Der richtige Partner – MSSP im Gesundheitswesen

Viele Probleme lassen sich mithilfe externer Spezialisten oder Managed Security Service Provider (MSSP) besser in den Griff bekommen. Dabei sollte man sich auf zwei Schlüsselelemente konzentrieren: die Mitarbeiter, die auf eine Patientenakte zugreifen, und den Patienten, auf dessen Akte zugegriffen wird. Um verdächtige Muster zu erkennen, sollte man Ereignisse innerhalb der gesamten IT-Infrastruktur überwachen, analysieren und korrelieren.

Kern solcher Big-Data-Plattformen ist beispielsweise eine Machine-Learning-Engine, die Ausgangswerte für ein normales Entitätsverhalten definiert und verdächtige Verhaltensausreißer markiert. Eine Entität kann eine Person, ein Netzwerk, ein System, ein Endpunkt oder ein Gerät sein. Eine Analyse-Engine nutzt eine Vielzahl von Quellen wie etwa Sicherheitsprotokolle auch aus anderen, im Gesundheitswesen gebräuchlichen Systemen wie Epic, Cerner, Medicity, All Scripts oder Meditech.

Tritt eine Datenschutzverletzung auf, trägt diese Art der Überwachung zur Schadensbegrenzung bei. Denn sie zeigt auf, welche Informationen geleakt wurden. Dadurch lässt sich im Fall des Falles zumindest das Ausmaß begrenzen. Die Überwachung ist zudem aus regulatorischer Sicht hilfreich, da sie den Ursprung der Sicherheitsverletzung isoliert. Das kann sich bei der Meldung an den Datenschutzbeauftragten als nützlich erweisen.

Die Isolierung verdächtiger Muster trägt dazu bei, Unsicherheiten aufgrund interner Bedrohungen einzugrenzen: Zum Beisspiel den unbefugten Zugriff auf Patientendaten durch Mitarbeiter, das Ausspähen von Patientendaten, Laborbefunden, klinischen Ereignisabfragen oder Ransomware-Anomalien. Darüber hinaus isoliert das richtige System ungewöhnliche Zugriffe auf Datensätze, etwa von unüblichen oder verschiedenen Orten aus. Solche Systeme erkennen Daten-Snooping durch Angehörige, andere Vertrauenspersonen oder den Patienten selbst, Mitarbeiter oder ungewöhnliche VIP-Zugriffe wie fehlgeschlagene Anmeldeversuche von hochrangigen Mitarbeitern oder Download-Spitzen zu ungewöhnlichen Zeiten oder von unüblichen Standorten aus.

Dabei helfen vor allem kontextbezogene Informationen wie Geo-Koordinaten, soziale Profile, Alter und Geschlecht, aber auch Peer-Gruppen-Vergleiche oder eine Kombination aus privaten und öffentlichen Informationen. Schließlich kann das richtige Sicherheitsprotokoll den Zugriff auf Patientenakten von bereits entlassenen oder verstorbenen Patienten einschränken und dafür sorgen, dass Datenschutzbestimmungen eingehalten werden, sowohl speziell für die Gesundheitsbranche (z.B. HIPAA oder HITRUST) als auch allgemeine Rahmenbedingungen (z.B. DSGVO).

Fazit

Cybersicherheit im Gesundheitswesen mag angesichts von Zahl und Umfang der Angriffe wie die eine Sisyphusarbeit erscheinen. Big-Data-Analysen leisten aber einiges, um Snooping, Datendiebstahl und Betrug frühzeitig zu erkennen. UEBA, also die Analyse von Benutzer- und Entitätsverhalten und maschinelles Lernen erkennen solche Bedrohungen heute nahezu in Echtzeit und automatisiert. Existierende Tools beschränken sich oft darauf, die Aktivitätsprotokolle von elektronischen Patientenakten zu analysieren. Ein Ansatz der erfahrungsgemäß zu kurz greift.

Um den Versuch einer Datenschutzverletzung und das potenzielle Ausmaß der Datenkompromittierung zu erkennen, braucht man Analysen von Netzwerk, Anwendungen und Verhalten der Benutzer. Erst dann erhält man ein ganzheitliches Bild. Die Branche wird früher oder später in umfassende und vertrauenswürdige Sicherheitssysteme investieren müssen. Das generiert zwar kurzfristig Kosten, sorgt aber langfristig für Patientensicherheit und spart Folgekosten bei einem Datenschutzvorfall.

Eine Partnerschaft mit dem richtigen MSSP senkt die Wahrscheinlichkeit, dass personen-bezogene Daten in die falschen Hände geraten. Sicherheitsdienstleister sind in der Regel deutlich besser gegen Cyberkriminelle gewappnet, die das herrschende Klima der Verunsicherung für sich ausnutzen.

*Der Autor: Hagen Reiche, Director DACH bei Securonix

(ID:46810368)