IT-Sicherheit Das smarte Krankenhaus absichern

Die Bundesregierung will die Modernisierung von Krankenhäusern mit 3 Milliarden Euro fördern. Voraussetzung für die Unterstützung soll allerdings sein, dass die Einrichtungen Geld in die IT-Sicherheit investieren. Und das aus gutem Grund: Die Digitalisierung bietet der Gesundheitsbranche zwar enorme Chancen. Doch immer öfter kommt es zu einer Störung der digitalen Abläufe. Falk Herrmann, CEO Rohde & Schwarz Cybersecurity, zeigt die wichtigsten Grundsätze für die IT-Sicherheit von Krankenhäusern.

Web-Anwendungen schützen

Browserbasierte Anwendungen erleichtern die Zusammenarbeit in der Gesundheitsbranche erheblich. Medizinische Unterlagen und Berichte lassen sich über Portale und Apps einsehen, und zwar sowohl vom PC, Tablet, Smartphone oder anderen vernetzten Geräten. Die digitale Patientenakte ist der nächste Schritt auf diesem Weg. Das Problem: Webanwendungen sind für Hacker leicht zu knacken. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurde nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden.

Für Hacker ist es relativ einfach sich in durch Logins geschützte Portale zu hacken und an die dahinterliegende Datenbank zu gelangen. Cyberkriminelle erhalten damit auf einen Schlag Zugriff auf große Mengen persönlicher Daten und können diese entwenden oder löschen. Ein solcher Diebstahl persönlicher Daten führt nicht nur zu einem enormen Vertrauensverlust gegenüber den Patienten. Den betroffenen Krankenhäusern drohen auch hohe Geldbußen, wenn sie den Vorgaben der EU-DSGVO nicht entsprechen. Ungeschützte Webapplikationen stellen daher eines der größten Risiken für ein Krankenhaus dar.

Um Webapplikationen besser zu schützen, brauchen Krankenhäuser eine spezielle „Web Application Firewall“. Eine WAF analysiert den Datenaustausch zwischen Clients und Webservern. Sie prüft alle eingehenden Anfragen an den Webserver sowie dessen Antworten. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die durch sogenannte Injektionsangriffe („SQL-Injection“), „Cross Site Scripting“ (XSS), „Session-Hijacking“ und andere Arten von Webangriffen ausgeführt werden.

Ransomware abwehren

Eine der größten Bedrohungen für Krankenhäuser sind Ransomware-Angriffe. Über einen Trojaner oder eine andere Malware dringen Cyberkriminelle in das IT-Netzwerk ein und verschlüsseln Datenbanken und Server. Anschließend stellen die Hacker eine Lösegeldforderung an das Krankenhaus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor neuen Ransomware-Methoden: Hacker stehlen die Daten, bevor sie sie verschlüsseln, und drohen damit, diese zu veröffentlichen. Auch hier gilt: Wenn sensible Daten verloren gehen, drohen hohe Strafen.

Immer häufiger steckt hinter solchen Erpressungsangriffen die Schadsoftware Emotet. Das BSI stuft Emotet in Verbindung mit Ransomware in seinem aktuellen Lagebericht als eine der größten Bedrohungen für Unternehmen ein. Emotet wird vom BSI sogar als „eine der größten Cyberbedrohungen der Welt“ bezeichnet.

Akute Gefahr: Emotet wird mithilfe gefälschter eMails, sogenannter Phishing-E-Mails, auf Unternehmensrechnern eingeschleust. Diese sehen heute so echt aus, dass es nur schwer ist, sie als Fälschungen zu erkennen. Hinter dem Versand stecken professionelle Hacker-Banden, die in regelmäßigen Abständen eine regelrechte Phishing-Flut initiieren. Die Malware wird über eine angehängte Datei eingeschleust. Der Trick: Der Empfänger wird aufgefordert, bestimmte Einstellungen am PC vorzunehmen – zum Beispiel die Makros einer Word-Datei zu aktivieren. Wer dieser Aufforderung nachkommt, lädt – ohne es zu wissen – Emotet auf seinen PC. In seltenen Fällen ist die Schadsoftware bereits in das angehängte Dokument integriert. Einmal angeklickt oder heruntergeladen, ist das System infiziert.

Für den Klinikbetrieb ist ein Ransomware-Angriff eine akute Gefahr. Um eine Ausbreitung der Software zu vermeiden, muss das Krankenhaus alle IT-Systeme herunterfahren. Die Folgen sind OP-Ausfälle, ein Aufnahmestopp von Patienten und die Lähmung der gesamten Verwaltung.

Internetzugang absichern: Schützen können sich Krankenhäuser vor Emotet- und Ransomware-Angriffen, indem sie ihren Internetzugang absichern. Am konsequentesten ist das durch eine Trennung von Internet und internem Netzwerk möglich – denn dann kann Schadsoftware nicht in das Basisbetriebssystem eindringen. Praktisch umsetzen lässt sich das mit einem virtuellen Browser: Neben der hardwarebasierten Komponente existiert hier eine softwarebasierte virtuelle „Surfumgebung“.

Die Nutzer arbeiten mit einer vom Betriebssystem separierten Maschine. Entscheidend ist es, dass es sich dabei um eine vollvirtualisierte Surfumgebung handelt. Diese Lösung ermöglicht eine konsequente Netzwerktrennung. Der Vorteil: Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser isoliert. Jeder Browserstart beseitigt die Schädlinge und versetzt den Browser in seinen Ausgangszustand.

Übertragungswege absichern

Zu einer IT-Sicherheitsstrategie im Gesundheitswesen gehört auch die Absicherung der Übertragungswege – sei es zwischen einem Gerät im Krankenhaus und dem Hausarzt eines Patienten oder dem Krankenhaus und einem Rechenzentrum. Die Herausforderung: Die Übertragung muss trotz hochsicherer Verschlüsselung effizient bleiben. Dazu gibt es spezielle Verschlüsselungsprodukte, die einen hohen Schutz bieten, ohne dass die Übertragungsleistung herabgesetzt wird.

Daten in der Cloud schützen

Cloud- und sog. „Collaboration“-Systeme erleichtern die Arbeit der Krankenhaus-Administration erheblich – zum Beispiel auch dann, wenn Mitarbeiter im Home Office arbeiten. Bei der Speicherung in Cloud-Diensten haben jedoch nicht nur der Benutzer und der Administrator Zugriff auf die Daten. Auch die Cloud-Provider könnten auf die Daten zugreifen, wenn diese ungeschützt und unverschlüsselt abliegen.

Verschärfend kommt hinzu, dass die marktbeherrschenden Cloud-Anbieter im Ausland sitzen. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren. Der europäische Gerichtshof hat aus diesem Grund jüngst entschieden, dass das Abkommen zum Schutz europäischer Daten, die in die USA übertragen werden – das so genannte „Privacy Shield“ – ungültig ist. Kliniken, die Cloud-Dienste nutzen, stehen vor einem Dilemma.

Möglich ist das Einhalten der EU-DSGVO in der Cloud derzeit nur mit einer technischen Lösung. Dazu müssen sensitive Daten von den Arbeitsprozessen und Serviceangeboten außereuropäischer Cloud-Provider abgekoppelt und verschlüsselt werden. Dann lassen sich diese an jedem beliebigen Ort speichern. US-Anbieter Microsoft hat diesen Weg bereits gemeinsam mit dem deutschen IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity eingeschlagen.

Mitarbeiter schulen

Ein Sicherheitskonzept kann noch so ausgeklügelt sein: Als Schwachpunkt bleibt der Mensch. Mitarbeiter öffnen Phishing-eMails und laden gefährliche eMail-Anhänge herunter; sie verraten nichts ahnend ihre Zugangspasswörter an Unbefugte, die sich am Telefon als IT-Dienstleister ausgeben; und sie verbummeln wichtige Sicherheits-Updates. Neben der richtigen IT-Sicherheitstechnik ist eine Schulung und Sensibilisierung der Mitarbeiter daher ausschlaggebend für die IT-Sicherheit im Unternehmen.

In solchen Schulungen sollte vermittelt werden, wie man Anwendungen mit sicheren Passwörtern schützt, warum man keine USB-Sticks an die Firmenrechner anschließen sollte und wie man Phishing-Mails erkennen kann. In Zeiten des Home-Office kommen weitere wichtige Hinweise hinzu, wie das Absichern der heimischen WLAN-Verbindung und den Schutz der IT vor Schmutz und Diebstahl.

Fazit

Mit diesen Maßnahmen bilden Gesundheitseinrichtungen die Grundlage für weitere digitale Entwicklungen. Denn nur mithilfe einer effizienten IT-Sicherheit können IT-basierte Prozesse eingesetzt werden, ohne dass dabei die Datensicherheit auf dem Spiel steht. Das wiederum wirkt sich auch positiv auf das Vertrauen der Patienten in das „smarte“ Krankenhaus der Zukunft aus.

(ID:46845577)