Auswirkungen von NIS2 auf Cybersecurity im Gesundheitswesen

Auswirkungen von NIS2 auf die Cybersecurity im Gesundheitswesen

Beitrag teilen

Die Überarbeitung der EU-Richtlinie zur Erhöhung der Cybersicherheit für kritische Infrastrukturen (NIS2) hat das Thema Cybersecurity in vielen Gesundheitseinrichtungen noch stärker in den Fokus gerückt. Denn sie gelten als besonders schützenswert.

Vertraulichkeit, Integrität und Verfügbarkeit von Daten sind im Gesundheitsbereich von zentraler Bedeutung. Denn hier werden gesamte Gesundheitsabläufe und Diagnosen inklusive Therapieplänen dokumentiert. Da jede Sicherheitslücke das Risiko birgt, dass Medikamentenpläne manipuliert werden oder Informationen in die Hände Dritter geraten, ist Cyber Security essenziell. Die sensiblen Daten sind für Kriminelle ein äußerst begehrtes Ziel, wie jüngst auch der Angriff auf ein Krankenhaus in Soest zeigte. Die Herausforderung der Branche: Durch die fortschreitende Digitalisierung sind medizinische Geräte heute immer stärker vernetzt und Daten werden zunehmend elektronisch gespeichert und übermittelt. Dadurch vergrößert sich die potenzielle Angriffsfläche für Cyberkriminelle. Diese Entwicklung adressiert der Gesetzgeber durch NIS2, indem er die Anforderungen an die Cybersecurity in Unternehmen erhöht. Ingo Schulenberg, Head of Sales – Special Operations OT & IT Security bei Axians IT-Security, gibt vier Tipps, wie von der Richtlinie betroffene Gesundheitseinrichtungen vorgehen sollten.

Cybersecurity Assessment

Der Gerätebestand in Krankenhäusern ist oft über die Zeit gewachsen und zunehmend miteinander vernetzt. Um die IT-Sicherheit effizient zu erhöhen, ist ein Assessment der bereits vorhandenen Sicherheitsvorkehrungen ein optimaler Startpunkt. Hierbei prüfen Expert:innen die Sicherheit der installierten Umgebung, identifizieren Verwundbarkeiten auf vorhandenen Geräten und welche Sicherheitsanforderungen es an neue Geräte gibt. Zudem ist es entscheidend zu ermitteln, welche Bereiche im Unternehmen untereinander kommunizieren müssen. Gerade in Gesundheitseinrichtungen gibt es oft wichtige Maschinen und Geräte, die beispielsweise nicht alle im selben Netz angedockt sein sollten. Im Cyber Security Assessment arbeiten Organisationen heraus, welche Assets besonders kritisch und schützenswert sind, um sie in ihrer Security-Strategie zu priorisieren und angemessen abzusichern. Beim Security Assessment können erfahrene ICT-Dienstleister wie Axians dabei unterstützen, das Sicherheitsniveau der IT-Infrastruktur richtig einzuschätzen und im Anschluss eine ganzheitliche Sicherheitsstrategie ableiten.

Cybersecurity-Schulungen

Das größte Sicherheitsrisiko in der Gesundheitsbranche ist wie auch in anderen Branchen der Mensch. Er bleibt weiterhin ein beliebtes Ziel der Hacker. Durch gut gemachte Phishing-Attacken können Cyberkriminelle Angestellte etwa dazu bringen, Zugangsdaten herauszugeben oder Schadsoftware aus dem Internet herunterzuladen. Auch fehlgeleitete Hilfsbereitschaft – wenn Mitarbeitende etwa USB-Sticks mit dem Arbeits-PC verbinden, um den Besitzer herauszufinden – führen oft zu großen Schäden. Das Aufladen des privaten Handys an medizinischen Geräten mit USB-Anschluss birgt ebenfalls Gefahrenpotenzial für Gesundheitseinrichtungen durch kompromittierte Geräte. Unternehmen sollten dem vorbeugen, indem sie alle Mitarbeitenden schulen, damit sie ein besseres Gespür für Sicherheitsrisiken entwickeln können. Das ist wichtig, denn Mitarbeitende in Gesundheitseinrichtungen arbeiten oft unter Zeitdruck und haben eine hohe Arbeitsbelastung. Um im stressigen Alltag nicht Opfer von gezielten Phishing-Attacken zu werden, sind regelmäßige Sicherheitsschulungen und Awareness-Trainings daher essenziell.

Cybersecurity Best Practices

Um eine wirkungsvolle Cyber Security aufzubauen, sollten Einrichtungen zunächst damit beginnen, technische Basics umzusetzen. Dazu gehören im Gesundheitswesen etwa eine Netzwerksegmentierung mit internen Firewalls. Netzwerksegmentierung ermöglicht es, Medizingeräte vom Hauptnetz abzutrennen. Denn oftmals haben Maschinen und Geräte ältere Betriebssysteme, deren Schwachstellen nicht gepatcht werden können, da sie sonst ihre Zulassung verlieren. Sind Rezertifizierungen keine Option, können diese Devices in sichere Netzsegmente gesperrt und die Kommunikation mit diesen Devices reglementiert und per IPS überwacht werden. Der Basisschutz lässt sich dann stetig nach dem Baukastenprinzip budgetkonform erweitern. Denn angesichts der immer komplexer werdenden Bedrohungslandschaft müssen die Präventionsmaßnahmen kontinuierlich nachgeschärft werden.

Mit SOC und ISMS die Basics erweitern

Bedrohungen müssen rund um die Uhr und in Echtzeit identifiziert werden, um im Ernstfall sofort reagieren zu können. Aus diesem Grund empfiehlt sich für Gesundheitsinstitutionen wie Krankenhäuser, ein Security Operations Center (SOC) einzurichten. Im SOC laufen alle Fäden der Cyber Security zusammen – hier wird die IT-Sicherheitsinfrastruktur des Krankenhauses rund um die Uhr durch Spezialist:innen mit neuester Technologie überwacht, Angriffe werden zeitnah identifiziert und die Abwehr eingeleitet. Die dabei gesammelten Erfahrungen ermöglichen, die Abwehrstrategie permanent anzupassen. Gesundheitseinrichtungen müssen ein SOC nicht selbst betreiben, sondern können sich von einem Managed Service Provider unterstützen lassen.

Zusätzlich zu den Security Basics empfiehlt es sich, ein Information Security Management System (ISMS) zu etablieren. Dabei handelt es sich nicht um ein physisches System, sondern vielmehr um eine durch Richtlinien definierte Vorgehensweise, die die Informationssicherheit in einem Unternehmen dauerhaft definiert, steuert, kontrolliert, aufrechterhält und sie fortlaufend verbessert. Ein ISMS wird individuell für ein Unternehmen umgesetzt und implementiert.

Sicherheit schrittweise erhöhen

Um Unternehmen und Institutionen im Gesundheitsbereich erfolgreich gegen Cyberangriffe abzusichern, braucht es mehr als in Hardware und Software zu investieren. Ziel sollte eine umfassende Cyber-Security-Strategie sein, die sich schrittweise umsetzen lässt. So können Organisationen zunächst damit starten, Sicherheits-Audits durchzuführen, um anschließend darauf aufbauend technische Lösungen wie interne und externe Firewalls, Intrusion Prevention, Netzwerksegmentierung, ISMS und SOCs einzuführen. Gleichzeitig zahlen sich Awareness-Schulungen zur Mitarbeitersensibilisierung aus. Solange Unternehmen diesen Best Practices folgen, erhöhen sie die Sicherheit ihrer Systeme und damit der Patientendaten kontinuierlich. Die Zusammenarbeit mit externen Partnern und der Einsatz von Managed Services können dabei helfen, IT-Abteilungen in Gesundheitseinrichtungen nicht zusätzlich zu belasten.

Mehr bei Axians.com

 


Über Axians
Die Unternehmensgruppe Axians in Deutschland ist Teil des globalen Markennetzwerks für ICT-Lösungen von VINCI Energies. Mit einem ganzheitlichen ICT-Portfolio unterstützt die Gruppe Unternehmen, Kommunen und öffentliche Einrichtungen, Netzbetreiber sowie Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen.


Passende Artikel zum Thema

Auswirkungen von NIS2 auf Cybersecurity im Gesundheitswesen

Die Überarbeitung der EU-Richtlinie zur Erhöhung der Cybersicherheit für kritische Infrastrukturen (NIS2) hat das Thema Cybersecurity in vielen Gesundheitseinrichtungen noch ➡ Weiterlesen

Cyberattacken via API

Im ersten Monat des Jahres 2024 hat die Häufigkeit von API-Angriffen zugenommen und betrifft durchschnittlich 1 von 4,6 Unternehmen pro ➡ Weiterlesen

Die unterschätzte Bedrohung BEC

Business E-Mail Compromise (BEC) ist eine Art von Phishing-Betrug per E-Mail, bei dem ein Angreifer versucht, Mitglieder einer Organisation dazu ➡ Weiterlesen

Security Operations Platform mit Threat Center und Copilot

Die Security Operations Platform von Exabeam bekommt zwei neue wichtige Cybersecurity-Funktionen: Threat Center und Copilot. Die Lösung vereint Bedrohungsmanagement, Untersuchungstools ➡ Weiterlesen

IT-Security: Arbeitsplätze sind Monate lange unbesetzt  

Fachkräftemangel als Cybersicherheitsschwachstelle? Laut einer Studie von Kaspersky benötigt die Hälfte (49 Prozent) der befragten Unternehmen in Europa über ein ➡ Weiterlesen

KRITIS: OT- und IoT-Netzwerkanomalien sind allgegenwärtig 

Ein neuer Report zeigt: Netzwerkanomalien und Angriffe sind die häufigsten Bedrohungen für OT- und IoT-Umgebungen besonders im Bereich kritische Infrastrukturen. ➡ Weiterlesen

Gefährlicher Irrglaube: “Wir haben keine IT-Schwachstellen”

„Wir haben gut vorgesorgt und ich glaube, dass wir gut abgesichert sind“. Dieser oft ausgesprochene Satz täuscht eine trügerische Sicherheit ➡ Weiterlesen

Dynamische Angriffsflächen in der Cloud schützen

Immer mehr Unternehmen verlagern digitale Assets in die Cloud. In der Folge erweitert sich die Angriffsfläche der IT und wird, ➡ Weiterlesen