Cyber-Sicherheit im Gesundheitswesen

Sicherheit (Pexels, allgemeine Nutzung)


Anzeige

Das Gesundheitswesen ist nach wie vor einer der am häufigsten durch Hacker angegriffenen Bereiche. Lieder wurden in der Vergangenheit entsprechende Hausaufgaben lange aufgeschobene. Viele Bereiche im  Gesundheitswesen tun sich schwer, sich den neuen Ansprüchen und Risiken an ein digitalisiertes und geschütztes Gesundheitswesen zu stellen. Zeit, versäumtes nachzuholen.

Eine komplexe, oft veraltete und heterogene IT und Technik sowie eine fehlende Sicherheitsstrategie machen zum Beispiel Krankenhäuser zu einem lohnenden und erpressbaren Ziel für Hacker. Ein Ausfall der Systeme ist in diesen Bereichen aber keine Option. Ebenso begehrt ist die Datenbeute: Je nachdem, wie vollständig die Informationen sind, können medizinische Unterlagen bis zu 1.000 US-Dollar im Darknet kosten. Nur US-Reisepässe sind mit einem Stückpreis von 1.000 bis 2.000 US-Dollar teurer.

Leider sind die meisten Opfer, laut eigenen Beobachtungen und den Ausführungen des Sicherheitsanbieters Bitdefender, im Gesundheitsbereich oft völlig unvorbereitet. Neben Geldmangel ist hier vor allem fehlendes Personal der Grund, wenn etwa in Deutschland mitunter zwei Mitarbeiter für die gesamte IT-Administration von drei verschiedenen Häusern zuständig sind und kaum Budget haben. Der Kostendruck dürfte angesichts einer in Deutschland laufenden und von Corona nur vorübergehend unterbrochenen Konsolidierung von Teilen des Gesundheitssektors weiter zunehmen.

Parallel dazu steigen die Ansprüche an die IT in einem zu digitalisierenden Gesundheitswesen. Gerade die aktuelle Krisen- und Gefahrenlage zeigen auf, dass Krankenhäuser wie eine Kritische Infrastruktur zu behandeln sind. In der Administration erhöhen die steigenden Vorgaben in Sachen Datenschutz die Hürden für die Datensicherheit. Compliance-Regeln sind zunehmend einzuhalten – von der DSGVO über ISO-Zertifikationen bis hin zu Funkrichtlinien für technische Geräte.

Sicherheitsprobleme im Gesundheitswesen

Die IT-Sicherheit im Gesundheitswesen leidet nach Beobachtung von Bitdefender zudem immer noch unter folgenden Symptomen:

1. Ransomware

Gerade Krankenhäuser können erpresserische Angriffe, die Daten verschlüsseln oder Systeme blockieren, nicht aussitzen, wenn man die Patienten weiter versorgen will. Hier gehen die Angreifer in Zukunft noch aggressiver vor: Einerseits durch automatisierte Angriffe auf unvorbereitete IT und andererseits durch gezieltere Ransomware-as-a-Service- (RaaS) Attacken, die mit Social Engineering auf die Entscheider im Personalwesen, der Administration und der Buchhaltung eingeleitet werden.

2. Risiken vernetzter Geräte

Im Gesundheitswesen steigt die Zahl der vernetzten medizinischen IoT- und OT- Geräte sprunghaft. Dennoch wird dieser Angriffsvektor oft noch vernachlässigt und vernetzte Geräte werden ohne die angebrachte Sorgfalt in Netzwerke integriert. Hacker kennen zudem die spezifischen Risiken dieser Hardware: Sie wissen, wie sie die fest kodierten Passwörter der meisten Geräte herausfinden können – und können darüber ins Netzwerk eindringen. Oft ist es gar nicht möglich, den Zugriff unbefugter Nutzer auf die Geräte zu verhindern. Erstaunlich häufig kommen Geräte zum Einsatz, die nur mangelhaft zertifiziert sind. Systeme mit veralteten, nicht mehr unterstützten Betriebssystemen sorgen mit der Zeit ebenso für neue Risiken.

3. Mangelnde Sichtbarkeit von Hardware

Viele Organisationen haben die IT in ihrer Gesamtheit nicht im Blick. So war die Verschlüsselung der Server im Lukaskrankenhaus in Neuss nur deshalb möglich, weil ein alter, nicht sichtbarer Client Administratorenrechte hatte und der Malware so die weitere Ausbreitung ermöglichte. Bei IoT und OT ist diese Gefahr noch grundsätzlicherer Natur, weil die meisten dieser Geräte dem Zugriff der internen IT-Organisationen gar nicht unterliegen.


Anzeige

4. Zero-Day-Sicherheitslücken nehmen weiter zu

Log4j hat gezeigt, dass Zero-Day-Sicherheitslücken nach wie vor großen Schaden anrichten und unzählige Unternehmen bedrohen können. Die Gesundheitsbranche ist anfälliger für derartige Schwachstellen, fehlende Aufmerksamkeit kann dazu führen, dass diese Lücken auf verstärkt ausgenutzt werden.

Vorschläge für Abhilfe

Wer für die Sicherheit der Systeme und für die Gesundheit der Patienten sorgen will, sollte und kann an mehreren Stellschrauben drehen:

  • Schutz aller Geräte:  Eine Extended-Detection-and-Response-Lösung (XDR) schützt nicht nur die gewöhnlichen Endpunkte, sondern auch Geräte, auf denen – wie im Falle von IoT – keine Möglichkeit besteht, Agenten zu installieren oder diese außerhalb der Kontrolle der IT-Verantwortlichen liegen.
  • Kontinuierliches Management und Bewerten von Sicherheitslücken: Due-Diligence-Checks sowie das Bewerten und Verwalten von Schwachstellen sind zentrale Elemente, um potenzielle und existierende Lücken zu entdecken und zu schließen, bevor die Angreifer sie ausnutzen.
  • Isolation von Netzwerk-Segmenten: Dadurch lassen sich Schäden eingrenzen. Wer schnell Netzbereiche voneinander trennt, kann zum Beispiel das weitere Ausbreiten von Ransomware verhindern.
  • Identitätsmanagement: Dadurch lässt sich das Risiko eines Fehlverhaltens von Mitarbeitern verringern. Dies ist angesichts der Größe vieler Einrichtungen und der Anzahl vieler, oft in IT-Sicherheit nicht besonders erfahrener oder sicherheitsbewusster Mitarbeiter besonders wichtig.
  • Penetrationstests: Sie testen die Reaktionsfähigkeit der eigenen IT-Abwehr und tragen dazu bei, gefährdete Organisationsteile bzw. Mitarbeiter zu identifizieren und Bereiche zu ermitteln, in denen die Reaktion auf Vorfälle sich verbessern kann.

IT-Administratoren im Gesundheitswesen sind nicht nur überlastet, ihnen fehlt zudem häufig die notwendige Expertise oder die Zeit, eine solche aufzubauen. Sie kommen oft gar nicht dazu, sich mit IT-Sicherheit zu beschäftigen und auf konkrete Vorfälle zu reagieren. Eine Analyse von Anomalien im Verhalten von Endpunkten ist ihnen in der Regel erst recht nicht möglich. Hier sollte externe Unterstützung von Fachfirmen einbezogen werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Cyber-Sicherheit im Gesundheitswesen

  1. Psychodoc sagt:

    Auf der Internetseite vom Hessischen Rundfunk kann man kostenfrei einen Podcast, Staffel 2 von Cybercrime im Gesundheitswesen, in fünf Folgen hören:

    https://www.hr-inforadio.de/podcast/cybercrime/index.html

    Die Dramatik des Geschehens und die Auswirkungen auf die Patientenversorgung auf den Angriff vom Lukas-Krankenhaus, Neuss, wird dort anschaulich widergespiegelt.

  2. A. Nonym sagt:

    Da zwischen der ersten Kompromittierung und der Verschlüsselung oft Tage/Monate liegen, ist ein frühzeitiges Erkennen, z.B. mit Canary-Token, hilfreich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.