1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. KRITIS oder nicht: Krankenhäuser zeigen sicherheitstechnische Schwachstellen

KRITIS oder nicht: Krankenhäuser zeigen sicherheitstechnische Schwachstellen

KRITIS

Veröffentlicht 02.07.2021 08:40, kiw

Das deutsche Sicherheitsforschungsunternehmen Alpha Strike Labs hat Cyber-Angriffe auf Krankenhäuser als Anlass genutzt, um die öffentlich über das Internet erreichbaren Netzwerkdienste auf Schwachstellen zu untersuchen. Ein Drittel der analysierten Krankenhäuser weist Schwachstellen auf. Werden diese systematisch von Cyberkriminellen missbraucht, kann das zu einem nationalen Sicherheitsrisiko werden.

Die Anzahl der Sicherheits-Schwachstellen steigt proportional mit der Anzahl der Betten je Krankenhaus. Dies ist zu erwarten, denn eine zunehmende Größe eines Krankenhauses führt zu mehr Abteilungen, mehr IT-Systemen und erhöhter Komplexität und somit meist auch zu mehr Schwachstellen. Jedoch würde man meinen, dass Krankenhäuser mit mehr als 30.000 vollstationären Behandlungen im Jahr und somit in die KRITIS-Verordnung fallen, besser aufgestellt sind als Krankenhäuser, die nicht unter die KRITIS-Verordnung fallen. Eine Analyse von  Alpha Strike Labs zeigt allerdings ein gegenteiliges Ergebnis. Demnach ist die Mehrheit der größeren KRITIS-Krankenhäuser sicherheitstechnisch nicht besser aufgestellt sind als die nicht KRITIS-Krankenhäuser.

Zwar mag es sich bei vielen der verwundbaren Systeme wahrscheinlich eher um weniger wichtige oder vergessene Legacy-Systeme handeln. Doch gerade diese nicht beachteten Systeme werden von Angreifern als Eintrittsvektor in das Netzwerk genutzt. Um dies zu verhindern, empfiehlt es sich ein Netzwerk in verschiedene Sicherheitssegmente aufzuteilen. So wie die Schottsegmente in der Schifffahrt, ermöglichen verschiedene Sicherheitssegmente einen Angriff auf einen lokalen Teil eines Netzwerkes begrenzt werden. Oft wähnen sich Unternehmen sicher, wenn Sie eine § 8a Prüfung gemäß BSI-Gesetz oder eine ISO27001 Zertifizierung durchlaufen haben. Die Praxis zeigt, dass bei diesen Prüfungen oft nur die Papierdokumentation der Sicherheitsprozesse überprüft werden. Technische Prüfungen von z.B. Firewall- und Routerkonfiguration oder Aktualität der letzten Security-Patches für eingesetzte Netzwerkkomponenten und Serverbetriebssysteme oder -applikationen werden oft nicht durchgeführt. Neben technischen Maßnahmen fehlen häufig auch ausreichende Personalressourcen und grundlegende gelebte Prozesse, die für ein gut funktionierendes Asset-, Patch- und Schwachstellenmanagement notwendig sind.

Viele Organisationen wissen gar nicht, welche ihrer Systeme im öffentlichen Internet erreichbar sind. Mit der OSINT Plattform, die auch für die Erstellung der Studie verwendet wurde, kann hier sehr schnell Transparenz geschafft werden, um mögliche Ziele von Angreifern fernzuhalten.


Foto: Adobe Stock / greenbutterfly


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser
IT-Sicherheit & Kritis
Video

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz
IT-Sicherheit & Kritis
Studie

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen
IT-Sicherheit & Kritis
"Gegenstand der Informationstechnologie"

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht
IT-Sicherheit & Kritis
DOS

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen
IT-Sicherheit & Kritis
2FA

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen

Cyberagentur vergibt Vorstudie nach Berlin
IT-Sicherheit & Kritis
Studie

Cyberagentur vergibt Vorstudie nach Berlin

Lesen Sie hier die neuesten Beiträge

Warehouse-Management im Krankenhaus
IT-Management
KIS

Warehouse-Management im Krankenhaus

Neue Studie beleuchtet Einstellungen zur elektronischen Patientenakte und zur Datenspende für die Forschung
Digitalisierung
ePA

Neue Studie beleuchtet Einstellungen zur elektronischen Patientenakte und zur Datenspende für die Forschung

DigitalRadar Krankenhaus - Evaluation des Reifegrades zweite Runde
Digitalisierung
Radar

DigitalRadar Krankenhaus - Evaluation des Reifegrades zweite Runde

Diese Webseite verwendet Cookies.   Mehr Info.      oder