„Das Thema IT-Sicherheit wurde zu lange vernachlässigt“

Interview

Veröffentlicht 14.04.2023 09:30, Dagmar Finlayson

Das Krankenhaus-IT Journal sprach mit Sebastian Ganschow, Director Cybersecurity Solutions Germany bei NTT Ltd. Deutschland, über die aktuelle Bedrohungslage für Krankenhäuser im Bereich Cybersicherheit.

Wie schätzen Sie die aktuelle Bedrohungslage für Krankenhäuser ein und wo liegen die Hauptschwerpunkte? Welche IT-Schwachstellen gilt es zu beheben?

Das Risiko für Krankenhäuser, Opfer eines Cyberangriffs zu werden, ist extrem hoch. Mit ihren sensiblen, besonders schützenswerten Daten sind sie in den letzten Jahren immer stärker in das Visier der Kriminellen geraten. Die Folgen einer erfolgreichen Hackerattacke sind weitreichend: Plötzlich geht bei der endoskopischen Operation am Herz der Bildschirm aus, der Kardiologe muss die OP unterbrechen. Krebspatienten können nicht mehr bestrahlt werden, weil das entsprechende Gerät nicht mehr funktioniert. Eingeschleuste Malware kann die gesamte Infrastruktur von Krankenhäusern lahmlegen. Die zunehmende Digitalisierung wird dabei zum Risikofaktor: Die meisten Kliniken verwalten mittlerweile Patienteninformationen, klinische Dokumentationen und Finanzen komplett digital. Sie übertragen Patientendaten über mobile Geräte und steuern Infusionspumpen auf Intensivstationen zentral. Einerseits vergrößert die steigende Zahl an IoT (Internet of Things)-Devices die Angriffsfläche. Eine nicht gepatchte Schwachstelle in einem einzigen Gerät reicht dann aus, um das ganze Netzwerk zu kompromittieren. Andererseits sind medizinische Systeme nicht nur miteinander, sondern auch mit dem Office-Netzwerk verknüpft – und damit doppelt gefährdet. Ein Problem der Krankenhäuser in Deutschland ist, dass sie medizinisch vielfach auf höchstem technischem Niveau arbeiten, das Thema IT-Sicherheit aber vernachlässigen – es stand einfach nicht im Fokus. Finanzielle und personelle Ressourcen sind zudem beschränkt. In der Folge fehlt es bei vielen Krankenhäusern bereits an der Basisabsicherung, etwa beim Schwachstellenmanagement oder der Netzwerksegmentierung.

Apropos Netzwerke: Wie steht es um die „Qualität“ der Netze? Ist alles in Ordnung oder müssen die Verantwortlichen dringend modernisieren?

In vielen Krankenhäusern sind die Netzwerkinfrastrukturen über Jahre gewachsen und daher ziemlich komplex geworden. Ihre Verwaltung ist deshalb aufwändig, sodass sich nicht mehr alle notwendigen Anforderungen erfüllen lassen. Moderne medizinische Geräte sind allerdings auf höhere Bandbreiten und kurze Antwortzeiten angewiesen, sie hängen quasi von Datenauswertungen und Reaktionen in Echtzeit ab. Gleichzeitig tun sich Lücken im Sicherheitskonzept auf. In der Regel ist fast die Hälfte der Netzwerkgeräte veraltet oder überflüssig, was mit enormen IT-Security- und Compliance-Risiken einhergeht. Einerseits weil die Geräte oft nicht mehr regelmäßig gepatcht werden und Schwachstellen aufweisen, die Cyberkriminelle ausnutzen können. Andererseits weil sich die alte Hardware in der Regel nicht softwaredefiniert verwalten lässt, sodass es schwerfällt, aktuelle Richtlinien durchzusetzen. Laut dem NTT Global Network Report 2022 wollen 95 Prozent der befragten Unternehmen daher gezielt in die Security-Fähigkeiten ihrer Infrastruktur investieren. Die Mehrheit hat zudem erkannt, dass IT-Sicherheit bereits bei der Netzwerkplanung beginnt und nicht erst nachträglich aufgesetzt werden sollte. Diese Ergebnisse aus der Wirtschaft sollten die Verantwortlichen in Krankenhäuser im Kopf haben.   

Welche Schritte sollten die Verantwortlichen unverzüglich einleiten bzw. als Priorität einstufen?

Wie bereits erwähnt, zeigen viele Krankenhäuser bereits bei der Basisabsicherung der IT deutliche Schwachstellen. Das betrifft allen voran das Assetmanagement, das Schwachstellenmanagement, das Lifecycle-Management, die Netzwerksegmentierung sowie das Erkennen und Reagieren auf Angriffe. Die notwendigen Maßnahmen dafür sollten mit Priorität angegangen werden. Im ersten Schritt müssen Kliniken sich zunächst einmal einen Überblick über die Komponenten und Prozesse ihrer IT- und Medizintechnik-Landschaft verschaffen: Welche Geräte sind mit dem Netzwerk verbunden? Wer hat welche Rechte? Die daraus resultierende Transparenz ist die Basis dafür, um potenzielle Risiken für Systeme, Daten und Prozesse zu erkennen und bewerten zu können. Die Software der Geräte muss zudem stets auf dem neuesten Stand sein. Ganz wichtig ist es deshalb, regelmäßige Updates und Patches zu installieren, um unnötige Sicherheitslücken zu schließen. Ein permanentes Monitoring der Systeme über moderne und im Idealfall auf Basis von Künstlicher Intelligenz operierender Systeme ist ebenfalls sinnvoll. Eine Segmentierung des Netzwerks in getrennte Bereiche für die klassische Office-IT, das Patienten-Management-System und den OP-Bereich hilft wiederum, die weitere Ausbreitung von Angriffen zu verhindern – auch das WLAN für Patienten und Besucher hat nichts im zentralen Netz zu suchen. Darüber hinaus sollten die Zugriffsrechte von Ärzten, Pflegekräften, Patienten, Besuchern oder Studenten an Unikliniken durch Lösungen für Identity und Access Management (IAM) verwaltet und am besten durch eine Zwei-Faktor-Authentifizierung ergänzt werden. Moderne Lösungen kennen auch einen Conditional Access, also eine risikobasierte Authentifizierung und Autorisierung, bei der sie den Kontext der Zugriffsanfrage berücksichtigen. Sensible Daten sollten darüber hinaus immer verschlüsselt werden. Neben dem Patchen von bekannten Schwachstellen ist eine durchgängige Backup- und Restore-Strategie ein kritischer Erfolgsfaktor. Durch gute Ansatzpunkte für einen Wiederanlauf macht sich ein Krankenhaus weniger erpressbar. Mindestens genauso wichtig sind das Aufsetzen und Einüben eines Incident-Response-Plans. Über Angriffssimulationen können die Pläne detailliert in einzelnen Schritten getestet werden. So fühlen sich in einem wirklichen Angriffsfall alle im Krankenhaus deutlich sicherer bei wichtigen Entscheidungen. Grundsätzlich gilt: Kliniken sollten kontinuierlich ihren Sicherheitsstatus prüfen. Cybersecurity nebenher ist in der digitalen Welt von heute nicht mehr möglich.

Sebastian Ganschow, Director Cybersecurity Solutions Germany bei NTT Ltd. Germany

Welche Handlungsempfehlung können Sie geben?

Auf Ebene des Krankenhausmanagements ist über das Bewusstsein für die Verantwortung hinweg eine Erkenntnis entscheidend: Cybersecurity kann aufgrund der professionellen Angriffe nicht länger nebenbei bewältig werden. Die IT-Mitarbeiter haben einfach keine Zeit, parallel zum Tagesbetrieb Cyber-Abwehrsysteme zu implementieren und alle Risiken im Blick zu behalten. Ohne Zuteilung eines ausreichenden Budgets und personelle Ressourcen ist diese Schlacht nicht zu führen. Krankenhäuser müssen unbedingt dedizierte Verantwortliche für den Bereich IT-Sicherheit benennen, die genügend Erfahrung haben. Oftmals fehlt es aber genau an diesen Mitarbeitern, weshalb es sinnvoll ist, sich externe Unterstützung zu holen. Mit erfahrenen Beratern kann man die dringendsten Handlungsfelder identifizieren und vor allem auch Bereiche aufzeigen, über die Krankenhäuser sehr schnell ihre Schutzmauer gegenüber Cyberkriminellen verbessern kann.

Wie kann „Security Awareness“ gestärkt werden?

Die Stärkung der Security Awareness ist extrem wichtig. Ärzte und Pfleger vernachlässigen im hektischen Klinikalltag oft grundlegende Sicherheitsmaßnahmen. Da kleben Passwörter noch immer an Bildschirmen oder der Unterseite der Tastatur und sind damit leicht zugänglich für jeden. Ärzte sperren den Computer nicht, wenn sie das Behandlungszimmer wechseln. Krankenschwestern lassen Tablets mit Daten auf ihren Wagen im Gang liegen, während sie im Zimmer einem Patienten helfen. Um diese Einfallstore für Cyberkriminelle zu schließen, sollten Krankenhäuser ihre Mitarbeiter in regelmäßigen Awareness-Trainings für das Thema Sicherheit sensibilisieren sowie über mögliche Gefahren und Gegenmaßnahmen aufklären. Selbst Profis haben oft Mühe, Phishing-Mails und andere Angriffe zu erkennen. Security-Awareness-Trainings helfen, dass die digitale Hygiene genauso selbstverständlich wird wie das Tragen eines Mund-Nasen-Schutzes. Gerade Schulungen mit Live Hack verdeutlichen Mitarbeitern eindrucksvoll, wie leicht es die Kriminellen mitunter haben. Sinnvoll können auch spezielle Awareness-Monate sein, in denen ein besonderer Fokus auf das Thema IT-Sicherheit gelegt wird. Fakt ist: Jeder Mitarbeiter ist ein wichtiger Teil einer erfolgreichen Sicherheitsstrategie. Wenn allerdings Security nicht fest verankert im Bewusstsein der Geschäftsleitung ist, verpuffen die Maßnahmen aber gerne.

Die Personaldecke in der IT ist normalerweise dünn. Wie können Krankenhäuser & Co. ihre Cybersicherheit trotzdem stärken und gleichzeitig ihre IT modernisieren?

Die vorhandenen IT-Teams sind in der Regel viel zu sehr mit dem Tagesbetrieb ausgelastet, als dass sie sich um die zunehmenden und immer raffinierter werdenden Cyberbedrohungen mit der notwendigen Priorität kümmern können. Krankenhäuser sollten deshalb zuverlässige Partner einbinden und Managed Services einsetzen, wo immer es regulatorisch möglich ist. Spezialisierte IT-Dienstleister helfen bei der Implementierung der unterschiedlichen Technologien oder stellen diese gleich als Managed Service bereit. Ein solcher Managed Security Service Provider bringt die Sicht auf globale Bedrohungen mit und schützt das Krankenhaus schneller und zielgerichteter. Die Fachleute in der Krankenhaus-IT wiederum können sich auf die Aspekte konzentrieren, die für ihre Organisation wichtig sind.

Symbolbild: FLY:D (Unsplash)


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Lesen Sie hier die neuesten Beiträge

Nachlese Sommercamp in der Schweiz
ENTSCHEIDERFABRIK
Entscheider
Diese Webseite verwendet Cookies.   Mehr Info.      oder