Einfache Authentif zierung im Gesundheitswesen
            Offene Standards



            sind Trumpf







            Da der Handel mit Patientendaten ein
            so lukratives Geschäft ist, gehört das
            Gesund heitswesen zu den Branchen,
            die am häuf gsten ins Visier von Cyber-             FIDO macht Schluss mit lästigen Passwörtern
            kriminellen geraten. Um sich proaktiv                  Die Verwendung des FIDO2-Authentifizierungsstandards
            gegen diese und andere Datenschutz-                 ermöglicht es, Probleme zu beseitigen, die mit einem Sicher-
            verletzungen zu schützen, sollten Unter-            heitssystem verbunden  sind,  das  auf  Passwörtern  basiert.
            nehmen auf starke Identitäts- und                   FIDO2 ist ein offener Authentifizierungsstandard, der von der
            Zugriffs kontrollen setzen, die sich naht-          FIDO Alliance betrieben wird. Zwei seiner wichtigsten Mit-
                                                                wirkenden sind Yubico und Microsoft. FIDO2 ist eine Erwei-
            los in ihre internen Prozesse einfügen              terung von FIDO U2F und bietet das gleiche hohe Maß an Si-
            und die mit einer Phishing-resistenten              cherheit auf Basis von Public-Key-Kryptografie. FIDO2 bietet
            Authentif zierung gepaart sind.                     erweiterte Authentifizierungsoptionen, einschließlich starker
                                                                Ein-Faktor- (passwortloser), Zwei-Faktor- und Multi-Faktor-
                                                                (passwortloser) -Authentifizierung.
                                                                   Durch das Ersetzen von Passwörtern mit FIDO2-fähigen
                                                                Hardware-Sicherheitsschlüsseln können nur Benutzer, die im
                                                                physischen Besitz des Schlüssels sind, auf sensible Daten zu-
                                                                greifen. Im Gegensatz hierzu könnten Kennwörter, die mehre-
                   uf dem Schwarzmarkt verdienen Kriminelle an Ge-  re Kollegen verwenden, an jedem Ort eingesetzt werden. Der
                   sundheitsdaten etwa zehnmal so viel Geld wie mit   Hardware-Sicherheitsschlüssel ist quasi der Hausschlüssel für
            A dem Verkauf von Kreditkartendaten. Um an diese    Daten. Die Authentifizierung gelingt damit einfach, schnell
            Daten zu gelangen, starten Cyberkriminelle oft gezielte Ran-  und  sicher.  Er  ersetzt  schwache  Passwörter  durch  starke
            somware-Angriffe. Meist steht am Anfang einer solchen Kam-  hardwarebasierte Authentifizierung mit Public-Key-Krypto-
            pagne eine Phishingmail.                            grafie zum Schutz vor Phishing, Session-Hijacking, Man-in-
               Das im Oktober 2020 in Kraft getretene Krankenhauszu-  the-Middle- und Malware-Angriffen. Er kann über jede USB-
            kunftsgesetz  (KHZG)  stellt  den  Organisationen  im  Gesund-  Schnittstelle und jedes kompatible NFC-Lesegerät (Near Field
            heitswesen Mittel zur Verfügung, um die Digitalisierung zu   Communication) angeschlossen werden.
            fördern und gleichzeitig die IT-Sicherheit zu erhöhen. Auf-  Außerdem  ist  es  möglich,  den  Sicherheitsschlüssel  als
            grund  des  hohen  finanziellen  Drucks  sind  Krankenhäuser   weiteren Faktor in einer Zwei-Faktor-Authentifizierung mit
            nicht ausreichend vor Cyberangriffen geschützt. Daher ge-  einer  Kombination  aus  Passwort  und  Sicherheitsschlüssel  Graf ken: ©nexusby - stock.adobe.com | ©BadBrother - stock.adobe.com
            winnen Maßnahmen zur Prävention, wie sichere Authenti-  zu verwenden. Für zusätzliche Sicherheit kann der Schlüs-
            sierungssysteme, zunehmend an Bedeutung.            sel dank FIDO2 auch für eine Multi-Faktor-Authentifizierung
               Eine der häufigsten Schwachstellen, mithilfe derer Cyber-  verwendet werden. Dies bedeutet, dass zusätzlich zum Besitz
            kriminelle Zugang zu Daten im Gesundheitswesen erhalten,   des Geräts ein PIN-Code oder eine biometrische Identifikati-
            sind schwache Kombinationen aus Benutzername und Pass-  on erforderlich ist. Unternehmen des Gesundheitswesens, die
            wort, die zur Anmeldung bei Benutzer- und Administrator-    FIDO2-fähige Sicherheitsschlüssel für ihre gesamte Organisa-
            konten verwendet werden. Diese Passwörter, die auf sensible   tion einsetzen, ermöglichen die sichere Nutzung aller Dienste
            Patientendaten zugreifen, werden oft unter Kollegen weiter-  und Anwendungen mit einem einzigen Hardware-Authentifi-
            gegeben. Darüber hinaus sind häufig aus Einfachheitsgrün-  zierungsgerät und begrenzen so das Risiko, Opfer eines Cyber-
            den Standardpasswörter im Einsatz. Vergessen Nutzer ihre   angriffs zu werden.  n
            Log-in-Daten, rufen sie den IT-Support an, was Kosten und
            Zeitaufwand in die Höhe treibt.
               Da sich Ärzte und Pfleger unzählige Male am Tag für jeden
            einzelnen Patienten, in jedem Zimmer und an jedem neuen
            Gerät anmelden müssen, brauchen sie eine einfache, prakti-         Patrick Schnell,
            sche, schnelle, sichere und bestenfalls kostengünstige Authen-     Channel Manager DACH & CEE
            tifizierungslösung.                                                 bei Yubico




      14              SPECIAL_2/2021  IT-SICHERHEIT IM KRANKENHAUS