IT-Security im Gesundheitswesen Best Practices für eine Identitäts-basierte Cybersicherheit

Mit der Pandemie – und der damit verbundenen Digitalisierung vieler neuer Services – hat das Thema Cyberkriminalität im Gesundheitswesen an Brisanz gewonnen. Schon seit Jahren gelingt es Cyberangreifern immer wieder, Gesundheitsdienstleister lahmzulegen oder Daten zu entwenden. Doch seit Corona hat die Wucht der Attacken deutlich zugenommen. Für die IT-Abteilungen bedeutet dies, bestehende Sicherheitsstrategien an die neue Bedrohungslandschaft anzupassen. Aber auch die Regierung ist nun gefragt und sollte die aktuelle KRITIS-Verordnung nachschärfen.

Petabytes sensibler personenbezogener Daten aber auch die sichere Versorgung von Patienten waren noch nie so gefährdet wie seit dem Beginn der Corona-Pandemie. Die Bandbreite der Opfer ist dabei groß: Von Arztpraxen über Versicherer bis zu großen Kliniken ist alles dabei. Ebenso vielfältig sind die Schäden: Sie umfassen den Ausfall der kompletten Klinik-IT, der erhebliche Behinderungen bei der Versorgung von Patienten bedeutet, aber auch die Erpressung von Patienten mit der Drohung, Informationen über Krankheitsbilder und Inhalte von Therapiegesprächen zu veröffentlichen (wie im Fall des Datendiebstahls beim finnischen Psychotherapie-Anbieter Vastaamo im Oktober 2020).

Die Lücken der KRITIS-Verordnung

Umso erstaunlicher ist es, dass die KRITIS-Verordnung, die für Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen gesetzliche Schutzvorgaben vorsieht, bisher nur Krankenhausbetreiber, Labore sowie Unternehmen aus den Bereichen Arzneimittel- und Impfstoffversorgung umfasst, nicht aber Arztpraxen oder Krankenversicherer. Denn auch deren Kunden haben das Recht auf eine Daten- und Versorgungssicherheit, die nur mit strengen Auflagen für den Schutz von IT-Systemen und den darin gespeicherten Assets zu bewerkstelligen ist.

Vor allem die aktuelle Bedrohungslandschaft kann durch die Vorgaben der EU-DSGVO allein nicht angemessen bewältigt werden. Folgende Risiken und Entwicklungen sind für das Gesundheitswesen dabei besonders gefährlich:

1. Ransomware

Eine der Hauptbedrohungen im gesamten Gesundheitswesen ist nach wie vor Ransomware. Dabei dringen die Angreifer in der Regel über Phishing-Attacken oder kompromittierte Passwörter in das Netzwerk einer Einrichtung ein und bewegen sich anschließend lateral von System zu System, bis sie Zugang zu kritischen Ressourcen erhalten. Diese werden dann in der Regel verschlüsselt – und erst gegen Zahlung eines Lösegelds wieder freigegeben. In Deutschland haben in den letzten beiden Jahren bereits etliche Einrichtungen zugegeben, Opfer von Cybererpressung geworden zu sein – so etwa die Urologische Klinik München-Planegg –, doch Experten gehen von einer deutlich höheren Dunkelziffer aus. Vor allem kleinere Praxen dürften entsprechende Attacken nicht öffentlich kommunizieren.

Dass sich Ransomware zu einem so großen Problem entwickelt hat, liegt dabei zum einen daran, dass sich die Angriffsfläche von Gesundheitseinrichtungen durch die Digitalisierung zusätzlicher Dienste in den letzten zwei Jahren stark vergrößert hat. Zum anderen geben sich Angreifer nicht mehr mit der Verschlüsselung allein zufrieden, sondern gehen immer öfter dazu über, die Daten vor der Verschlüsselung zu kopieren und zu stehlen, um ein zusätzliches Druckmittel gegen nicht zahlungswillige Opfer zu haben.

2. Migration in die Cloud

Im Zuge der COVID-19-Pandemie hat der Großteil der Gesundheitseinrichtungen die Migration von Anwendungen, Diensten und Daten in die Cloud stark vorangetrieben – etwa um kurzfristig Mitarbeitern den Weg ins Homeoffice zu ebnen, telemedizinische Dienste bereitzustellen oder im Rahmen ihrer langfristigen digitalen Transformationsstrategie. Doch diese Modernisierung hat auch ihre Schattenseiten: So macht die Verlagerung wertvoller Gesundheits- und Patientendaten in Hybrid- und Multi-Cloud-Umgebungen diese zu einem äußerst attraktiven Ziel für Cyberkriminelle. Laut der Studie „One Year after the COVID Shutdowns: Healthcare Facilities Still a Target for Network Outages and Breaches“ vermeldeten 38 Prozent der IT-Verantwortlichen in Gesundheitseinrichtungen in Europa im Jahr 2020 Datendiebstähle in Cloud-Netzwerken und 36 Prozent waren von Cloud-Malware betroffen.

3. Unsichere Remote-Zugriffe

Mit der steigenden Zahl remote arbeitender Menschen und dem neuen Trend zur Telemedizin ist auch die Zahl von Angriffen über unsichere Remote-Verbindungen exponentiell angestiegen. Der Großteil solcher Attacken ist dabei auf unzureichend geschützte Userkonten sowie schlecht abgesicherte Remote-Sessions zurückzuführen. Das Schadenspotenzial ist in beiden Fällen enorm, da die Angreifer auf diese Weise in kürzester Zeit Zugriff auf Patientendaten erhalten können.

Auf der nächsten Seite: Bösartige Bots & To-Dos.

(ID:48958931)