IT-Sicherheitsprobleme im Gesundheitssektor bekämpfen

Hacker

Veröffentlicht 24.06.2020 14:00

Daten im Gesundheitswesen sind besonders sensibel. Cyberkriminelle, die nach der unwiderstehlichen Kombination aus wertvollen Informationen und anfälligen Sicherheitssystemen suchen, finden in Gesundheitseinrichtungen oft exzellente Ziele. Um das Risiko einzudämmen, sind Vorkehrungen erforderlich, zu denen starke Authentifizierungsverfahren, Mitarbeiterschulungen und Mitarbeiterkommunikation zählen. Zudem müssen die IT-Sicherheitsmaßnahmen auch auf die Wertkette der Einrichtungen ausgedehnt werden.

Die Computersysteme im Gesundheitswesen speichern sensible Daten und helfen den Einrichtungen, ein gleichbleibendes Versorgungsniveau für die Patienten zu gewährleisten. Das macht den Sektor zu einem Hauptziel für Erpressungsversuche. Im Jahr 2017 wurden mit der Schadsoftware WannaCry Tausende von Computern auf der ganzen Welt angegriffen, unter anderem auch in Deutschland. Einige Computersysteme wurden lahmgelegt, und die Hacker verlangten Lösegeldzahlungen, um die verschlüsselten Daten freizugeben. Wie verheerend Ransomware allgemein für den Healthcare-Sektor ist, zeigte auch ein Fall, der sich gut ein Jahr vor WannaCry ereignete. Damals wurde die IT des Lukaskrankenhauses in Neuss durch eine Infektion komplett lahmgelegt. Der Schaden belief sich auf gut eine Million Euro.

 

E-Mails als Einfallstor für Hacker

Phishing, bei dem sich ein Cyberkrimineller als legitime Organisation oder Person ausgibt, um ein Opfer zu unvorsichtigen Handlungen zu verleiten, ist eine gängige Form des Angriffs auf Einrichtungen in Branchen aller Art. Häufig werden dabei E-Mails als Einstiegspunkt benutzt, die Links zu gefälschten Websites oder schadhafte Anhänge enthalten.

Gerade im Gesundheitswesen sind solche Angriffe besorgniserregend, da sie E-Mail-Konten kompromittieren können, die zum Austausch hochsensibler Daten verwendet werden. Wenn die E-Mail-Anmeldedaten eines Mitarbeiters im Gesundheitswesen – Benutzername und Passwort – gestohlen oder offengelegt werden, können Kriminelle sie verwenden, um sich Zugriff auf Patientendaten zu verschaffen.

Healthcare-einrichtungen müssen deshalb robuste Sicherheitsvorkehrungen treffen, um das Risiko von kompromittierten E-Mail-Konten, Datenschutzverletzungen und anderen Cybersicherheitsvorfällen zu minimieren. Dabei ist zu beachten, dass die Sicherheitsmaßnahmen alle Aspekte – Menschen, Prozesse und Technologien – abdecken müssen:

  1. Praktiken und Verfahrensweisen - Starke Authentifizierungsverfahren schützen den Zugriff auf Anwendungen, Systeme und Daten
  2. Kommunikation mit dem Personal und anderen wichtigen Akteuren - Regelmäßige Aktualisierungen und Hinweise auf sicheres Verhalten; obligatorische Maßnahmen, sobald die Sicherheit gefährdet ist
  3. Beziehungen zu Dienstleistern - Cyberkriminelle können jedes schwache Glied in einer Wertkette ausnutzen, um sich Zugriff auf ein Ziel zu verschaffen. So konstatiert Osterman Research: „Enge Beziehungen zwischen den Einrichtungen in einem Gesundheits-Ökosystem können dazu führen, dass das gesamte Ökosystem kompromittiert wird.“i
  4. Schulungen - Einführungstraining, regelmäßige Auffrischungen und Zusatzschulungen für sämtliche Mitarbeiter sowie unter Umständen andere Beteiligte

Stärkere Authentifizierung für mehr Sicherheit

Die Verfahren, mit denen die Mitarbeiter ihre Identität nachweisen, um auf ihre E-Mails, andere cloudbasierte Anwendungen und Computersysteme zugreifen zu können, sind ein Haupteinfallstor für Angreifer. Deshalb ist Multi-Faktor-Authentifizierung (MFA) für alle Unternehmen und Organisationen unerlässlich, die ihre Mitarbeiter und Assets vor Phishing-Attacken und anderen Angriffen schützen wollen, deren Ziel die Entwendung von Anmeldedaten ist.       

Bei MFA müssen die Benutzer mehr vorweisen als nur etwas, das sie kennen (Benutzername/Passwort). Beispielsweise etwas, das sie haben, wie ein physisches Authentifizierungsmittel, und/oder etwas, das sie sind – etwa in Form eines Fingerabdrucks, Iris-Scans oder eines anderen biometrischen Identifikators.

Die stärkste Authentifizierungsoption ist ein Sicherheitsschlüssel, der bei den Anwendungen und Diensten registriert werden kann, die die Mitarbeiter nutzen. Mitarbeiter brauchen hierbei jedes Mal den Sicherheitsschlüssel, wenn er sich bei einer Anwendung anmelden will, die dadurch besser geschützt ist als nur durch Benutzername/Passwort. Der Sicherheitsschlüssel ist etwas, das der Mitarbeiter hat, zusätzlich zu dem, was er kennt. Da die Authentifizierung also nicht mehr nur auf dem beruht, was der Benutzer kennt – und was bei einem Phishing-Angriff gestohlen werden kann – wird die Sicherheit deutlich erhöht.

Ein Beispiel dafür ist die neue Generation von Geräten, die auf dem globalen Authentifizierungsstandard FIDO2 basieren. Dieser Standard ermöglicht den Benutzern, abgesicherte Geräte zur Authentifizierung bei Desktop- und Web-Diensten zu verwenden. FIDO2 selbst wird etwa in Großbritannien bereits als fester Bestandteil des neuen, sicheren Authentifizierungsdienstes NHS Identity genutzt. Dieser steht Angehörigen der Gesundheits- und Pflegeberufe in England für den Zugang zu nationalen klinischen Informationssystemen zur Verfügung. Er ist Teil ihrer Authentifizierungs-Roadmaps, die der neuen Ära der hardwaregestützten Authentifizierung Rechnung tragen.

Robuste IT-Sicherheitsmaßnahmen sind für Unternehmen und Organisationen in allen Bereichen unerlässlich. Gesundheitseinrichtungen sind aber ein besonders attraktives Ziel für Cyberkriminelle, da sie hochsensible – und damit wertvolle – Daten speichern und verarbeiten. Um das Risiko von Datenverstößen und anderen Kompromittierungen zu verringern, sollten Einrichtungen im Healthcare-Sektor klare und wirksame Sicherheitsverfahren sowie starke Authentifizierungsmethoden etablieren. Dieser Ansatz sollte durch regelmäßige Kommunikation und Schulungen unterstützt werden, damit die Cybersicherheit nicht nur in der Praxis umgesetzt wird, sondern auch zur Grundlage einer IT-Sicherheitskultur innerhalb und außerhalb der Organisation wird.

 

[i] Osterman Research: Cyber Security in Healthcare, Februar 2020
[ii] NHS Digital: Authentication Service, September 2019

Autor: Alexander Koch, VP Sales DACH and CEE bei Yubico


Lesen Sie mehr zum Thema "IT-Sicherheit"

Berechtigungen dürfen nicht kränkeln
IT-Sicherheit
Datenschutzrechtlichen Risiken im Krankenhaus begegnen

Lesen Sie hier die neuesten Beiträge