Anti-Hacker-Therapie: Cyber-Sicherheit im Gesundheitswesen

11. März 2022
| Keine Kommentare
Anti-Hacker-Therapie: Cyber-Sicherheit im Gesundheitswesen
Anzeige

Beitrag teilen

Das Gesundheitswesen ist nach wie vor einer der am häufigsten durch Hacker angegriffenen Bereiche. Es ist daher Zeit, lang aufgeschobene Hausaufgaben nachzuholen, um sich den neuen Ansprüchen und Risiken an ein digitalisiertes und geschütztes Gesundheitswesen zu stellen.

Umfassende IT-Sicherheitstechnologien, mögliche Fördergelder und starke Partner können die Therapie einleiten, die gerade angesichts der aktuellen Krisenlage nötiger erscheint, denn je. Eine komplexe, oft veraltete und heterogene IT und Technik sowie eine fehlende Sicherheitsstrategie machen zum Beispiel Krankenhäuser zu einem lohnenden und erpressbaren Ziel für Hacker. Denn ein Ausfall der Systeme ist hier keine Option. Ebenso begehrt ist die Datenbeute: Je nachdem, wie vollständig die Informationen sind, können medizinische Unterlagen bis zu 1.000 US-Dollar im Darknet kosten. Nur US-Reisepässe sind mit einem Stückpreis von 1.000 bis 2.000 US-Dollar teurer.

Anzeige

Opfer im Gesundheitswesen sind unvorbereitet

Zudem sind die meisten Opfer im Gesundheitsbereich oft völlig unvorbereitet. Neben dem Geldmangel ist hier vor allem fehlendes Personal der Grund, wenn etwa in Deutschland mitunter zwei Mitarbeiter für die gesamte IT-Administration von drei verschiedenen Häusern zuständig sind und kaum Budget haben. Der Kostendruck dürfte angesichts einer in Deutschland laufenden und von Corona nur vorübergehend unterbrochenen Konsolidierung von Teilen des Gesundheitssektors weiter zunehmen.

Außerdem steigen die Ansprüche an die IT in einem zu digitalisierenden Gesundheitswesen. Gerade die aktuelle Krisen- und Gefahrenlage zeigen auf, dass Krankenhäuser immer mehr wie eine Kritische Infrastruktur zu behandeln sind. In der Administration erhöhen die steigenden Vorgaben in Sachen Datenschutz die Hürden für die Datensicherheit. Compliance-Regeln sind zunehmend einzuhalten – von der DSGVO über ISO-Zertifikationen bis hin zu Funkrichtlinien für technische Geräte.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

IT-Sicherheit im Gesundheitswesen leidet unter folgenden Symptomen

1. Ransomware

Gerade Krankenhäuser können erpresserische Angriffe, die Daten verschlüsseln oder Systeme blockieren, nicht aussitzen, wenn man die Patienten weiter versorgen will. Hier gehen die Angreifer in Zukunft noch aggressiver vor: Einerseits durch automatisierte Angriffe auf unvorbereitete IT und andererseits durch gezieltere Ransomware-as-a-Service- (RaaS) Attacken, die mit Social Engineering auf die Entscheider im Personalwesen, der Administration und der Buchhaltung eingeleitet werden.

2. Risiken vernetzter Geräte

Im Gesundheitswesen steigt die Zahl der vernetzten medizinischen IoT- und OT- Geräte sprunghaft. Dennoch wird dieser Angriffsvektor oft noch vernachlässigt und vernetzte Geräte werden ohne die angebrachte Sorgfalt in Netzwerke integriert. Hacker kennen zudem die spezifischen Risiken dieser Hardware: Sie wissen, wie sie die fest kodierten Passwörter der meisten Geräte herausfinden können – und können darüber ins Netzwerk eindringen. Oft ist es gar nicht möglich, den Zugriff unbefugter Nutzer auf die Geräte zu verhindern. Erstaunlich häufig kommen Geräte zum Einsatz, die nur mangelhaft zertifiziert sind. Systeme mit veralteten, nicht mehr unterstützten Betriebssystemen sorgen mit der Zeit ebenso für neue Risiken.

3. Mangelnde Sichtbarkeit von Hardware

Viele Organisationen haben die IT in ihrer Gesamtheit nicht im Blick. So war die Verschlüsselung der Server im Lukaskrankenhaus in Neuss nur deshalb möglich, weil ein alter, nicht sichtbarer Client Administratorenrechte hatte und der Malware so die weitere Ausbreitung ermöglichte. Bei IoT und OT ist diese Gefahr noch grundsätzlicherer Natur, weil die meisten dieser Geräte dem Zugriff der internen IT-Organisationen gar nicht unterliegen.

4. Zero-Day-Sicherheitslücken nehmen weiter zu

Log4j hat gezeigt, dass Zero-Day-Sicherheitslücken nach wie vor großen Schaden anrichten und unzählige Unternehmen bedrohen können. Die Gesundheitsbranche ist anfälliger für derartige Schwachstellen, fehlende Aufmerksamkeit kann dazu führen, dass diese Lücken auf verstärkt ausgenutzt werden.

Therapievorschläge gegen Angriffe

Wer für die Sicherheit der Systeme und für die Gesundheit der Patienten sorgen will, sollte und kann an mehreren Stellschrauben drehen:

  • Schutz aller Geräte: Eine Extended-Detection-and-Response-Lösung (XDR) schützt nicht nur die gewöhnlichen Endpunkte, sondern auch Geräte, auf denen – wie im Falle von IoT – keine Möglichkeit besteht, Agenten zu installieren oder diese außerhalb der Kontrolle der IT-Verantwortlichen liegen.
  • Kontinuierliches Management und Bewerten von Sicherheitslücken: Due-Diligence-Checks sowie das Bewerten und Verwalten von Schwachstellen sind zentrale Elemente, um potenzielle und existierende Lücken zu entdecken und zu schließen, bevor die Angreifer sie ausnutzen.
  • Isolation von Netzwerk-Segmenten: Dadurch lassen sich Schäden eingrenzen. Wer schnell Netzbereiche voneinander trennt, kann zum Beispiel das weitere Ausbreiten von Ransomware verhindern.
  • Identitätsmanagement: Dadurch lässt sich das Risiko eines Fehlverhaltens von Mitarbeitern verringern. Dies ist angesichts der Größe vieler Einrichtungen und der Anzahl vieler, oft in IT-Sicherheit nicht besonders erfahrener oder sicherheitsbewusster Mitarbeiter besonders wichtig.
  • Penetrationstests: Sie testen die Reaktionsfähigkeit der eigenen IT-Abwehr und tragen dazu bei, gefährdete Organisationsteile bzw. Mitarbeiter zu identifizieren und Bereiche zu ermitteln, in denen die Reaktion auf Vorfälle sich verbessern kann.

Sich externe Expertise verschreiben

IT-Administratoren im Gesundheitswesen sind nicht nur überlastet, ihnen fehlt zudem häufig die notwendige Expertise oder die Zeit, eine solche aufzubauen. Sie kommen oft gar nicht dazu, sich mit IT-Sicherheit zu beschäftigen und auf konkrete Vorfälle zu reagieren. Eine Analyse von Anomalien im Verhalten von Endpunkten ist ihnen in der Regel erst recht nicht möglich.

Partnerwahl

Jörg von der Heydt, Regional Manager DACH bei Bitdefender (Bild: Bitdefender).

Hilfe kann daher nur von Partnern mit entsprechendem IT-Sicherheits- und Branchenwissen kommen. So zum Beispiel beim Anbieterwechsel. Viele IT-Abteilungen wissen etwa nicht, wie vollständig die Deinstallation des alten Systems vonstattenging und wie viele Clients letztlich noch manuell neu zu konfigurieren sind. Denn neu anzulegende Regelsätze können im Live-Betrieb für alle Beteiligten unangenehme Effekte haben, deren Ursachen dann wiederum zeitraubend analysiert und behoben werden müssen. Hier können sich Partner mit ihrer Expertise einbringen und Roll-Out-Prozesse intensiv begleiten, um dieses Nacharbeiten so gering wie möglich zu halten und zeitnah reagieren zu können. Ein Value Added Reseller spielt hier eine wichtige Rolle und lässt sich buchhalterisch als Service-Posten im Budget separat ausweisen.

Sicherheitsanalysten

Ebenso wichtig sind Managed Detection and Response (MDR) -Dienste. Gerade größere Kliniken mit hochkomplexen Systemen, die aus Gründen der Compliance etwa ein SIEM oder ISMS (Security Information and Event Management bzw. Informationssicherheits-Managementsystem) bräuchten, können sich die notwendigen Technologien und Ressourcen mit einem externen Security Operation Center im Rahmen eines MDR-Dienstes kostengünstig anmieten. Das ist immer kostengünstiger und zugleich effizienter, als diese Technologie selbst anzuschaffen und zu betreiben. Und darüber hinaus bietet MDR die Expertise, den Rat und die aktive Unterstützung von Sicherheitsanalysten.

Gesundheit kostet Geld

Krankenhäuser können zudem seit letztem Jahr auf finanzielle Fördermitteln für ihre IT-Sicherheit zurückgreifen. Das Krankenhauszukunftsgesetz (KHZG) hat hier Bewegung in den Markt gebracht. Die Fördersumme ist – soweit es geht – gut planbar, allerdings sind Stand heute viele Anträge nicht bearbeitet. Hier besteht Nachholbedarf, denn es sollte nicht sein, dass die Organisationen ein System beantragen, welches durch Zeitverzug beim letztendlichen Implementieren nicht mehr zukunftssicher ist. Offene Sicherheitsplattformen und die sich ständig entwickelnden MDR-Dienste und -Berater können sich der Gefahrenlage flexibel anpassen und skalieren.

Mehr bei Bitdefender.com

 

Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de

 

Passende Artikel zum Thema

iPhones: Geheime Malware entdeckt – Such-Tool steht bereit

Kaspersky hat vor wenigen Tagen auf firmeninternen iPhones eine hochentwickelte Malware entdeckt. Die als Operation-Triangulation getaufte Kampagne ist anscheinend noch ➡ Weiterlesen

Ransomware-Report: LockBit zielt auf macOS

LockBit, die aktuell aktivste Ransomware-Gruppe, weitete seine Aktivitäten im April auf macOS-Geräte aus. Weiterhin werden Schwachstellen der Druckersoftware PaperCut aktiv ➡ Weiterlesen

Fünf Jahre DSGVO

Die Datenschutzgrundverordnung der Europäischen Union ist anstrengend, aber eine Erfolgsgeschichte. Die Europäische Kommission sollte das fünfjährige Jubiläum der DSGVO dazu ➡ Weiterlesen

Lockbit erbeutet 700 GByte Daten bei MCNA mit 9 Mio. Kunden

MCNA Dental, der größte nordamerikanische Versicherer für Zahnpflege musste alle seine fast 9 Millionen Kunden über einen Verlust von 700 ➡ Weiterlesen

Arbeitswelt: Rückkehr ins Büro

Der „Everywhere Work Report“ zeichnet ein eher düsteres Bild der hybriden Arbeitswelt anno 2023. Denn zwischen den Erwartungen der Mitarbeiter ➡ Weiterlesen

Die DSGVO und der AI Act

Fünf Jahre ist die DSGVO nun in Kraft und die Europäische Kommission will die Regelung noch im ersten Halbjahr verbessern. ➡ Weiterlesen

Deutsche Firmen: 84 Prozent erwarten einen Cyberangriff

Der Cyber Risk Index (CRI) für das zweiten Halbjahr 2022 von Trend Micro ist da. Dabei erwarten 84 Prozent der deutschen ➡ Weiterlesen

Neue Phishing-Taktiken bei Unternehmens-E-Mails

Cyberkriminelle führen bei ihren Phishing-Angriffen ständig neue Techniken und Taktiken ein, um Opfer zu täuschen und Sicherheitsmaßnahmen zu umgehen. Barracuda ➡ Weiterlesen

Bitdefender, Storys
, , , ,