseinrichtungen Jahr für Jahr eine steigende Anzahl von Verletzungen der IT-Sicherheit und des Datenschutzes.

Ransomware ist ebenfalls eine weit verbreitete Bedrohung: im Juni 2019 berichteten fünf US-Gesundheitsversorger von Lösegeldangriffen innerhalb einer einzigen Woche. In Deutschland traf es ebenfalls viele Krankenhäuser, darunter die DRK-Trägergesellschaft Süd-West mit 11 Krankenhäusern an 13 Standorten.

Diese alarmierende Entwicklung stellt eine Gefahr für das Leben der Patienten und ein erhebliches finanzielles Risiko für die Krankenhäuser dar. Die Kosten, die mit der Wiedererlangung eines geschädigten Rufs verbunden sind, sowie das Risiko einer rechtlichen Haftung und mögliche Geldstrafen bei Verstößen gegen IT-Sicherheitsgesetze, wie die Europäische Datenschutzgrundverordnung (DSGVO), können enorm sein. Die durchschnittlichen Kosten eines Verstoßes im Gesundheitswesen belaufen sich laut einer Studie von IBM auf 6,45 Millionen US-Dollar (rund 5,96 Millionen Euro). Das sind 65 Prozent mehr, als die durchschnittlichen Kosten in jeder anderen Branche. Die Schäden im Gesundheits-Sektor sind demnach die teuersten. Warum aber sind Krankenhäuser dermaßen anfällig für Cyber-Attacken?

Medizinische Aufzeichnungen sind die Kronjuwelen für Hacker

Gestohlene elektronische Gesundheitsakten (eGA) können im Dark Net für bis zu 1.000 Dollar (rund 924 Euro) verkauft werden. Zum Vergleich: Sozialversicherungsnummern und Kreditkarteninformationen werden in der Regel für 1 US-Dollar (rund 92 Euro-Cent) oder bis zu 110 US-Dollar (rund 102 Euro) verkauft. eGA enthalten Informationen, die nach dem Diebstahl schwieriger zurückzuholen und unschädlich zu machen sind (Personenbezogene Daten, Versicherung, Versicherungsnummer, medizinische Diagnosen, Rechnungsinformationen). Diese Daten werden häufig von Betrügern verwendet, um gefälschte Identitäten zu erstellen, medizinische Geräte oder Medikamente unter falschem Namen zu kaufen oder einen falschen Versicherungsanspruch einzureichen, um Geld unrechtmäßig zu kassieren.

Dem medizinischen Personal fehlt bewusste IT-Sicherheit

Die Rettung von Leben und die Behandlung von Patienten hat für die Mitarbeiter von Krankenhäusern oberste Priorität. Hierauf sind sie konzentriert. Gleichzeitig aber sind sie dadurch anfälliger für unvorsichtiges Verhalten in anderen Bereichen und dazu gehören die Vorschriften und Richtlinien der IT-Sicherheit in den Einrichtungen. Erschwerend kommt hinzu, dass fast ein Drittel der Beschäftigten im Gesundheitswesen (32 %) in einer Studie von Kaspersky angab, dass sie an ihrem Arbeitsplatz noch nie eine entsprechende Schulung für IT-Sicherheit erhalten haben, jedoch hätten erhalten sollen. Das gefährliche Ergebnis dieser Nachlässigkeit ihrer Arbeitgeber ist ein mangelndes Bewusstsein der Mitarbeiter für die Vorsicht beim Umgang mit der IT. In Verbindung mit der zunehmenden Nutzung mobiler Geräte, Tablets und Laptops führt das zu einer unsachgemäßen Handhabung und Speicherung von Patientenakten, zum Diebstahl von Ausweispapieren durch Phishing-Angriffe, zum Herunterladen und Verteilen bösartiger Dateien im Netzwerk oder sogar offenen Cloud-Speichern im Internet – im schlimmsten Fall sogar zu offenen Zugängen der IoT-Geräte, die ein Hacker über den Fernzugriff manipulieren könnte.

Vernetzte Geräte sind das schwächste Glied

Es wird geschätzt, dass es je Krankenhausbett ungefähr 15 bis 20 vernetzte alltägliche und medizinische Geräte gibt: von Infusionspumpen und Patienten-Monitoren bis hin zu MRT-Geräten. Diese Geräte laufen meist auf veralteten Betriebssystemen, die lange nicht mehr aktualisiert wurden, was sie sehr anfällig und leicht zu knacken macht. Sie weisen Sicherheitslücken auf, die vor Jahren geschlossen wurden – durch Patches, die installiert werden müssen – und jedermann bekannt sind. Diese IoT-Schwachstellen bleiben unbeaufsichtigt, da Krankenhäuser es sich nur selten erlauben können, dass ihre Systeme vollständig heruntergefahren und aktualisiert werden – meist nicht einmal für wenige Stunden. Der ständige Zugriff auf kritische medizinische Geräte und Patientendaten ist für ihre Arbeit von entscheidender Bedeutung. Gleichzeitig gefährden sie so aber genau diese Geräte, Daten und Patienten.

Zero-Trust-Sicherheit in Krankenhäusern ist unerlässlich

Der Gesundheits-Sektor zeichnet sich laut einem Bericht von Verizon dadurch aus, dass die Mehrheit der Verstöße (59 %) mit internen Akteuren in Verbindung gebracht werden, gegen nur 42 Prozent externe Akteure. Das bedeutet, dass in Krankenhäusern häufiger internes menschliches Versagen oder tatsächlicher Missbrauch von Sicherheitslücken zu IT-Problemen führen, als Hacking.

Daher sind traditionelle Sicherheitsansätze gefährlich ineffektiv geworden, da sie auf der überholten Annahme basieren, dass man jedem und allem innerhalb des Sicherheitsbereichs einer Organisation blind vertrauen darf.

Fazit

Heutzutage wird eine enorme Menge sensibler medizinischer Informationen übertragen: Zwischen vernetzten medizinischen Geräten, Cloud-basierten elektronischen Gesundheitsakten (eGA-Systemen), mobilen Geräten und Tablets des medizinischen Personals, sowie digitalen Anwendungen für Patienten.

Um in einer solchen IT-Umgebung eine optimale Sicherheit aufrechtzuerhalten, ist es unerlässlich geworden, das Zero-Trust-Security-Modell zu übernehmen. Eine ordnungsgemäße Zero-Trust-Implementierung ermöglicht eine wirksame Überwachung und Markierung ungewöhnlicher oder unangemessener Zugriffe auf Daten, die nicht notwendig sind für die jeweilige geschäftliche Anfrage oder Patientenversorgung.

Wenn Krankenhäuser jedoch ihre Sicherheitsinfrastruktur auf der Grundlage eines Zero-Trust-Ansatzes unter Verwendung unterschiedlicher Technologien neu aufbauen, kann dies zu Komplikationen und damit Sicherheitslücken führen. Um dies zu vermeiden, bietet sich eine umfangreiche Plattform als geschlossene IT-Architektur zur Implementierung von Zero Trust an, die konsolidiert alle Sicherheitslösungen aufeinander abgestimmt beinhaltet. Hilfreich können auch Webinare sein, um zu lernen, wie man mit einem Zero-Trust-Modell umgeht.

Außerdem hilft es, einige Ratschläge zu befolgen:

  • Das Netzwerk segmentieren, um unterschiedliche Bereiche zu trennen und so die Ausbreitung von erfolgreichen Cyber-Angriffen zu verhindern, da sie isoliert in einem Segment festsitzen, und so Ransomware den Wind aus den Segeln zu nehmen. Letzteres besonders angesichts neuer Methoden, wie der Doppelten Erpressung.
  • Darauf achten, dass Cloud-Speicher stets gesichert und geschlossen sind, damit keine Patientendaten und eGA unkontrolliert abfließen, wodurch Konformität zur DSGVO gewahrt wird; das Prinzip der geteilten Verantwortung vergessen viele Cloud-Nutzer, doch es bedeutet, dass der Betreiber nur für die Sicherheit der Cloud-Infrastruktur geradestehen muss, der Kunde jedoch selbst die Abschirmung seiner gespeicherten Daten und aufgesetzten Anwendung zu verantworten hat.
  • Zuletzt die wichtige Schulung der Mitarbeiter und Absicherung mobiler Geräte, um dieses Einfallstor zu schließen – denn Angriffe auf Mobiltelefone und dergleichen Geräte nehmen stark zu.

Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies
Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies
(Bild: Check Point Software Technologies )

*Der Autor, Dietmar Schnabel, ist Regional Director Central Europe bei Check Point Software Technologies.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46555828)