IT-Sicherheit im Gesundheitswesen: Fünf Bausteine einer wirksamen Security-Strategie

Kliniken und Krankenhäuser werden immer häufiger zum Ziel von Hackern und Cyberkriminellen. Wie können Gesundheitseinrichtungen ihre IT-Infrastrukturen besser absichern und sensible Patientendaten vor aktuellen Bedrohungen schützen? Auf fünf Aspekte sollten IT-Abteilungen bei der Weiterentwicklung ihrer Security-Strategie ganz besonders achten.
Erst vor wenigen Wochen machte ein massiver Ransomware-Angriff auf das Universitätsklinikum Düsseldorf Schlagzeilen. Nachdem ein Kryptotrojaner mehr als 30 Server befallen hatte, waren wichtige Systeme und Daten vorübergehend nicht erreichbar. Der Krankenhausbetrieb wurde entsprechend eingeschränkt, Operationen und Behandlungen verzögerten sich. Eine Notfallpatientin musste daraufhin kurzfristig an eine andere Klinik überwiesen werden und verstarb wenig später.
Das Beispiel aus Düsseldorf ist kein Einzelfall. Aktuelle Security-Daten zeigen, dass sich die Bedrohungslage für Kliniken und Krankenhäuser während der Corona-Krise verschärft hat. Laut einer Auswertung von Bitdefender stieg die Anzahl der Cyberattacken auf Gesundheitseinrichtungen im Frühjahr 2020 um fast 60 Prozent. Häufig würden Hacker gerade die allgemeine Ausnahmesituation für gezielte Angriffe ausnutzen, berichtet das Bundeskriminalamt.
Hinzu kommt eine weitere Herausforderung für die IT-Sicherheitsverantwortlichen: Je schneller die Digitalisierung des Gesundheitswesens voranschreitet, desto mehr mögliche Angriffspunkte gibt es auch. Einzelne Security-Lösungen können die Vielzahl von Bedrohungen nicht mehr abwehren. Kliniken benötigen stattdessen ein ganzheitliches Sicherheitskonzept, bei dem unterschiedliche Schutzmaßnahmen nahtlos zusammenspielen. Fünf Bausteine sollten dabei in keiner Security-Strategie fehlen:
- Umfassender Schutz vor webbasierten Bedrohungen
Die verstärkte Nutzung von Cloud Services und der Wechsel vieler Anwender ins Home Office führen derzeit zu einer Verschiebung von Sicherheitsrisiken. Im ersten Halbjahr 2020 verdrängte Web-basierte Malware den Versand von Schadsoftware per E-Mail als wichtigsten Angriffsvektor – so ein Ergebnis des aktuellen Fortinet Threat Landscape Reports. Auch im Gesundheitswesen geht heute der Trend zu webbasierten Diensten wie etwas HTML5-Anwendungen. IT-Abteilungen müssen daher überlegen, wie sie den Webbrowser als mögliches Einfallstor für Schadsoftware absichern.
Eine effektive Abwehrstrategie ist der Einsatz von Isolationsplattformen für die Browser-Nutzung. Mit Lösungen wie dem FortiIsolator von Fortinet surfen Anwender in einer isolierten Umgebung im Internet statt mit ihrem lokalem Browser. Alle Web-Inhalte werden über einen sicheren Remote-Container bereitstellt. Dieser Ansatz schützt Endanwender und Geräte zuverlässig vor potenziell gefährlichem Content. Selbst wenn der User einen Phishing-Link im Web anklickt, besteht keine Gefahr für das Netzwerk, da Inhalte nicht auf den Endpoint übertragen werden.
Die Technologie lässt sich sehr einfach nutzen. FortiIsolator ist eine reine Remote-Lösung, die keine Installation auf dem Endgerät des Benutzers erfordert. Positiver Nebeneffekt: Der FortiIsolator kann Web-Inhalte bei der Anzeige auch von unnötigen Elementen befreien. Dadurch verringern sich Probleme wegen zu geringem Arbeitsspeicher und langsam reagierenden Rechnern.
- Konsequente Netzwerksegmentierung
Das Thema Netzwerksegmentierung ist für das Gesundheitswesen wichtiger denn je. Die strikte Trennung unterschiedlicher Zonen verhindert, dass sich Schadsoftware von einem einzelnen System ungehindert im gesamten Netzwerk ausbreitet. Betroffene Geräte können schnell isoliert werden – so lässt sich der mögliche Schaden für die Einrichtung eindämmen.
Die Herausforderung bei der Netzwerksegmentierung im Gesundheitswesen ist die steigende Komplexität der IT-Infrastrukturen. Immer mehr Endgeräte und Anwendungen tauschen heute Daten über das Krankenhausnetzwerk aus – von neuester Medizintechnik über Systeme für die elektronische Patientenakte bis hin zu digitalen Angeboten für Patienten und ihre Angehörigen. IT-Abteilungen müssen daher die Segmentierung immer wieder anpassen und sicherstellen, dass keine unautorisierten Zugriffe auf kritische Anwendungen der Patientenversorgung möglich sind.
Mittlerweile gibt es Lösungen, um diese Aufgabe zu vereinfachen – wie beispielsweise Extreme Elements, die integrierte Netzwerk- und Sicherheitsarchitektur von Extreme Networks. IT-Abteilungen können damit sehr schnell geschützte Netzwerksegmente einrichten, ohne dass dafür zusätzliche Overlay-Protokolle oder komplexe Konfigurationsänderungen benötigt werden. Extreme Elements ermöglicht es, die granulare Segmentierung von Netzwerken weitgehend zu automatisieren. So lassen sich nicht nur unterschiedliche Abteilungen oder Funktionsbereiche in einer Gesundheitseinrichtung voneinander trennen, sondern auch bestimmte Benutzergruppen oder Gerätetypen abschotten – wie etwa IoT-Devices im Patientenzimmer. Auch die Isolierung von bestimmten Datenströmen – etwa im Bereich der bildgebenden Verfahren – ist möglich.
- Zuverlässige Endpoint-Security – auch für IoT-Geräte
Ein großes Risiko für die Sicherheit der Healthcare-IT stellt mittlerweile die exponentiell wachsende Anzahl von Endpoints in Kliniken und Krankenhäusern dar. Neben Desktop-Computern, Notebooks, Smartphones und Tablets gehören dazu auch immer mehr IoT-Geräte wie zum Beispiel digital gesteuerte Infusionspumpen. Smarte Devices im medizinischen Bereich, aber auch Sensoren und vernetzte Systeme in der Gebäudetechnik helfen Kliniken, die Patientenversorgung zu verbessern und operative Abläufe zu optimieren.
Diese Vielzahl von Geräten sicher zu managen und aktuell zu halten, bringt aber viele IT-Abteilungen an ihre Grenzen. Gerade IoT-Geräte laufen häufig noch unter älteren Betriebssystemversionen und werden nicht regelmäßig gepatcht. Cyberkriminelle nutzen genau diese Sicherheitslücken im IoT-Umfeld, um Malware einzuschleusen und sich Zugang zum Netzwerk zu verschaffen.
Gesundheitseinrichtungen benötigen daher eine Endpoint-Security-Lösung, die alle Arten von Endgeräten abdeckt und anfällige oder bereits kompromittierte Geräte schnell erkennt. Einen ganzheitlichen Lösungsansatz dafür liefert zum Beispiel SentinelOne. Die Agenten der Singularity-Plattform von SentinelOne werden direkt auf dem Endgerät ausgeführt und analysieren dort mögliche Bedrohungen mit Hilfe künstlicher Intelligenz. Verdächtige Dateien müssen nicht erst zu einer Sandbox oder anderen externen Systemen gesendet werden – stattdessen findet die Analyse in der Umgebung statt, für die die Malware geschrieben wurde. Das erhöht die Erkennungsquote erheblich.
Speziell für das IoT-Umfeld bietet SentinelOne zudem die Erweiterung Ranger an. Die Lösung verwandelt jeden Endpoint, auf dem ein SentinelOne-Agent läuft, in einen dezentralen Netzwerk-Sensor. Auf diese Weise erkennt Ranger in Echtzeit, welche IoT-Devices aktuell im Netzwerk angeschlossen sind. Die Lösung hilft der IT-Abteilung aber nicht nur bei der vollständigen Inventarisierung – sie identifiziert auch selbstständig Geräte, die nicht ausreichend geschützt sind oder sich auffällig verhalten. So können sofort die notwendigen Gegenmaßnahmen eingeleitet werden.
- Sichere Lösungen für die Anbindung von Zweigstellen
Viele Gesundheitseinrichtungen befinden sich gerade in einem organisatorischen Transformationsprozess. Kleinere Kliniken schließen sich zu Verbünden zusammen, werden von größeren Anbietern übernommen oder arbeiten in Teilbereichen mit anderen Einrichtungen zusammen. Dies führt dazu, dass auch immer größere Datenmengen zwischen unterschiedlichen Standorten ausgetauscht werden und digitale Dienste standortübergreifend genutzt werden.
Die vorhandenen WAN-Verbindungen sind für diese Anforderungen aber häufig nicht ausgelegt. Um die Performance und Verfügbarkeit von Anwendungen im WAN zu optimieren, setzen viele Organisationen auf softwaredefinierte WAN-Lösungen (SD-WAN). Diese können den wachsenden Datenverkehr intelligent über unterschiedliche Übertragungswege leiten und nutzen dafür auch öffentliche Internet-Verbindungen.
Der Einsatz von SD-WAN im Gesundheitswesen darf jedoch nicht zu Lasten der Datensicherheit gehen. Anbieter wie Fortinet bündeln daher SD-WAN-Funktionalität und die Technologien einer Next Generation Firewall auf einer Plattform. Das entlastet die IT-Abteilung bei der Anbindung von Zweigstellen, da weniger Komponenten installiert und administriert werden müssen. Ganz gleich, über welche Netzwerkverbindung der Zugriff erfolgt – die notwendigen Sicherheitstechnologien sind von Anfang an integriert.
Fortinet Secure SD-WAN sichert die Datenströme unterschiedlicher Applikationen zuverlässig ab und sorgt für optimale Performance am WAN-Edge. Auch geschützte lokale Breakouts in die Public Cloud sind mit der Lösung möglich. Anwender können so direkt aus der Zweigstelle auf Services wie Microsoft 365 zugreifen, ohne dass der Datenverkehr erst via WAN über die Zentrale geroutet werden muss.
- Regelmäßige Vulnerability-Scans
Vertrauen ist gut, Kontrolle ist besser: Dieser Leitsatz gilt mehr denn je für die IT-Sicherheit im Gesundheitswesen. Auch die modernste Security-Architektur muss kontinuierlich auf mögliche Schwachstellen geprüft werden. Daher sollten Kliniken und Krankenhäuser ihre Infrastruktur regelmäßig einem Vulnerability-Scan unterziehen. Einrichtungen der kritischen Infrastruktur (KRITIS) sind sogar zum Nachweis entsprechender Maßnahmen verpflichtet.
Bisher wurden dafür meist in größeren Zeitabständen – beispielsweise zwei oder vier Mal pro Jahr – Audits mit Penetration Tests durch externe Spezialisten durchgeführt. Dieses Verfahren ist allerdings teuer und zudem oft ineffizient. Schon einen Tag nach dem Audit kann eine bisher unbekannte Schwachstelle auftauchen, die die Sicherheit der Infrastruktur gefährdet. Es empfiehlt sich daher, die Umgebung wesentlich häufiger zu überprüfen.
Smarte Lösungen für das Vulnerability Management ermöglichen eine kontinuierliche Schwachstellenanalyse – auch für Gesundheitseinrichtungen mit begrenztem IT-Budget. Der Greenbone Security Manager des deutschen Security-Anbieters testet beispielsweise IT-Netzwerke und alle angeschlossenen Geräte auf mehr als 79.000 Schwachstellen – und das vollkommen automatisiert.
Von Fehlkonfigurationen über unautorisierte Installationen bis hin zu Verletzungen von Sicherheitsrichtlinien: Der Greenbone Security Manager deckt diese und unzählige andere Risiken auf und liefert IT-Verantwortlichen täglich einen genauen Status der Sicherheitslage. Der Vulnerability Check enthält dabei auch Informationen zum Schweregrad der identifizierten Schwachstellen. So lassen sich die zu ergreifenden Maßnahmen einfach priorisieren.
Zum Management der Schwachstellen gehört auch ihre Behebung. Nicht alle Gesundheitseinrichtungen verfügen aber über die Kompetenzen, alle gefundenen Sicherheitslücken selbst zeitnah zu schließen. Daher bietet es sich an, Vulnerability Scans mit Managed Security Services zu kombinieren. Externe Spezialisten unterstützen bei der Umsetzung der notwendigen Maßnahmen und helfen so, das Sicherheitsniveau signifikant zu erhöhen.
Möchten Sie mehr über ganzheitliche Sicherheitskonzepte für das Gesundheitswesen erfahren? Dann verweisen wir gerne auf die Aufzeichnung „VINTIN Virtual Solution Day: Health Care“ vom 13. Oktober in unserem Downloadbereich! Experten von VINTIN und Technologiepartnern gaben dort Einblicke in neueste Security-Lösungen und sprachen über konkrete Use Cases im Krankenhaus. Sie können uns diesbezüglich auch gerne kontaktieren! Sie möchten in Ihrem Betrieb mobile, moderne Arbeitsplätze anschaffen? Wir zeigen Ihnen unseren Runners Hub Bonus Plus am 15.12.!