Suchen

Zero Trust Schutz vor Ransomware beginnt mit schlankerer IT-Sicherheit

Autor / Redakteur: Florian Bäuml* / Ira Zahorsky

Im Rahmen des Krankenhauszukunftsgesetzes stellt der Bund drei Milliarden Euro bereit, damit Krankenhäuser in moderne Notfallkapazitäten, die Digitalisierung und IT-Sicherheit investieren können. Durch die Sensibilität der Patientendaten sind auch moderne Sicherheitsservices erforderlich.

Firma zum Thema

Ohne IT geht im Gesundheitswesen nichts mehr. Deren Absicherung sollte deshalb oberste Priorität haben.
Ohne IT geht im Gesundheitswesen nichts mehr. Deren Absicherung sollte deshalb oberste Priorität haben.
(Bild: © sasun Bughdaryan – stock.adobe.com)

Die Patientenversorgung geht heute mit einer Flut an digitalen Daten einher, deren Sicherheit gewährleistet werden muss. Gesundheits- und personenbezogene Daten von Patienten werden von medizinischem Personal erfasst und verarbeitet, vielfach auch unter Einsatz mobiler Kommunikation. Nicht nur die elektronische Patientenakte zur lückenlosen Erfassung der Behandlung basiert auf digitalen Informationen, sondern auch die Vielzahl an IT-Systemen in medizinischen Geräten vom Herzschrittmacher bis zum Beatmungsgerät generieren Datenströme. Die Vernetzung unabhängiger Systeme und der Austausch von Echtzeitdaten zum Gesundheitszustand sollen Fehler in der Versorgung von Patienten verhindern und zur effizienteren Behandlung beitragen.

Die jüngsten Ransomware-Attacken auf Krankenhäuser zeigen, dass ohne IT im Gesundheitswesen gar nichts geht. Wird die IT-Infrastruktur durch einen Erpressungs-Trojaner lahmgelegt, ist die Patientenversorgung gefährdet und der Druck dementsprechend hoch, auf Lösegeldforderungen einzugehen. Da durch die Digitalisierungsoffensive die Vernetzung und der Datenaustausch im Gesundheitsbereich ansteigen und die Umgebungen durch hybride Infrastrukturen in der Cloud und im Rechenzentrum immer komplexer werden, muss die IT-Sicherheit an die modernen Gegebenheiten angepasst werden. Entscheidungsträger sollten angesichts der zunehmenden Komplexität der Absicherung solcher hybriden Architekturen entgegensteuern.

Cloud-basierter Sicherheitsservice

Um der steigenden Komplexität entgegen zu wirken und zeitgleich die IT-Sicherheit auf die nächste Stufe zu heben, bietet sich ein Cloud-basierter Sicherheitsservice auf Basis des Zero-Trust-Prinzips an. Damit wird vom netzwerkzentrierten Sicherheitsansatz Abstand genommen und zugunsten eines User-zentrierten Sicherheitskonzepts umgeschwenkt. Ein solcher Ansatz macht vor dem Hintergrund von zielgerichteten Angriffen auf den einzelnen Anwender Sinn, der mit Malware infiltriert wird, um Zugang zum gesamten Netzwerk zu erhalten. Da die Angriffsflächen mit zunehmend verteilten Umgebungen wachsen, kann dies den lateralen Datenverkehr im Netzwerk weiter einschränken, so dass User nicht zu Anwendungen gelangen, die sie nicht erreichen sollten.

Zero Trust folgt dabei dem Prinzip des geringsten Privilegs. Ein User startet völlig ohne Zugriffsrechte. Es werden ihm nach und nach die benötigten Anwendungen freigegeben für deren Zugriff er berechtigt ist. Dadurch hat der Anwender nie Einblick in die gesamte Applikationslandschaft im Netzwerk und kann sich auch nicht mit Services verbinden, für die er keine Befugnis hat. Der lateralen Ausbreitung von Angriffen im Netzwerk wird dadurch entgegengesteuert. IT-Administratoren können durch einen Zero-Trust-Ansatz zudem ein Gleichgewicht zwischen Sicherheit und ihrer Kontrollfunktion herstellen und dabei zeitgleich Lieferanten und Drittparteien einbeziehen.

Anforderungen an den Zero-Trust-Schutz

Zur Erhöhung der IT-Sicherheit im Gesundheitswesen und vor allem in Kliniken sollte der Zero-Trust-Schutz folgende Anforderungen erfüllen:

1. Verlagerung der IT-Sicherheit in den Datenstrom

Mit der Verlagerung von Anwendungen in multiple Cloud-Umgebungen und der grenzenlosen Anbindung der User von überall aus ans Internet sorgt die herkömmliche Netzwerksicherheit nicht mehr für optimalen Schutz. Anwendungen haben das Rechenzentrum verlassen und werden in der Cloud vorgehalten und Mitarbeiter arbeiten von verschiedenen Standorten aus. Folgt man dann auch noch dem Secure Access Service Edge (SASE) Framework von Gartner, müssen Organisationen jederzeit Sicherheit beim Zugriff auf Anwendungen und Daten bereitstellen.

Die Idee hinter dem Framework ist, dass der Datenverkehr während des gesamten Weges von einem Anwender zu seiner Anwendung abgesichert wird – unabhängig davon, wo sich der Benutzer gerade aufhält oder wo die Anwendung vorgehalten wird. Ein solches Modell ist auf die Absicherung der mobilen Anwender und Datenvorhaltung in der Cloud sowie On-Premise ausgerichtet, sodass nur noch eine minimale Abhängigkeit von lokalen Datenanbindung via MPLS besteht.

2. Abschied vom Netzwerkzugriff

Das SASE-Framework stützt sich auf die Grundlage von Zero Trust für den granularen und sicheren Zugriff der Mitarbeiter auf ihre Ressourcen. Zero Trust Network Access (ZTNA) verbindet Anwender und Applikationen sicher miteinander, ohne das klassische Unternehmensnetz einzubeziehen. Ein Zero-Trust-basiertes Modell agiert auf Basis der User-Identität und ermöglicht durch Richtlinien granulare Segmentierung, wer auf welche Anwendungen Zugriff erhält. Muss ein Pfleger auf die gleichen Daten zugreifen können wie ein Arzt und welche Daten müssen weitergeleitet werden und in welchem Format? Notärzte und Sanitäter, aber auch Pflegekräfte, arbeiten von unterschiedlichen Orten aus, weswegen ein Sicherheitsservice zwischen Zugriff, Blockieren oder Routing variieren muss.

Dedizierter Zugriff auf einzelne Applikationen bedeuten das Ende von geteilten Netzwerkressourcen, da jeder Zugriff auf Applikationsebene vor der Freigabe validiert wird und nicht mehr das gesamte Netzwerk für den Anwender geöffnet wird. Ein Software-definierter Perimeter stellt dabei die Kommunikation zwischen dem autorisierten Benutzer und seiner benötigten Anwendung her. Die Benutzer werden über einen sicheren Tunnel mit den Anwendungen verbunden, der die vollständige Privatsphäre und Integrität aller Anwendungsdaten gewährleistet.

3. Keine Ressourcen mehr im Internet exponiert

Damit nun die Sicherheit bei Umsetzung des Frameworks gewährleistet wird, kommt Zero Trust ins Spiel. ZTNA bietet den sicheren Zugriff für autorisierte Anwender auf ihre Applikationen über den Tunnel eines Software-definierten Perimeters, ohne die Infrastruktur des Netzwerks im Internet zu exponieren.

Dadurch werden Risiken ausgeschaltet, die Unternehmen derzeit über die Schwachstellen in der Netzwerkinfrastruktur angreifbar machen. Wenn die Infrastruktur nicht mehr offen im Internet dargelegt wird, besteht keine Angriffsfläche mehr für Hacker, die über Sicherheitslücken in der Hardware Eingang ins Netzwerk erlangen. Durch ZTNA können zwei Fliegen mit einer Klappe geschlagen werden: die Limitierung des Zugriffs für autorisierte User und der Wegfall von angreifbarer Infrastruktur.

4. Kontextbezogener Zugriff auch für Drittparteien

Über ein Zero-Trust-Modell werden Zugriffsrichtlinien zwischen User, Gerät, Anwendung und weiteren Aspekten der Umgebung korreliert. Wenn Krankenhäuser Richtlinien für den kontextbezogenen Zugriff auf Daten und Informationen erstellen, ermöglichen sie die Einbeziehung von Drittanbietern in ihren Lieferketten. Lieferanten können durch eine automatisierte, sichere Anbindung in den Betrieb eingebunden werden und entlasten die IT-Administration. Externen Partnern von Krankenhäusern wird der Zugriff auf einzelne Anwendungen richtlinienbasiert ermöglicht, nachdem sie sich bei ihrer eigenen IDP-Lösung authentifiziert haben. Nach der Autorisierung sind nur die Anwendungen einsehbar, auf die die Zugriffsrechte bestehen.

5. Umfassende Sichtbarkeit und Fehlerbehebung

Ein Cloud-basierter Sicherheitsservice mit Zero-Trust-Ansatz bietet IT-Administratoren eine einzige Benutzeroberfläche, um Anwender und Logs an einem Ort zu verwalten und zu protokollieren. Administratoren haben volle Transparenz und Kontrolle über ihre verteilten IT-Umgebungen im Rechenzentrum und der Cloud an einem zentralen Punkt. Damit wird die Visibilität sichergestellt, die als Grundlage zur Fehlerbehebung erforderlich ist. Durch die zentrale Administrationsoberfläche eines Cloud-Services steigt die Effizienz innerhalb der Organisation, da die aufwändige Verwaltung unterschiedlicher Sicherheits-Hardware entfällt.

6. Eindämmung von Cyber-Bedrohungen und Schutz von Anwendungen und Daten

Durch den Einsatz von Cloud-basierten Sicherheits- und Compliance-Tools als Teil eines Zero-Trust-Sicherheitsmodells schützen Krankenhäuser Daten und Anwendungen, ohne manuelle Updates durchführen zu müssen. Diese Updates erfolgen automatisch in der Cloud in wesentlich höherer Frequenz, als es von Hand möglich wäre. Die Entstehung und Ausbeutung kritischer Sicherheitslücken lassen sich auf diese Weise verhindern. Dadurch gewinnt die IT-Abteilung Zeit, um sich auf wichtige Aufgaben, wie die Verbesserung ihrer Richtlinien zu konzentrieren, anstatt Patches auszubringen.

Fazit: Modernisierungsoffensive für das Gesundheitswesen

Das Programm zur Investitionsförderung im Gesundheitswesen hilft angesichts der vielfältigen Herausforderungen auf dem Weg zum digitalen Krankenhaus. Die Entscheidungsträger müssen nun ihre Anforderungen mit modernen Infrastrukturen und IT-Architekturen in Einklang bringen und die Fördergelder sinnvoll und zukunftsträchtig einsetzen. Dazu gehört aufgrund der Anforderungen an die sichere Verarbeitung und Speicherung von personenbezogenen Daten nicht zuletzt auch die Transformation der IT-Sicherheit, um sie bereit zu machen für das Zeitalter des Cloud Computing. Das SASE-Framework kann bei der Entscheidung und Umsetzung eine Hilfestellung sein – nicht nur um Cyber-Attacken zuverlässig abzuwehren, sondern auch um von den Vorteilen der Cloud hinsichtlich Agilität und Kostensenkung zu profitieren. Cloud-basierte Security-Lösungen gehen mit dem Vorteil eines hohen Automatisierungsgrads und höherer Sicherheit einher und wirken dadurch dem IT-Fachkräftemangel und Kostendruck im Gesundheitswesen entgegen.

Florian Bäuml, Regional Vice President Central & Eastern Europe bei Zscaler
Florian Bäuml, Regional Vice President Central & Eastern Europe bei Zscaler
(Bild: Zscaler)

*Der Autor, Florian Bäuml, ist Regional Vice President Central & Eastern Europe bei Zscaler.

(ID:46945470)