Praxisleitfaden: So können Krankenhäuser eine ganzheitliche IT-Sicherheitsstrategie umsetzen

Montag, 3. April 2017

Quelle: NTT Security Newsletter
Autor: Kai Grunwitz, Senior Vice President Central Europe, NTT Security

Viele Krankenhäuser schützen ihre IT-Systeme noch nicht ausreichend vor Cyber-Attacken – das haben die Hackerangriffe der letzten Monate deutlich gezeigt. Sie benötigen eine ganzheitliche Verteidigungsstrategie, die auf fünf wesentlichen Bausteinen basiert.

Während Krankenhäuser medizinisch teilweise auf höchstem technischen Niveau arbeiten, behandeln sie das Thema IT-Sicherheit bislang oft stiefmütterlich. Dass sich das dringend ändern muss, verdeutlichen nicht zuletzt die erfolgreichen Cyber-Attacken der jüngsten Vergangenheit, die sogar dazu führten, dass Operationen verschoben werden mussten. Es muss ein Umdenken geben: IT-Sicherheit soll den Stellenwert erhalten, den sie in anderen Branchen bereits geniesst.

Um eine ganzheitliche IT-Sicherheitsstrategie zu realisieren, sollten Krankenhäuser die folgenden Aufgaben angehen:

1. Risikobewertung durchführen.

Erster Schritt bei der Umsetzung einer ganzheitlichen Verteidigungsstrategie ist die Risikobewertung (Risk Insight). Jedes Krankenhaus weist ein individuelles Risikoprofil auf, das sich durch eine Klassifizierung und Risikobewertung der schützenswerten Daten und Prozesse ermitteln lässt. Um Sicherheitslücken für potenzielle Attacken zu entdecken, sollten Kliniken neben den klassischen Security-Assessments auch gezielte Penetrations- und Vulnerability-Tests durchführen. Dabei bietet es sich an, auf die Expertise von etablierten Cyber-Defense-Unternehmen mit Erfahrungen im deutschen Markt zurückzugreifen.

2. Operations- und Nachsorgebereich sichern.
Besondere Gefahr droht, wenn Hacker kritische Anlagen attackieren, um sie mit falschen Daten oder Werten zu sabotieren. Um die Ausbreitung von Angriffen in kritische Bereiche zu unterbinden, sollten Krankenhäuser ihr Netzwerk in Segmente für die klassische Office-IT, das Patienten-Management-System und den OP-Bereich trennen. Ein mögliches Einfallstor für Hacker sind Schnittstellen zur Fernwartung von Krankenhaussystemen und Medizingeräten. Diese Schnittstellen sind genau zu analysieren und Schwachpunkte durch technische und organisatorische Massnahmen zu beheben. Ausserdem sollten Kliniken bereits beim Einkauf von Systemen und IT-Lösungen das Thema IT-Sicherheit zu einem wesentlichen Bestandteil der Produktbewertungen machen. Zudem ist es erforderlich, regelmässige Updates zur Schliessung von Sicherheitslücken durchzuführen und gespeicherte Daten sicher zu löschen, wenn Geräte nicht mehr genutzt werden.

3. Datenabfluss unterbinden.
Hacker verfolgen beim Angriff mit Malware häufig das Ziel, Patientendaten oder Betriebsinformationen zu stehlen. Krankenhäuser sollten daher zum einen auf bewährte Verfahren für die E-Mail- und Web-Sicherheit sowie die Advanced-Threat-Prevention zurückgreifen. Darüber hinaus empfiehlt sich aber die Implementierung zusätzlicher Lösungen. So kann eine „Controlled Open Passage“ etwa nicht autorisierte Kanäle wie externe Datenträger sperren oder Inhalte von erlaubten Kanälen wie E-Mail mit einer Data-Loss-Prevention (DLP)-Lösung überwachen. Eine inhalts- und kontextbasierte Klassifizierung und Verschlüsselung schützt Daten nicht mehr nur anhand ihres Speicherorts, sondern abhängig von Inhalt und Vertraulichkeit. Genauso wichtig wie die Systeme sind aber auch die Menschen. Ärzte, Pflegekräfte und das Verwaltungspersonal müssen für potenzielle Bedrohungen sensibilisiert und zu einem verantwortungsbewussten Umgang mit Daten aufgefordert werden.

4. Klinikweite Sicherheitsrichtlinien implementieren.

Darüber hinaus sollten Krankenhäuser ein Information Security Management System (ISMS) einführen, das Richtlinien, Massnahmen und Prozesse zur Umsetzung von Sicherheitszielen definiert. Hinzu kommt die Umsetzung von spezifischen Vorgaben im medizinischen Bereich wie die IEC 80001-1 für medizinische IT-Netzwerke.

5. Incident-Response-Plan erstellen.

Wie in allen Unternehmen gibt es auch in Krankenhäusern keine hundertprozentige IT-Sicherheit. Deshalb sollten sie sich mit detaillierten Ablauf- und Notfallplänen für die Behandlung unterschiedlicher Sicherheitsvorfälle rüsten. Dazu sind beispielsweise Verantwortlichkeiten festzulegen, Aufgaben zu definieren, Schadensfälle zu klassifizieren oder Kommunikationsmassnahmen zu regeln.

Auch im Gesundheitswesen müssen die Cyber-Security-Strategien jetzt auf einen modernen Stand gebracht werden – das haben die jüngsten Angriffe auf Kliniken deutlich vor Augen geführt. Nur Bangen und Hoffen ist angesichts dieser Entwicklung definitiv zu wenig.