Netzwerksicherheit ist durch Zugriff Dritter gefährdet

Security

Veröffentlicht 16.04.2025 04:00, Dagmar Finlayson

Wie Unternehmen lassen auch Kliniken Externe auf das Netzwerk zugreifen. Das muss so sein, im Sinne optimaler Behandlungskette und kostenschonender Verwaltungsprozesse. Probleme für die IT-Sicherheit entstehen dann, wenn das Access-Management mangelhaft ist. Wo genau die Schwachstellen liegen, zeigt eine aktuelle Studie.

Ende 2024 haben das Ponemon Institut und Imprivata ihre internationale Studie zur „Gefahrenquelle Lieferkette“ abgeschlossen. Die Ergebnisse sind mindestens ernüchternd: Mehr als die Hälfte der 573 deutschen Teilnehmenden aus verschiedenen Branchen war bereits Opfer von Angriffen aus der Lieferkette. Die Studie legt detailliert die Schwachstellen der Zugriffsverwaltung offen. Sie sind, auch wenn die Umfrage für das Gesundheitswesen nicht repräsentativ ist, eins zu eins auf die Klinik-IT übertragbar.

Die Einbindung Externer in das Krankenhaus-Netzwerk ist gang und gäbe. Beleg-Ärztinnen und -Ärzte, Labore und andere Beteiligte der Behandlungskette sollen im Sinne einer optimalen Patientenversorgung zum Beispiel Dokumente hoch und runterladen können. Doch das erste grundsätzliche Problem besteht schon darin, dass externe Anwender und Applikationen operativ disziplinarisch entkoppelt sind. IT-Sicherheitsverantwortliche haben keine Möglichkeit, die Umsetzung notwendiger sicherheitsrelevanter Maßnahmen durchzusetzen. Sie können die Einhaltung der Richtlinien für digitale Identitäten, mit denen der Zugriff auf IT-Netzwerke geregelt wird, nicht erzwingen. Hinzu kommt: 58 Prozent aller deutschen Befragten gab an, keine einheitliche Strategie für die Verwaltung von Zugängen und Berechtigungen für Externe zu haben.

Es ist zu viel erlaubt

Dieses Defizit hat Folgen: 51 Prozent der Befragten sagten, dass ihre Organisation in den letzten zwölf Monaten von einer Datenverletzung oder einem Cyberangriff betroffen war, bei dem aus der (vertrauten) Infrastruktur eines Lieferanten oder anderer Externer auf die eigene IT-Infrastruktur zugegriffen wurde. Die Ursache dafür sahen 34 Prozent darin, dass Externen zu weitreichende Zugriffsrechte eingeräumt waren.

Keine Zeit für Überwachung

Immerhin gaben 56 Prozent der Befragten an, dass ihre Organisation über eine umfassende Dokumentation aller dritten Parteien mit Zugriff auf das Netzwerk verfügt. Keine oder mangelhafte Dokumentation führten die Befragten auf fehlende Ressourcen für die Überwachung von Drittanbietern (45 Prozent) und fehlende zentrale Kontrolle über die Beziehungen zu ihnen (37 Prozent) zurück. Ohne Dokumentation ist nicht klar, was Externe mit ihrem Zugang tun. Diese mangelhafte Kontrolle erschwert schließlich die Diagnose, wer im Schadensfall zum Beispiel Daten kompromittiert hat.

VPAM-Lösungen mehrheitlich im Einsatz

Was sind die beiden wichtigsten operativen Maßnahmen für die IT-Sicherheit bei Zugriffen Dritter? Die Zugänge (Konten und Berechtigungen) müssen dokumentiert verwaltet und die Aktivitäten von externen Anwendern und Systemen müssen überwacht werden. Die Überwachung der Systeme ist dabei allerdings kritisch zu bewerten, da sie auch ohne bewusste oder aktive Benutzerinteraktion aktiv sein können.

Die gute Nachricht: 77 Prozent der Befragten bejahten, dass ihre Organisation über eine Vendor-Privileged-Access-Management-Lösung verfügt. Mit einer VPAM-Lösung lässt sich regeln, wie der Zugriff eines Externen erfolgen darf und welche Rechte er im Netzwerk hat. Allerdings sind nur 52 Prozent dieser Gruppe davon überzeugt, dass ihre VPAM-Lösung den Missbrauch von privilegierten Zugängen wirksam verhindert.

Compliance-Regeln zu komplex

Die Ursachen, dass trotz VPAM-Lösungen und gutem Willen in Organisationen die Zugriffe durch Externe nicht ausreichend verwaltet und überwacht werden, liegen darin, dass sich IT-Abteilungen damit überfordert fühlen und die Ressourcen zusätzlich belastet werden. Das gaben 38 Prozent der Befragten aus Deutschland an. Sie sagten weiterhin aus, dass die größten Hindernisse bei der Verringerung der Zugriffsrisiken durch Externe in der fehlenden Kontrolle oder Steuerung (47 Prozent), der Komplexität der Compliance- und gesetzlichen Anforderungen (59 Prozent) und den unzureichenden Ressourcen oder Budgets (27 Prozent) liegen.

Ungeprüfte Dritte

62 Prozent gaben an, dass ihre Organisation die Sicherheits- und Datenschutzpraktiken Dritter nicht bewertet, bevor es den Zugriff auf sensible oder vertrauliche Daten einräumt. Als Gründe dafür nannten 62 Prozent, dass ihre Organisation darauf vertraut, dass Dritte Informationen schützen. 61 Prozent räumten ein, dass es auch an Ressourcen zur Überprüfung und Verifizierung fehlt.

Im Gegensatz dazu sagten 62 Prozent der Befragten, dass sie interne Mitarbeiter hingegen einer gründlichen Überprüfung unterziehen, ehe sie Zugriffsrechte vergeben. Organisationen scheinen also strengere Regeln für die Bewertung interner Benutzer anzuwenden als für Externe. Dies könnte eine Erklärung dafür sein, warum fast die Hälfte aller Befragten der Meinung ist, dass der Fernzugriff durch Dritte die größte Angriffsfläche ist.

Mit Zero-Trust Sicherheitslücken schließen

Die Aufgabe für die IT-Sicherheit besteht nun darin, sicherzustellen, dass Maßnahmen und Tools strategisch und konsequent angewandt werden - für alle privilegierten Zugriffsanforderungen. Die Zugriffssicherheit muss sowohl für interne Benutzer als auch für Dritte transparent, dokumentiert und effektiv geregelt werden. Um den Zugriff von Festangestellten und Externen differenziert zu regeln, dienen rollenbasierte Zugangskonzepte, Zero-Trust-Konzepte mit Zugriffsmanagement und Multifaktor-Authentifizierung.

[Über die Studie]

Das Ponemon Institut befragte Ende 2024 1.942 IT- und IT-Sicherheitsverantwortliche in den USA (733), Großbritannien (398), Deutschland (573) und Australien (238), die mit der Verwaltung von privilegierten Zugängen sowohl von Dritten als auch von internen Benutzern in ihren Organisationen vertraut sind. Die Befragten gehören Organisationen und Unternehmen aus folgenden Branchen an: Gesundheitswesen (11 Prozent), der öffentliche Sektor (23 Prozent), Industrie und Fertigung (32 Prozent) sowie Finanzdienstleistungen (34 Prozent).

Autor:

Dirk Wahlefeld, Manager Unimate Tech Services bei der Imprivata GmbH


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Lesen Sie hier die neuesten Beiträge

Diese Webseite verwendet Cookies.   Mehr Info.      oder