Kritische Infrastrukturen im Fokus – Handlungsempfehlung und Intrinsic Security für Krankenhäuser

Veröffentlicht 05.05.2020 21:20

Was kritische Infrastrukturen im Gesundheitswesen jetzt tun sollten, damit die IT für die aktuellen Anforderungen gerüstet ist: In Zeiten einer Pandemie sind Krankenhäuser die vorderste Front und damit extrem unter Druck. Steigende Patientenzahlen, schwere Krankheitsverläufe, krankheitsbedingte Ausfälle beim Personal, schneller Aufbau von neuen Stationen, Geräten und Krankenhausbetten. Dies alles setzt auch die Krankenhaus-IT unter Druck, die jetzt schnell, unkompliziert und unbürokratisch handeln sollte, um das medizinische Personal so gut wie möglich zu unterstützen.

Gut aufgestellt sind Kliniken, die bereits auf eine moderne IT-Infrastruktur setzen und fortgeschritten bei der digitalen Transformation sind. Im Rechenzentrum ist eine Software-definierte Architektur der richtige Weg, um IT-Services flexibel hinzuzufügen und einfach zu verwalten. Die schnelle Bereitstellung neuer Infrastrukturen kann über Cloud-Service-Modelle realisiert werden. Laut KRITIS werden Krankenhäuser mit über 30.000 stationären Fällen als Betreiber kritischer Infrastrukturen eingestuft und gelten damit als besonders schützenswert. VMware hat eine Handlungsempfehlung für kritische Infrastrukturen nach dem branchenspezifischen Sicherheitsstandard B3S entwickelt, die Bereiche wie Netz- und Systemmanagement, Härtung und sichere Basiskonfiguration der Systeme und Anwendungen, Schutz vor Schadsoftware, Intrusion Detection / Prevention sowie sichere Authentisierung und weitere umfasst. Dieser Leitfaden gibt Krankenhaus CIOs Empfehlungen an die Hand, wie sie ihre Organisation absichern und Sicherheitsstandards einhalten.

Sicherheitsstandards auch wichtig für kleinere Krankenhäuser

Kleinere Krankenhäuser und Einrichtungen werden aktuell nicht zu den kritischen Infrastrukturen gezählt, für die solch strenge Sicherheitsregularien greifen. Allerdings sollten sich auch kleinere Einrichtungen an diesen Vorgaben orientieren, um keinen Ausfall ihrer IT-Systeme zu riskieren. Denn sensible Patientendaten sind unabhängig von der Größe der Einrichtung als besonders schützenswert einzustufen. Zumal in ländlichen Gebieten nicht immer große Einrichtungen vorhanden sind. Kommt es dort zu einem Cyberangriff, kann es in einer ganzen Region zu einem medizinischen Engpass kommen.

Bild VMWare

Intrinsic Security: ein Konzept für sichere Infrastrukturen und Medizingeräte

Ein sensibler Bereich innerhalb kritischer Infrastrukturen sind Medizingeräte, wie CT, Röntgen-, Ultraschall- oder Beatmungsgeräte. Diese sind heute meistens in irgendeiner Weise mit dem Internet verbunden. Medizinische IT-Geräte kommunizieren mit externen Wartungsservern der Hersteller, auf die die Krankenhäuser in der Regel keinen Zugriff haben. Darunter fallen Tablets, die Ärzte und Pflegepersonal bei der Visite einsetzen, ebenso wie elektronische Untersuchungsgeräte oder Navigations- und Planungssysteme für Operationen. Diese komplexen Systeme, die mit vielen weiteren technischen Komponenten im Krankenhaus abgestimmt werden müssen, sind mitunter nur sehr rudimentär abgesichert. Diese Schwäche können Hacker als Einfallstor zum gesamten Krankenhaus-Netzwerk nutzen.

Abhilfe schafft hier das Konzept der ‚Intrinsic-Security‘, einem ganzheitlichen End-to-End-Ansatz, das auf Mikrosegmentierung basiert. Durch den End-to-End-Ansatz wird durchgehende Sicherheit vom Datensatz bis zum Endgerät gewährleistet. Dabei wird durch die Segmentierung das Netzwerk in verschiedene Schutzklassen unterteilt: Neben besonders schützenswerten Patientendaten, die von außen nicht zugänglich sind, gibt es zusätzlich Schutzklassen mit mittlerem Schutzbedarf, für Verwaltungsdaten oder Abrechnungen. Die weniger kritischen Segmente sind beispielsweise das Entertainment-System in Patientenzimmern. Hinzu kommt ein spezielles Segment für Medizin-IT-Geräte, das Angreifer hindert ins Netzwerk zu gelangen.

Beim Aufbau sicherer Infrastrukturen und Schutz medizinischer IT-Geräte sollten Krankenhäuser auf bewährte Konzepte und zuverlässige Partner setzen, die viel Erfahrung im Gesundheitswesen mit sich bringen. Die Sicherheit und Zuverlässigkeit kritischer Infrastrukturen im Gesundheitswesen ist für die Gesellschaft überlebenswichtig – gerade in schwierigen Zeiten wie heute.

 

Carsten Kramschneider

Autor: Carsten Kramschneider, Manager Healthcare Germany, VMware

 

Carsten Kramschneider ist seit April 2015 verantwortlich für den Bereich Healthcare bei VMware. In dieser Position ist er für die Erschließung der vertikalen Märkte Gesundheitswesen und Health Insurance verantwortlich. Ziel ist es den Gesundheitsmarkt vom Leistungserbringer bis hin zum Kostenträger mit den Lösungen von VMware in den Bereichen Software-Defined Datacenter (SDDC), Security, Multi Cloud und End-User Computing bei der digitalen Transformation zu unterstützen.