Suchen

Wertediskussion zur Digitalisierung im Gesundheitssektor Teil 2

Verletzliche Cloud

| Autor/ Redakteur: Pierre Gronau / Manfred Klein

Krankenhausbetriebe mit kritischen Infrastrukturen schieben zum Großteil noch immer die Entscheidung vor sich her, ob sie ihre Anwendungen einer Cloud-Umgebung anvertrauen oder aber mit einem internen Netz arbeiten sollen.

Firmen zum Thema

Vorsorge ist unabdingbar – auch bei der IT-Technik
Vorsorge ist unabdingbar – auch bei der IT-Technik
( © Gronau )

In jedem Fall müssen sie die Anforderungen an IT- und Datensicherheit, die der Gesetzgeber verlangt, nachweislich erfüllen. Dabei decken sich Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, zum Großteil mit den Gefahren für Inhouse-Netze. Zudem fehlt Kliniken, allein aufgrund der Fülle an vernetzten medizinischen Geräten, der Überblick über die Anzahl der Dinge im Netz, was Angreifern Vorteile bietet. IT-Sicherheitslotse Pierre Gronau deckt acht Risiken im Zusammenhang mit Cloud-Computing auf.

1. Datendiebstahl

Auf seine Daten wie elektronische Patientendaten und Systemdaten medizinischer Apparaturen achtet jeder medizinische Betrieb, jeder Hersteller selbst. Was sich zunächst gut anhört, erweist sich im IT-Alltag oft als Dilemma. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden. Neben Aufwand für Wiederherstellung und rechtlichen Konsequenzen droht ein Vertrauensverlust der Patienten.

Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt ein Vorfall im thailändischen Gesundheitsministerium. Hier waren im Sommer dieses Jahres Gesundheits- und andere persönliche Daten wie Mobilfunknummern von mehr als 2.000 Touristen online für jeden einsehbar. Unter anderem gab das Internet Informationen zu Krebs-Erkrankungen, Herzproblemen und psychischen Leiden preis.

Eine Studie des Ponemon Institute kam zu dem Schluss, dass Unternehmen, die auf Cloud vertrauen, bei Datendiebstahl einen deutlich größeren Schaden davontragen als Unternehmen, die auf Inhouse-IT-Strukturen bauen. Zudem stellte sie fest, dass Cloud-Nutzer mit gesteigerter Wahrscheinlichkeit bestohlen werden.

613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen im eigenen Unternehmen würden den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.

2. Zugriffsmanagement auf Krücken

Datenverstöße und Cyberattacken sind oft das Resultat von vernachlässigter Passwort-Politik und schwachem Log-Management. Verantwortliche im medizinischen Umfeld müssen Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht bei zahlreichem Klinikpersonal die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Insbesondere KRITIS-Kliniken sollten für ein nachprüfbares Sicherheitsdenken auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und Smartcard- und FIDO2-Zugriffsschutz bauen.

Dieses Vorgehen beschreibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Hersteller-Empfehlung „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte “. Ein granulares Log- und Zugriffsmanagement sowie die Passwort-Vergabe nach Stand der Technik werden hier priorisiert.

Ob Medizingerät oder vernetzter Arbeitsrechner im Schwesternzimmer – wenn Zugänge und Identitäten lax gehandhabt werden, erreicht Kriminalität durch Phishing und Betrug mit Cloud-Applikationen eine neue Qualität. Das Fälschen oder Manipulieren von Daten verhindern Sicherheitsbeauftragte nur mit einem Konzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen; eine schwierige Aufgabe, die finanzielles Investment und Innovationen in der Überwachung erfordert.

3. Bedrohungen im fortgeschrittenen Stadium

Die gemeinnützige Organisation Cloud Security Alliance (CSA) bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme, um Fuß zu fassen, und exfiltrieren dann Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte bilden neben direkten Angriffen auch gezielter eMail-Betrug, sogenanntes Spear-Phishing, sowie Attacken über USB-Treiber.

Um gewappnet zu sein, müssen sich Verantwortliche von KRITIS-Kliniken stets über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme für mehr Wachsamkeit gegenüber Parasiten. Diese Aufmerksamkeit hätte sich auch der DRK-Klinikverbund Rheinland-Pfalz gewünscht, der im vergangenen Juli mit einer Schadsoftware zu kämpfen hatte. Die Hacker-Attacke hatte das komplette Netz des Verbunds aus elf Krankenhäusern und vier Senioreneinrichtungen zum Erliegen gebracht .

Währenddessen beobachten IT-Sicherheitsexperten, dass Angriffe mit Schadsoftware nach Jahren vermeintlicher Flaute, in der sich Böswillige mehr mit illegalen Krypto-Mining-Programmen beschäftigten, wieder häufiger erfolgen. Das Ziel: die Erpressung von Lösegeldern wie im Lukas-Krankenhaus Neuss 2016, als die Klinik kein Lösegeld zahlte, aber mit einem wirtschaftlichen Schaden von 900.000 Euro umgehen musste. Meist kommen die Angreifer über Phishing-eMails zum Zuge, die einen Link zu einer infizierten Website enthalten. Über den Clientrechner breitet sich der Schaden dann auf Netz und IT-Systeme aus, indem die Software Daten großflächig verschlüsselt.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46170298)