Sicherheit von Gesundheitsdaten Privilegierter Zugriff schützt sensible Daten vor Cyberkriminellen

Autor / Redakteur: Stefan Schweizer / Ira Zahorsky

Das Gesundheitswesen mit seinen zahlreichen Organisationen stand und steht im Fokus von Cyberkriminellen. Der Bereich gilt unter Angreifern als lohnendes Ziel, da in den Netzwerken der entsprechenden Einrichtungen große Mengen an personenbezogenen Daten gespeichert sind.

Firma zum Thema

Sensible Daten benötigen besonderen Schutz.
Sensible Daten benötigen besonderen Schutz.
(Bild: Gina Sanders - stock.adobe.com)

Seit Beginn der Covid-19-Pandemie hat die Zahl der gezielten Angriffe auf Netzwerkserver, eMail-Systeme und Geräte von Dienstleistern im Gesundheitsbereich deutlich zugenommen. Angreifer versuchen immer wieder, den arg strapazierten Gesundheitssektor zu attackieren. Die steigenden Datenabfragen in diesem Bereich machen es ihnen oft zu leicht, weil die Nachfragen in den Systemen nicht immer ausreichend abgesichert werden.

Angreifer haben bereits versucht, Informationen zu Covid-19-Statistiken zu stehlen oder sensible Daten zu den verfügbaren Impfstoffen abzugreifen. Aufgrund der Pandemie waren und sind viele Gesundheitsdienstleister dazu gezwungen, Telemedizin-Anbieter zu beschäftigen, um das gestiegene Arbeitspensum auch aus der Ferne zu bewältigen. Das war und ist notwendig, um auch in Corona-Zeiten weiterhin eine sichere Gesundheitsversorgung zu gewährleisten und die potenzielle Ausbreitung von Covid-19 zu verringern. Im Zuge dessen muss das Gesundheitswesen einen deutlichen Anstieg des Datenverkehrs bewältigen. Das führt im Gegenzug zu einer größeren Angriffsfläche, wodurch sowohl Anbieter- als auch Patientendaten einem höheren Risiko ausgesetzt sind.

Entwicklung der Datensicherheit im Gesundheitswesen

In den letzten drei Jahrzehnten haben die meisten Organisationen des Gesundheitswesens Initiativen zur digitalen Transformation durchgeführt. Patientenakten und Daten wurden in Netzwerke und Cloud-Umgebungen verlagert. Werfen wir also einen Blick zurück, um zu sehen, wie sich die Speicherung, die Sicherheit und der Zugriff auf Patientendaten zu dem entwickelt haben, was sie heute sind.

Vor dem Siegeszug der IT legten Betriebe und Organisationen des Gesundheitswesens medizinische Patientenakten als Papierkopie an. Diese wurden manuell geführt und später im Archiv in Kisten oder Regalen gelagert. Notwendige Aufzeichnungen erfolgten per Hand. Auch die Registrierung im medizinischen Archiv sowie die Ablage waren manuelle Vorgänge. Der Prozess war nicht immer zuverlässig und zudem äußerst anfällig für menschliche Fehler. Die Möglichkeit, genau zu überwachen, wer Zugang zu den Archiven hatte oder Akten einsehen konnte waren unzureichend oder gar nicht vorhanden. Es gab nur sehr wenige Maßnahmen, die verhinderten, dass unbefugte Mitarbeiter Patientenakten einsehen konnten. Zugangskontrollen gab es häufig nicht.

Erst ab etwa 1991 wurde in einigen Ländern mit der Digitalisierung von Krankenakten begonnen. Ziel war es, die Effizienz und Genauigkeit zu steigern, die Sicherheit zu erhöhen und den Datenschutz für die Patienten zu verbessern. Darüber hinaus versprachen sich die Verantwortlichen von der Digitalisierung eine Verminderung des Zeitaufwands, der für die Bearbeitung der Patientenakten bis dato anfiel. Das Verbesserungspotenzial, das aus dieser Transformation resultierte, erschien hoch. Die eingesetzte Technologie versprach den medizinischen Fachkräften einen sofortigen Zugriff auf die Patientenakten sowie produktivere Abläufe. Gesundheitsorganisationen dagegen stellte die Digitalisierung vor neue Herausforderung in Bezug auf Sicherheits- und Datenschutzprobleme. Das galt speziell für die Sicherheitskontrollen des Identitäts- und Zugangsmanagements.

Sicherheitsmaßnahmen optimieren

Inzwischen schreiben wir die 2020er Jahre. Fast alle medizinischen Patientenakten sind digitalisiert und in den Datenbanken und Netzwerken von Healthcare-Unternehmen verfügbar. Angesichts der zunehmenden Zahl von Angriffen auf Organisationen des Gesundheitswesens sind die Verantwortlichen alarmiert: Daten müssen durch höchstmögliche Sicherheitskontrollen geschützt werden. Um einen maximalen Schutz zu erreichen, können verschiedene Schlüsselsysteme implementiert werden. Zudem stoßen immer mehr Organisationen Initiativen an, um ihre internen Sicherheitsmaßnahmen zu optimieren.

Einer der wichtigsten Schritte ist eine ordnungsgemäß verwaltete und konfigurierte Lösung zur Kontrolle des privilegierten Zugriffs. Die meisten modernen Zugriffskontrollsysteme sind rollenbasiert. Dabei wird der Zugriff auf bestimmte Systeme anhand der Arbeitsaufgaben eines Benutzers festgelegt. Jeder Sachbearbeiter erhält nur so viele Berechtigungen, wie er für die Erfüllung seiner Aufgabe benötigt. Unabhängig davon, ob es sich um spezifische Anwendungen des Gesundheitswesens oder um alltägliche organisatorische Vorgänge handelt: Benutzer sollten niemals auf Dateien zugreifen können, die über den Umfang ihrer täglichen Aufgaben hinausgehen. Die Verwaltung von Berechtigungen und Zugriffsrechten ist das wirksamste Mittel, um Bedrohungen innerhalb eines Netzwerks abzuwehren. Das gilt für solche, die das Netzwerk von außen angreifen ebenso wie für Insider-Bedrohungen.

Unternehmen müssen die Benutzerrechte aktiv überwachen und dafür sorgen, dass die nicht mehr aktuellen regelmäßig deaktiviert werden. Darüber hinaus sollte das Sicherheitsteam routinemäßig überprüfen, ob jeder Zugriff von Benutzern für das Tagesgeschäft noch erforderlich ist. Oft werden die Benutzerrechte temporär erhöht, um einem Nutzer für eine bestimmte Aufgabe oder ein Projekt einen erweiterten Zugriff zu ermöglichen. Werden diese Zusatzoptionen nach Abschluss von Aufgaben nicht wieder storniert, können Schwachstellen entstehen.

Besonders wichtig ist es zudem, dass der Zugang eines Mitarbeiters gelöscht wird, sobald er seine Position oder die Abteilung verlässt, eine andere Rolle übernimmt oder ganz aus dem Gesundheitsbetrieb ausscheidet. In all diesen Fällen sollten auch alle übergeordneten Passwörter umgehend geändert werden, damit das System und seine Daten gesichert bleiben.

Bewusstsein der Mitarbeiter schärfen

Obwohl Zugangskontrollsysteme den Organisationen des Gesundheitswesens ein hohes Maß an Berechtigungskontrolle bieten, darf nicht vergessen werden: Keine Methode, keine Anwendung und kein Gerät ist in der Lage, eine Infrastruktur vollständig abzusichern, ohne dass Mitarbeiter sich regelkonform verhalten und die Bemühungen um mehr Sicherheit mittragen.

Oft wird übersehen, welche zentrale Rolle die Mitarbeiter spielen, wenn es um die Sicherheit im Gesundheitswesen geht. Deshalb gilt es, Zeit und Ressourcen zu investieren, um sie über die besten Praktiken beim Zugriff auf sensible Systeme aufzuklären. Unabhängig von ihrer Position und der Ebene, auf der sie arbeiten, ist es deshalb essenziell, dass alle Mitarbeiter des Gesundheitswesens sichere Passwörter für ihre Geräte verwenden. Darüber hinaus sollten sie es vermeiden, Informationen per SMS oder eMail über ungeschützte Geräte zu versenden.

Durch die Einführung unternehmensweiter Schulungs- und Trainingsinitiativen kann die Zahl der Datenlecks deutlich verringert und das Bewusstsein für potenzielle Gefahrenquellen geschärft werden. Unternehmen können sich und seine Patientendaten auf diese Weise besser vor Cyberkriminellen schützen. Eine starke Managementlösung für die eingesetzten Passwörter unterstützt die Mitarbeiter und verhindert, dass sie in ihren Bemühungen um die Abwehr von Cyberangriffen nachlassen. Eine weitgehend automatisierte Lösung vereinfacht die Überwachung von Konten und Passwörtern. Das entlastet die Mitarbeiter von Routineaufgaben und sorgt für einen durchgängigen Schutz der Infrastruktur sowie der Patienteninformationen und -daten.

Der Autor
Stefan Schweizer ist Vice President Sales DACH bei ThycoticCentrify.

Bildquelle: ThycoticCentrify

(ID:47734092)