Warum ist eine PAM-Lösung im Gesundheitswesen sinnvoll?
Die zunehmende Digitalisierung bietet viele Chancen, Patientenversorgung zu verbessern, birgt aber auch Gefahren, die mit der wachsenden Durchdringung der Abläufe und Prozesse mit Informationstechnik einhergehen. Moderne Medizin wäre ohne den Einsatz zum Teil hochkomplexer IT-Systeme nicht mehr denkbar. Vielmehr stellt die Informationstechnik für einen optimalen Krankenhausbetrieb schon heute eine Grundvoraussetzung dar. Gesundheitsdienstleister verarbeiten viele elektronische persönliche Informationen über Patienten, wie Namen, Sozialversicherungsnummern und Gesundheitsinformationen. Ein Stichwort ist die seit Jahren diskutierte elektronische Patientenakte, die sehr vertrauliche Informationen enthält. Gesundheitsdienstleistern müssen hohe Hürden einnehmen was Datenschutzgesetze und Compliance-Vorgaben angeht. Und das ist auch gut so, wenn man bedenkt, dass für Cyberkriminelle hier reiche Beute winkt. Die Patientendaten wären in kriminellen Händen Gold wert. Außerdem haben medizinische Daten einen längeren Wert als andere Informationen und gelten als sensible persönliche Daten. Gerade die Fülle von Patientendaten zwingt Gesundheitseinrichtungen zur Vorsicht – es handelt sich schließlich um persönliche, medizinische und auch finanzielle Informationen die über Jahre, teilweise sogar Jahrzehnte hinweg gesammelt wurden.
Internet der Dinge am Krankenbett birgt Risiken
Zusätzlich zu den Herausforderungen des aktuellen Szenarios stellen neue IT-Initiativen im Gesundheitswesen, die eine Verbesserung der Pflegequalität versprechen, auch ein Risiko für die Informationssicherheit dar, beispielsweise in Bezug auf zentrale Datenspeicherung und Arbeit mit Wi-Fi-fähigen Geräten und Tablets am Krankenbett. Geräte wie Monitore, EKGs oder Temperatursensoren gehören eigentlich auch zu "Internet der Dinge"-Technologien und bergen dieselben Sicherheitsrisiken wie andere vernetzte Geräte, wurden aber nicht mit denselben Informationssicherheitsstandards im Hinterkopf entwickelt.
Ein Einfallstor sind ungeschützte oder mit mangelhaften Passwörtern versehene Benutzerkonten in IT-Systemen. Häufig sind externe Dienstleister und interne Administratoren ein Angriffsziel, da sie über einen privilegierten Zugang mit Zugriffen auf kritische Anwendungen und Systeme verfügen. Es reicht ein infiltrierter Zugang, über den der Angreifer etwa Patientendaten entwenden, manipulieren, verschlüsseln und tief in die Infrastruktur eines Krankenhauses eindringen kann. Sobald ein Hacker Zugang zu einem Netzwerk hat, kann er es mit Ransomware blockieren oder mit DDoS-Angriffen stören. Für Organisationen des Gesundheitswesens ist dies besonders gefährlich, da hier im schlimmsten Fall Menschenleben auf dem Spiel stehen. Mit der Sicherheit medizinischer Daten und auch vernetzter medizinischer Geräte sollte man nicht spielen.
PAM als Präventive Lösung
Prävention ist hier das beste Heilmittel. Schwachstellen in Geräten und Anwendungen öffnen Cyberkriminellen Tür und Tor. Deshalb ist es besonders wichtig, immer die neuesten Updates zu installieren, sowie regelmäßig die Konfigurationseinstellungen zu aktualisieren, um Hacker auf Abstand zu halten. Für den Fall eines Hackerangriffs muss auch dringend ein Wiederherstellungsplan in der Schublade liegen.
Mit effektiven Prozessen und einer umfassenden Sicherheitsstrategie können Sicherheitsverantwortliche solche Einfallstore schließen und Risiken minimieren. Eine Lösung hierfür ist das Privilege Access Management (PAM) als effektive Sicherheitsmethode, die integriert technische Sicherheit und Compliance in einem Guss gewährleisten kann. Zusätzlich sind solche Lösungen im Idealfall benutzerfreundlich und können sich der vorhandenen IT-Infrastrukturumgebung anpassen.
Eine PAM-Lösung stellt sicher, dass Benutzer nur den Zugriff erhalten, den sie für die Ausführung ihrer Aufgaben benötigen. Sie ist eine Plattform, die Strategien und Tools zur Verwaltung von privilegiertem Zugriff und Berechtigungen für Systeme, Prozesse, Konten und Benutzer zusammenführt. In der Praxis verhindert und behebt PAM so die Schäden, die durch Hackerangriffe oder mögliche Unachtsamkeiten von Mitarbeitern entstehen. Hierzu ist es zunächst einmal wichtig, die Zugriffsrechte aller Benutzer zu schützen und zu wissen, wer Zugriff auf welche Geräte, Anwendungen und Daten hat und was der Benutzer damit tun darf. IT-Administratoren weisen diese Rechte zu und kontrollieren die Berechtigungen. Das heißt, wenn beispielsweise das Konto eines IT-Administrators gehackt wird, hat ein Cyberkrimineller sofort die Kontrolle über alle Benutzerkonten, Systemkonfigurationen sowie den Netzwerkverkehr. Daher müssen die Konten der so genannten privilegierten Benutzer zusätzlich gesichert werden. Zu dieser Nutzergruppe zählen nicht nur die allgemeinen IT-Administratoren, sondern auch Systemmitarbeiter, Netzwerkspezialisten, DevOps-Spezialisten und Administratoren.
Wie funktioniert PAM?
Innerhalb einer PAM-Plattform werden die Zugriffsrechte und Daten von berechtigten Konten in einer sicheren Umgebung abgelegt. Nur Zugriffsberechtigte Nutzer erhalten über das PAM-System (automatisch) Zugang zu den Systemen und Umgebungen. Die Benutzer werden identifiziert und ihre Authentizität wird geprüft. Gleichzeitig werden alle Zugriffsaktivitäten protokolliert und auf verdächtiges oder ungewöhnliches Verhalten überwacht. Die Berichte stehen für Audits durch Aufsichtsbehörden, Versicherer sowie den Vorstand zur Verfügung. Man kann sagen, es handelt sich dabei um eine Cyber-Lösung, die auf der Strategie der Zugriffskontrolle und der Vergabe von privilegierten Berechtigungen an Benutzer, Systeme und Maschinen innerhalb einer kritischen Umgebung oder eines Unternehmensnetzwerks basiert. Die Idee ist, dass Personen und Geräte, die mit dem System des Unternehmens verbunden sind oder nicht, die geringstmöglichen Zugriffsprivilegien haben, was Netzwerküberwachungsfunktionen, die Kontrolle von Anmeldeinformationen und die Passwortverwaltung umfasst.
Deshalb reduziert eine solche Lösung die Risiken und schützt auch IT-Systeme, wenn aus der Ferne gearbeitet wird. Da die jeweiligen Zugriffsrechte und Daten in einer Art digitalen Tresor an einem externen Standort gespeichert werden, haben die Organisationen des Gesundheitswesens immer alle IT-Ressourcen im Blick. Dies erleichtert den Wiederherstellungsprozess nach einem Hackerangriff und trägt zu deutlich weniger Ausfallzeiten bei. Denn die neuen Server müssen nur wieder angeschlossen und können dann sofort mit den alten Zugriffsrechten und Konfigurationseinstellungen genutzt werden.
Gleichzeitig trägt PAM zur Einhaltung von Gesetzen und Vorschriften, der Anforderungen von Aufsichtsbehörden und Versicherern sowie der Sicherheitsrichtlinien einer Organisation im Gesundheitswesen bei und gewährleistet, dass die Organisation die Vertraulichkeit der Daten wahrt. IT Verantwortlich in Krankenhäusern verfügen damit über eine vollständige Rückverfolgbarkeit der Verwendung von Zugangsdaten. Sie können Administratorbenutzer definieren, die ein physisches Zugriffspasswort erhalten dürfen, sowie Nutzer, die den von der Lösung bereitgestellten Fernzugriff für den Zugriff auf ein Zielgerät oder -system nutzen können. Alle Fälle können mehrstufigen Genehmigungsworkflows folgen und vom anfordernden Benutzer begründet werden. Somit liefert eine PAM-Lösung im Hintergrund unkompliziert ein großes Stück mehr Sicherheit.
Autor:
Marcus Scharra ist Mitbegründer und CEO von senhasegura, einem führenden Anbieter von Privileged Access Management (PAM) Lösungen, die in mehr als 52 Ländern angeboten werden und 2020 von Gartner als Challenger-Technologie in den Magic Quadrant Report 2020 für PAM aufgenommen worden sind. Der Autor ist Elektroingenieur und Experte für Mustererkennung in Unternehmensumgebungen unter Verwendung künstlicher neuronaler Netze.