Sailpoint_SL.jpg
Sicherheit und Nutzerfreundlichkeit zusammengedacht – moderne Identity Security-Lösungen für die Gesundheitsbranche
Category : IT-Sicherheit & Kritis
Published by Kim Wehrs on 09.09.2022 10:20

Mehr und mehr Einrichtungen der Gesundheitsbranche leiden unter Cyberangriffen. Die Zahl der unberechtigten Zugriffe auf IT-Infrastrukturen, Daten und Gerätschaften des Internet of Medical Things, sie steigt seit Jahren. Ein Ende dieser besorgniserregenden Entwicklung ist derzeit kaum abzusehen. Eine zentrale Ursache: Viele Unternehmen aus dem Healthcare-Bereich haben die digitalen Identitäten ihrer Mitarbeiter, Partner und Zulieferer – und damit deren Zugangs- und Zugriffsrechte – nicht ausreichend im Griff. Leicht – zu leicht – können sich Unberechtigte Zugang zu und Zugriff auf die IT, auf Hard- und Software sowie auf die Daten eines Krankenhauses, einer Arztpraxis oder auch einer Apotheke verschaffen. Mit weitreichenden Folgen. Erinnert sei hier nur an den 2020 verübten Cyberangriff auf das Uniklinikum Düsseldorf, in dessen Folge eine Patientin verstarb. Auch der medizinische Arbeitsalltag leidet. Im Regelfall wird dem medizinischen Personal mit traditionellem Identity Management der Zugriff auf Infrastruktur, Geräte und Daten eher erschwert als erleichtert. Dabei existieren längst moderne Identity Security-Lösungen, die in der Lage sind, Sicherheit und Nutzerfreundlichkeit erfolgreich zusammenzudenken.

Zu Beginn des vergangenen Jahres kamen die IT-Dienstleister Alpha Strike Labs, Limes Security und die Universität der Bundeswehr München in der Studie Epidemic? The attack surface of German hospitals during the COVID-19 pandemic zu dem Ergebnis, dass knapp ein Drittel aller deutschen Krankenhäuser derzeit signifikante Sicherheitsschwachstellen in der hauseigenen IT zu beklagen hat.

Eine zentrale Ursache für ihre erhöhte Angreifbarkeit: die zu schwache Aufstellung ihrer Identity Security. Je mehr digitale Identitäten nur schlecht oder gleich gar nicht erfasst, kontrolliert, gemanagt und abgesichert werden, umso leichter haben es Angreifer, mit ihnen – nachdem sie sie gekapert haben – Schäden im System anzurichten oder Daten zu entwenden. Der diesjährige Bericht der Identity Defined Security Alliance (IDSA) 2022 Trends in Securing Digital Identities spricht hier eine mehr als deutliche Sprache. 84 Prozent der befragten Unternehmen gaben darin an, im vergangenen Jahr Opfer einer identitätsbezogenen Sicherheitsverletzung geworden zu sein. 96 Prozent dieser Sicherheitsverletzungen, so der Bericht, wären vermeidbar oder zumindest in ihrem Risiko- und Schadenspotential reduzierbar gewesen – hätte das Unternehmen nur auf eine moderne Identity Security-Lösung gesetzt.

 

Traditionelle Identity Security zu unflexibel, komplex und aufwendig

Traditionell erfolgte und erfolgt Identity Security manuell. Die Rechte einer digitalen Identität werden  individuell oder rollenbasiert von Mitarbeitern der jeweiligen IT- oder IT-Sicherheitsabteilung festgelegt. Das Problem: häufig erhält das medizinische Personal, erhalten Zulieferer und Partner nicht die Zugangs- und Zugriffsrechte, die sie in ihrem Arbeitsalltag tatsächlich benötigen. Der Prozess der manuellen Rechtevergabe ist zu komplex und arbeitsaufwendig, zu unflexibel, als dass mit ihm schnell und unkompliziert auf Änderungen in Arbeitsplänen und Arbeitsplatzbeschreibungen, auf Einstellungen und Entlassungen, auf Sondersituation, wie sie gerade in einer Einrichtung der Gesundheitsbranche immer wieder auftreten können, reagiert werden könnte. Schnell kommt es dann zu Reibungen zwischen dem IT- und dem medizinischem Personal. Beispielsweise dann, wenn ein Arzt oder eine Pflegekraft nicht auf die Krankenblätter und Daten von Patienten zugreifen kann, die aus medizinischen oder betrieblichen Gründen von einer auf eine andere Station verlegt worden sind. Umständlich müssen dann jedes Mal manuelle Nachjustierungen vorgenommen werden – in Zusammenarbeit mit der jeweiligen medizinischen Kraft, die sich in dieser Zeit dann nicht auf ihre eigentliche Hauptaufgabe, die Versorgung der Patienten, konzentrieren kann. Und auch für die IT-Abteilung war und ist die manuelle Identity Security ein komplexer, ein arbeitsaufwendiger Prozess. Expandiert die IT-Infrastruktur, das Internet of Medical Things doch kontinuierlich, nimmt das Volumen der Datenbestände doch stetig zu – und damit auch die Zahl der unternehmenseigenen Assets, für die ‚die richtigen‘ Zugangs- und Zugriffsrechte ermittelt und festgelegt werden müssen.

 

Moderne Identity Security-Lösungen – mehr als reine Berechtigungsverwaltung

Helfen kann hier der Einsatz moderner Identity Security-Lösungen. Sie ermöglichen es der IT-Abteilung, automatisiert einen verlässlichen Überblick über die stetig wachsende Zahl ihrer digitalen Identitäten zu erlangen, diese effektiv in den Griff zu bekommen, zu managen, zu verwalten und abzusichern. Mit ihnen lässt sich schnell und unkompliziert regeln, welche Nutzer welche Zugangs- und Zugriffsberechtigungen erhalten sollen. Auch nachträgliche Modifizierungen stellen kein Problem dar, können sogar dynamisch umgesetzt werden. Moderne Identity Security-Lösungen sind in der Lage, die Regelung, welche Bereiche, Geräte und Daten eine Identität einsehen und bearbeiten kann, selbständig zu optimieren – sowohl im Hinblick auf die Sicherstellung von Sicherheit und Datenschutz als auch auf die Aufrechterhaltung kontinuierlicher Betriebsabläufe. Möglich machen dies zwei modernen Identity Security-Lösungen inhärente Features: Data Science und künstliche Intelligenz. 

 

Mit Data Science und Künstlicher Intelligenz zu einer modernen Identity Security

Um der stetig anschwellenden Flut an digitalen Identitäten, IT-Systemen, -Geräten und Daten Herr zu werden, setzen moderne Identity Security-Lösungen auf Data Science und Künstliche Intelligenz. Sie ermöglichen es ihnen, aus dem gewaltigen Pool an Identitäten automatisiert Anomalien, Unterschiede und Gemeinsamkeiten aufzuspüren und dann – ebenfalls automatisiert – Zugangs- und Zugriffsrechte zu entziehen, zu erteilen oder auch zu modifizieren.

Vor allem in drei Bereichen können sie den Arbeitsalltag von Einrichtungen der Gesundheitsbranche maßgeblich erleichtern:

1. Bei der Erstellung der Prüfprotokolle von Cybersicherheitssystemen, für die präzise, aktuelle und dynamische Daten benötigt werden.

2. Bei der Automatisierung der individuellen Zugangs- und Zugriffsrechte. Moderne Identity Security-Lösungen sind in der Lage, den prozentualen Anteil von Rechteanfragen – unabhängig davon, ob sie nun gültig sind oder nicht – als Grundlage für ihre Schlussfolgerungen zu nehmen. Wenn 95 Prozent des Pflegepersonals den Zugriff auf dieselbe EHR-Vorlage beantragen, zeigen die Daten der Lösung, dass sie diese Zugriffsanfrage auf die nachfolgende Anfrage einer Krankenschwester oder eines Krankenpflegers mit einer Zustimmung automatisieren kann. Wenn hingegen nur ein Prozent des Pflegepersonals Zugang auf die EHR-Vorlage hat, zeigen die Daten der Lösung, dass sie diese Zugriffsanfrage besser mit einer Ablehnung automatisieren sollte.

3. Bei der Automatisierung der Rollenbasierten Zugangs- und Zugriffsrechte. Anstatt Rollenmodelle bei jeder Einführung neuer Systeme, Anwendungen und Geräte jedes Mal aufs Neue zu modifizieren, kann dieser Prozess auch automatisiert, können Aktualisierungen aufgrund von Änderungen innerhalb der IT-Infrastruktur auch dynamisch gehandhabt werden.

 

Gerade Unternehmen der Gesundheitsbranche sind auf eine effektive und effiziente Identity Security angewiesen, die Datenschutz und Datensicherheit sicherstellt und erhöht – ohne die internen Betriebsabläufe zu stören, zu verlangsamen oder gar vorübergehend zum Erliegen zu bringen. Moderne Identity Security-Lösungen leisten eben dieses: Überblick, Kontrolle und Sicherheit der digitalen Identitäten, zugeschnitten auf die realen Arbeitsbedürfnisse des Unternehmens – und gleichzeitig schnell und unkompliziert umsetzbar für die eigene IT-Abteilung.


Autor: Arne Ohlsen, Senior Field Marketing Manager (SailPoint)
Foto: Adobe Stock /ipopba