IT-Sicherheit im Krankenhaus Sicheres Cloud Computing im Gesundheitswesen

Personenbezogene Daten ermöglichen es, die Behandlung individuell auf den jeweiligen Patienten abzustimmen. Der Schutz vor Datenmissbrauch muss jedoch dabei an oberster Stelle stehen. Vor diesem Hintergrund spielt das Thema IT-Sicherheit eine zentrale Rolle.

Das Gesundheitswesen adaptiert neue IT-Technologie stets langsam und vorsichtig. Cloud Computing bildet da keine Ausnahme. Einerseits schätzen die Verantwortlichen die Vorteile einer Cloud, andererseits gilt dem Schutz der personenbezogenen Daten ihrer Patienten höchste Aufmerksamkeit. Der Spagat zwischen Sammeln von sensiblen Informationen und dem Schutz der Privatsphäre wird außerdem durch gesetzliche Regulierungen erschwert, wie die Europäische Datenschutzgrundverordnung (DSGVO). Bei einem Verstoß drohen hohe Bußgelder und in den letzten Jahren traf es einige europäische Krankenhäuser.

Aus diesem Grund sollten die Einrichtungen ihre Strategie zur IT-Sicherheit überdenken. Neben einer generellen Konsolidierung der Sicherheitslösungen unter dem Dach einer umfangreichen Architektur mit zentraler Plattform, statt eines Wildwuchses, bietet sich eine Security-Automatisierung an. Vor allem die Aufgaben zur Führung des Sicherheits-Protokolls, die Durchsetzung der Firewall-Richtlinien und die Einhaltung der Compliance lassen sich auf diese Weise schneller und zuverlässiger bewältigen. Davon profitieren umgehend der Schutz von Anwendungen und Patienten.

Siegeszug der Cloud-Umgebung

Da im Bereich der Medizin die Möglichkeit der Patienten steigt, mit den Technologien zu interagieren, zieht es die Branche zunehmend schneller in Public-Cloud-Umgebungen, um die Anwendungen bereitstellen zu können. Sogar Serverless Computing und Container-Architekturen, wie Kubernetes, kommen hinzu. Das liegt an verschiedenen Aspekten: Anwendungen im Gesundheitswesen erfordern oft viel Speicherplatz und hohe Verfügbarkeit, wofür sich Serverless und Container eignen.

Apotheken verlagern ihr Geschäft in das Internet und betreiben Anwendungen, die Rezepte auswerten, um ein Beispiel zu nennen. In Krankenhäusern kann außerdem EMR-Software innerhalb des Netzwerkes in verschiedene Container aufgeteilt werden, um die Sicherheit zu erhöhen. Ebenso profitieren Compliance und Datenschutz von den neuen IT-Umgebungen, weil die Entwickler in die Lage versetzt werden, robustere Anwendungen zu bauen und auf kleinste Anforderungen einzugehen.

Umstieg auf Workload-Sicherheit

Die neuen IT-Konzepte im Gesundheitswesen verlangen auch von den Anbietern medizinischer Technologie, dass sie die Anforderungen an Sicherheit und Compliance verstehen und ihre Produkte anpassen. Es gilt, verschiedene Fallstricke zu meiden: Medizinische Anwendungen in öffentlichen Cloud-Umgebungen, die zudem Serverless-Architekturen oder Container nutzen, müssen strenge Compliance-Regeln einhalten, wie die DSGVO. Eine ordnungsgemäße Zertifizierung und Prüfung wird verlangt und diese erfordert übersichtliche Sicherheitskontrollen ab Werk.

Desweiteren können Cloud-Dienste im Gesundheitswesen mittlerweile Hunderte von serverlosen Funktionen oder mehrere Container in einer Micro-Services-Architektur umfassen, jeweils auf eine bestimmte Transaktion von medizinischen Daten ausgelegt. Es ist daher unumgänglich, dass jede dieser Funktionen oder jeder Container von der Sicherheitslösung nur die Zugriffsrechte genehmigt bekommt, die für den Betrieb erforderlich sind. Das Prinzip der ‚Geringsten Privilegien‘ steht an erster Stelle. Dies ist entscheidend, um das Risiko eines Datenlecks zu minimieren.

Darüber hinaus muss der Schutz moderner Cloud-Workloads auch die Abwehr unbekannter Bedrohungen, sogenannter Zero-Day-Attacken umfassen, besonders im sensiblen Gesundheitswesen. Hierfür bietet sich vor allem anderen natürlich das Serverless Computing an. Die einzelnen Funktionen können sehr klein und kurzlebig gestaltet werden, das bedeutet, sie haben nur wenig Umfang, werden nach kurzer Zeit gelöscht und neu aufgesetzt. Ein Angreifer kann daher kaum etwas mit ihnen anfangen, um großen Schaden anzurichten. Aus diesem Grund kann in serverlosen Umgebungen eine selbstlernende Sicherheitslösung eingesetzt werden, die das Verhalten der Funktionen analysiert. Ungewöhnliche Tätigkeiten werden konsequent unterbunden.

Automatisierung der IT-Sicherheit

Traditionelle Konzepte funktionieren in modernen IT-Architekturen nicht mehr, da sich die Idee hinter einer Cloud-Umgebung grundsätzlich von einem Rechenzentrum unterscheidet. Um die Workloads zu schützen, müssen daher verschiedene Aspekte angepasst werden, allen voran die Automatisierung aller Vorgänge, die keinen manuellen Eingriff erfordern. Das entlastet auch die Fachkräfte, die meist unterbesetzt sind. Dazu gehören die Protokollierung, das Auditing, die Durchsetzung von Firewall-Richtlinien und die Einhaltung der Compliance sowie Datenschutz-Regeln. Darüber hinaus brauchen die IT-Sicherheitskräfte eine zentrale Konsole, die ihnen vollständigen Einblick in den Netzwerkverkehr ermöglicht, also die Sichtbarkeit von Bedrohungen erhöht.

Moderne Sicherheitslösungen für moderne IT-Konzepte

Wenn neue IT-Technologie im Gesundheitswesen eingeführt wird, darf die IT-Sicherheit nicht auf der Strecke bleiben oder über veraltete Ansätze mehr schlecht als recht eingebunden werden. Stattdessen bedarf es moderner Sicherheitslösungen, um modernen Bedrohungen in modernen IT-Umgebungen entgegentreten zu können. Nur auf diese Weise lässt sich der Spagat zwischen dem Sammeln vorteilhafter Daten für die Patientenbehandlung und dem Schutz dieser sensiblen Informationen vor Missbrauch zufriedenstellend meistern.

*Der Autor: Stefan Maith, Team-Leiter Public Sector bei Check Point Software Technologies GmbH

(ID:46895486)