Sicherheitslücken und -tücken-Experten berichten

Cybersecurity muss zur täglichen Routine eines Krankenhauses gehören wie ein gutes Frühstück. Darüber waren sich die beiden Experten, die beim HIMSS Cybersecurity-Frühstück vortrugen, einig.

By
Cornelia
Wels-Maug

Anlässlich der conhIT fand auch in diesem Jahr wieder das HIMSS Frühstück statt. Diesmal stand es unter dem Zeichen von Cybersecurity. Es wurde deutlich, dass zwar das Thema immer mehr in das Bewusstsein von Entscheidern vordringt, diese aber schon relativ simple Maßnahmen außer Acht lassen, um Sicherheitslücken zu schließen. 

Menschliches Versagen als größtes Sicherheitsrisiko

Was ist das größte Sicherheitsrisiko innerhalb einer Organisation? Menschliches Versagen! Darüber herrscht große Einigkeit unter den 374 Teilnehmern des im Rahmen der vierteljährlichen Trendbarometererhebung stattfindenden Umfrage zu Cybersicherheit, die im Juli und August 2016 in Europa durchgeführt wurde. Dabei gehörten die Teilnehmer größtenteils (75 %) einer medizinischen Einrichtung an beziehungsweise arbeiteten in der IT-Industrie oder einer staatlichen Behörde, die sich mit dem Gesundheitswesen beschäftigt. Als größte Sicherheitslücke, so Studzinski, sehen dreiundachtzig Prozent aller im Gesundheitssektor Befragten menschliches Versagen. Hier können „Schwachstellen insbesondere durch fehlendes Sicherheitstraining, blindes Vertrauen in ein IT-System, Zeitdruck oder das Bewusstsein, das man ja weiß, wie alles gemacht werden sollte, entstehen“, erläutert Jörg Studzinski, Director Research and Advisory Services, HIMSS Europe GmbH, HIMSS Analytics. „Es wäre allerdings falsch den Endnutzer beim Thema IT-Sicherheit zum alleinigen Sündenbock zu erklären. Letztlich geht es um eine ausgeglichene Balance zwischen Sensibilisierungsmaßnahmen für die Systemnutzer und adäquaten technischen sowie administrativen Vorkehrungen. IT-Sicherheit ist eine organisationsübergreifende und vor allem kontinuierliche Maßnahme“, ergänzt Studzinski.   

Cyberkriminalität ist real

Laut Studzinski, gaben 37 % der Befragten an, innerhalb der letzten 12 Monate von Cyberattacken betroffen gewesen zu sein. In Deutschland sieht es am Bedrohlichsten aus, 46 % der in Deutschland Befragten sind bereits angegriffen worden. In der Schweiz sieht das ähnlich aus (43 %), dagegen beklagen nur 20 % der österreichischen Teilnehmer einen solchen Vorfall. Dieser Trend ist steigend; mit zunehmender Digitalisierung wird unweigerlich auch das Angriffspotenzial für Cyberkriminalität steigen.

Das erweiterte EMRAM-Model berücksichtigt stärker Cybersecurity

Um dieser Entwicklung mit dezidierten Maßnahmen entgegenzuwirken, wird die neue Version des EMRAM-Models, die ab Januar 2018 in Kraft tritt, um zusätzliche Kriterien zu Cybersicherheit über die verschiedenen EMRAM-Stufen hinweg erweitert werden. Diese Ergänzungen tragen den Erfahrungen, die man mit Cybersecurity in den USA und Asien gewonnen hat, Rechnung, unterstreicht Studzinski: „Viele dieser Kriterien werden jetzt noch getestet. Sie werden umfassend sein, um die IT-Sicherheit in Krankenhäusern auf solideren Boden zu stellen und werden insbesondere die Stufen 2 bis 6 betreffen und die schon existierenden Anforderungen an IT-Ausfallsicherheit und Notfallplanung auf Stufe 7 ergänzen.“ Unter anderem werden sie Richtlinien für Zugriffsberechtigung zu Rechenzentren und Servern betreffen (deren Zugangshistorie muss abrufbar sein) sowie zur angemessenen Nutzung der IT. „Genauso, wie man Erste-Hilfe-Kurse absolviert und auffrischen muss, wird das erweiterte EMRAM-Model IT-Sicherheitstraining für Nutzer beinhalten. Auch die Nutzung mobiler Geräte wird besser geregelt werden, sensible Daten dürfen nicht darauf gespeichert werden und wir machen Antivirussoftware für alle Tools zum Muss sowie Intrusion-Detection-Systeme, die den unberechtigten oder unerlaubten Zugriff auf klinische Systeme erkennen,“ verrät Studzinski.

Wie sehen gegenwärtig konkrete Cyberattacken aus?

„Die drei häufigsten Schwachstellen, die wir in Gesprächen mit 24 Krankenhäusern in neun Ländern im letzten Jahr identifiziert haben sind: keine oder kaum verschlüsselte Kommunikation (79 %), kein Schwachstellen Monitoring (66 %) und das Verwenden von Standardpasswörtern (58 %)“, resümiert Florian Otterbein, Professional Cyber Risk, Deloitte.

Es hört sich wie ein Kriminalroman an, wenn Otterbein von seinem letzten Fall erzählt: „Ein Angreifer hat sich im Januar dieses Jahres Zugriff auf den Windows Server eines Kunden verschafft und diesen anschließend zwei Monate als Proxy genutzt, um Seiten aufzurufen, die in seinem Land nicht verfügbar sind. Schließlich konnte er sich mit allen Computern im Firmennetzwerk verbinden und Ransomware auf den Systemen installieren. Dabei werden sämtliche Dateien verschlüsselt und nur gegen Zahlung von Lösegeld entschlüsselt. Im Anschluss hat er alle Malwaredateien gelöscht, um seine Spuren zu verwischen. Der Kunde konnte bis heute seine Systeme noch nicht vollständig wiederherstellen.“

Schutz vor Cyberkriminalität

Aber so weit sollte es eine Gesundheitseinrichtung erst gar kommen lassen. Otterbein legt Krankenhäusern nahe, ein Risikomanagement zu betreiben, das die aktuellen Bedrohungsszenarien diagnostiziert und darauf basierend eine IT-Sicherheitsstrategie formuliert, die die Einschätzung der Machbarkeit und Finanzierbarkeit sowie die zu erwartende Nutzerakzeptanz berücksichtigt. Außerdem wartet er mit einem Katalog an Sicherheitsmaßnahmen auf, der zwischen organisatorischen und technischen Vorkehrungen differenziert:

  • Organisatorische Maßnahmen:

    • Festlegen eines IT-Sicherheitsbeauftragten

    • Sensibilisieren der Mitarbeiter durch Awareness Schulungen

    • Durchführen von Sicherheitsaudits basierend auf ISO 80001, dem Risikomanagement für medizinische IT-Netzwerke

    • Erstellen von Notfallplänen und gemeinsam mit dem Krisenmanagement Trainings- und Ablaufpläne erstellen

    • Zusammenarbeit von Krankenhäusern im Bereich IT-Sicherheit

    • Krankenhäuser müssen bei Soft- und Hardwareherstellern aktiv nach IT-Sicherheitsmaßnahmen nachfragen

  • Technische Maßnahmen:

    • Netzwerksegmentierung, Einsatz von Antivirensoftware, Network Access Control

    • Überprüfung und Freigabe von USB-Sticks vor deren Verwendung

    • Errichten eines Security Operational Centers und Security Information & Event Managements

    • Überwachen und Melden ungewöhnlicher Vorfälle bei medizinischen IT-Systemen

    • IT-Sicherheit und Datenschutz als fester Bestandteil medizinischer Systeme.

Die lakonische Bemerkung eines anwesenden Chief Security Officers, „Wenn’s knallt, wird viel gemacht, dann nicht mehr“, zeigt auf eine der großen Herausforderungen bei Cybersicherheit: sie muss kontinuierlich angegangen werden. Einmalige Maßnahmen greifen zu kurz.

Cornelia Wels-Maug

erforscht seit 21 Jahren den Einsatz von IT in diversen Industriesektoren und hat sich vor fast zehn Jahren auf den Gesundheitsmarkt spezialisiert. Sie verfasst Artikel, Fallstudien und Weißbücher über den weltweiten Markt für IT im Gesundheitswesen undhält Vorträge und Webinare. Gleichzeitig ist sie auch als Analystin für den internationalen Gesundheitsmarkt bei einer englischen Firma tätig.

“Sieben auf einen Streich“ oder Cyber Securtiy zum HIMSS conhIT Frühstück

Die Dringlichkeit von Cyber Seurity wächst

Daten schützen

Interview mit Johannes Caspar, Landesdatenschutzbeauftragter Hamburg

Betrieblicher Datenschutz vor dem Aus

Interview mit Nikolaus Forgó, Rechtswissenschaftler