Klinik-WLAN: Abfluss von sensiblen Daten?

WLAN

Veröffentlicht 01.08.2022 08:00, Kim Wehrs

Das öffentlich zugängliche WLAN vieler Unternehmen erlaubt es Mitarbeitern und Gästen, mit ihren Privatgeräten auf sensible Firmendaten zuzugreifen. Auch in vielen Bereichen von Kliniken ist inzwischen WLAN für die Nutzung durch Patienten verfügbar und freigegeben. Das öffentliche WLAN ist ein potenzielles Einfallstor.

Den Untersuchungsergebnissen zufolge betreiben 75 Prozent der deutschen Unternehmen einen separaten WLAN-Zugang für Gäste sowie für die Privatgeräte ihrer Mitarbeiter. Geschäftspartner und Kunden mit einem Internetzugang zu versorgen, ist oftmals üblich. Auch die eigenen Mitarbeiter schätzen die Möglichkeit, ihr mobiles Datenvolumen am Arbeitsplatz schonen zu können. Bedenkt man, dass viele dieser Gäste-WLANs nur mit schwachen oder gar keinen Passwörtern gesichert sind, besteht hier eine nicht zu unterschätzende Gefahr für die Datensicherheit. (1)

In den Klinik-Bereichen, in denen WLAN für Patienten zur Verfügung steht, wird oftmals ein WLAN mit der SSID Klinik-Hotspot ausgesendet. Dieses Netz ist nicht verschlüsselt. Problematisch wird es, wenn dieser quasi öffentliche Zugang zum internen Netz den Zugriff auf sensible Arbeitsdaten ermöglicht. Erstaunliche 39 Prozent der Befragten gaben an, dass sie über das Public WLAN auf solche sensible Unternehmensdaten zugreifen können. Jeder Server, jedes Netzlaufwerk oder sonstiges mit dem Firmennetz verbundenes Speichermedium kann – ohne dedizierte Sicherheitsmaßnahmen – von unberechtigten Dritten eingesehen werden. 35 Prozent nutzen diese Gelegenheit, navigieren mit ihren privaten Endgeräten in den firmeneigenen Systemen und greifen regelmäßig auf Arbeitsdateien zu. Mit 75 Prozent am häufigsten sind private Smartphones über das Firmen-WLAN mit dem Unternehmensnetz verbunden. Auf Platz zwei befinden sich mit 54 Prozent private Laptops, dicht gefolgt von Tablets mit 49 Prozent. Erstaunliche 11 Prozent der Befragten gaben darüber hinaus an, dass sich auch Videospielkonsolen im Firmennetz befinden.

Die Netzwerkinfrastruktur einer Krankenhausumgebung unterscheidet sich stark von einer Büroumgebung. Anders als die Büroumgebung ist der Großteil des Krankenhauses ein öffentlicher Raum. Das bedeutet eine Vielzahl von Patienten, Mitarbeitern, Besuchern und anderen Nutzern bewegt sich jeden Tag in der Einrichtung und nutzt das Netzwerk. Auch muss die Zuverlässigkeit und Sicherheit des Netzwerks in Gesundheitseinrichtungen noch mehr im Fokus stehen als in Unternehmensumgebungen. Im Gesundheitswesen kann die Verfügbarkeit von Applikationen für Patienten überlebenswichtig sein. Außerdem gibt es eine Vielzahl an Diensten und Applikationen mit unterschiedlichen Anforderungen an das Netzwerk. Im Bereich der Sicherheit der Patientendaten sind verschiedenste Zertifizierungen und Regularien einzuhalten. Amateurhaft und dilettantisch handelt, wer WLAN in Gesundheitseinrichtungen für einen vernachlässigbaren Punkt ansieht, der für die „Bespaßung“ wichtiger Patienten eine Rolle spielt.

Anforderungen an die Netzwerkinfrastruktur sind diffizil. Es geht um mobile Medizintechnik, um die Überwachung der Vitaldaten von Patienten, den Datenfluss von mobilen Monitorsystemen ins KIS (Krankenhausinformationssystem) – und allem voran um die moderne digitale Visite. In einem Krankenhaus herrscht eine große Endsystemvielfalt: mobile Ultraschall- und Röntgengeräte oder CTGs, Vitaldatenmonitoring, Zugangskontrolle, Alarmsysteme und Gebäudesicherheit, Zufahrtssteuerung, Videoüberwachung, mobile Disposition von Krankentransporten sowie Patientensysteme und -logistik sind nur einige Beispiele. Auch IoTGeräte sind aus einem modernen Krankenhaus nicht mehr wegzudenken. Sie sind ins Netzwerk eingebunden, kommunizieren miteinander und können durch unkontrollierte Einbindung und eine nicht überwachte Umgebung ein Sicherheitsrisiko und Einfallstor für Hacker darstellen.

Das Problem dieser Sicherheitsrisiken liegt u. a. an einer fehlenden Segmentierung: Eine Schätzung von Gartner zufolge sind nur 5 % aller im Netzwerk implementierten Geräte segmentiert. Auch geben 61 % der IT-Administratoren an, dass sie nicht sicher sind, jedes mit ihrem Netzwerk verbundene Endgerät zu kennen. Laut Unit 42 laufen 83 % der medizinischen Bildgeber unter veralteter Software (3). Die Krankenhaus-IT ist zum beliebten Ziel für Cyberkriminalität geworden – 64 % der befragten Krankenhäuser in Deutschland wurden bereits Opfer eines Hackerangriffs, so die Roland Berger Krankenhausstudie 2017. (4)

Abfluss von sensiblen Daten

Ohne wasserdichte IT-Sicherheitsmaßnahmen kann sich ein schweres Datenleck öffnen oder das gesamte Netz wird durchunentdeckte und unwissentlich eingeschleuste Malware kompromittiert. Ohne einen umfassenden Überblick der unregistrierten „Passanten“ kann ein Abfluss von sensiblen Daten kaum ausgeschlossen werden. Ebenso verheerend ist es, wenn sich kriminelle Hacker gezielt über Sicherheitslücken in selten oder gar nicht gepatchten Konsolen oder anderen IoT-fähigen Geräten (Smartwatches etc.) Zugang zum Netz verschaffen. Bedenkt man, dass 34 Prozent der Befragten derzeit hybrid arbeiten und 45 Prozent davon ausgehen, in einem halben Jahr hybrid zu arbeiten, müssen Arbeitgeber und IT-Sicherheitsverantwortliche diesen Missstand so bald wie möglich adressieren und ihre IT-Sicherheitsmechanismen eingehend überprüfen. Eines der vorrangigen Probleme ist eine fehlende Sichtbarkeit aller mit dem Netz verbundenen Endgeräte. Die Nagelprobe lautet:

■ Sehe ich alle Endgeräte im Firmennetz?
■ Sind diese Geräte mit den aktuellen Sicherheitspatches versorgt?
■ Weiß ich, wer sich hinter Anfragen auf Firmendaten verbirgt und kann ich unrechtmäßigen Zugriff verhindern? 

Nur wer diese Fragen mit „ja“ beantworten kann, sollte sein Öffentliches WLAN weiterbetreiben. Alle anderen sollten dieses offene Tor vorerst deaktivieren und ihre IT-Sicherheitsstrategie auf den Prüfstand stellen. Verantwortungsbewusste Kliniken wissen um die Risiken beim WLAN im Klinikumfeld. Sie formulieren daher mit Blickgerade auf Patienten-Nutzer Vorsichtsmaßnahmen, etwa einen Haftungsausschluss. „Wir weisen darauf hin, dass es sich um einen beschränkten „öffentlichen Zugang“ für einen WLANHotSpot handelt. Von Aktivitäten im WLAN wie z. B. Online-Banking, E-Mails und Übermittlung vertraulicher Informationen raten wir ab. Sie handeln hierbei auf eigene Gefahr und Risiko. Im Internet sind grundsätzlich keinerlei Maßnahmen zur Sicherstellung der Integrität, Vertraulichkeit und Authentizität der übertragenen Daten, der Kommunikation und der Kommunikationspartner an sich vorgesehen und realisiert. Die Auswahl und die Anwendung von geeigneten Datensicherheits und Datenschutzmaßnahmen sind im Internet also jedem Teilnehmer selbst überlassen.“ (4)

(1) Tanium.com
(2) Palo Alto Networks und Forschungsteam UNIT 42, „IoT Threat Report 2020“
(3) Roland Berger Krankenhausstudie 2017
(4) Kliniken im Theodor-Wenzel-Werk


Quelle: Krankenhaus-IT Journal, Juni Ausgabe 03/2022


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Fünf No-Code-Trends in 2023
IT-Sicherheit & Kritis
Ausblick
10 Beiträge für ein sichereres Internet der Dinge
IT-Sicherheit & Kritis
IT-Sicherheit

Lesen Sie hier die neuesten Beiträge