> Das Dienstleisterverzeichnis für Marketing <        
print logo

Gesundheitswesen: Nachholbedarf in Sachen IT-Sicherheit

Um die IT-Sicherheit im Gesundheitswesen ist es alles andere als gut bestellt. Sensible Daten sind mehr denn je in Gefahr.
SentinelOne | 22.05.2018
© SentinelOne
 

Dass Klinken, Krankenhäuser und Arztpraxen im Fokus von Cyberkriminellen stehen, ist keine Überraschung. Immerhin zählen Gesundheitseinrichtungen zu den kritischen Infrastrukturen des Landes, d.h. zu den Einrichtungen, deren Ausfall Versorgungsengpässe und Störungen der Sicherheit nach sich ziehen. Zum anderen sind Gesundheitseinrichtungen ein besonders attraktives Cyber-Ziel, da sie Unmengen an personenbezogenen Daten speichern. Welche Brisanz vor allem von den sensiblen Daten ausgeht, mussten jüngst auch 300 deutsche Krankenhäuser erleben. Berichten zufolge wurden in eben diesen Einrichtungen viele kritische Daten – darunter Finanz-, Mitarbeiter aber auch Patienteninformationen aus den vergangenen zehn Jahren – entwendet und der Internet-Plattform "medileaks.cc" zugespielt.

Wie schnell Cyberkriminelle unsere Gesundheitsversorgung erschüttern können, hat uns auch die Ransomware WannaCry gelehrt – vor genau einem Jahr. Im Mai 207 wurden eine Sicherheitslücke in Microsoft-Windows und ein verpasstes Sicherheitsupdate fast 50 Kliniken in England und Schottland zum Verhängnis: Sie infizierten sich mit dem gefährlichen WannaCry-Trojaner und mussten sich daraufhin für viele Stunden von einem normalen Verwaltungs- und Behandlungsablauf verabschieden. Etliche Erkrankte, deren Daten nicht zur Verfügung standen, mussten unbehandelt nach Hause geschickt oder in andere Kliniken verlegt werden. Die Erschütterung war groß.

Sorgenkind IT-Sicherheit

Tatsache ist, dass es um die IT-Sicherheit im Gesundheitswesen alles andere als gut bestellt ist. Nimmt man die Krankenhaus-IT einmal genauer unter die Lupe, stößt man in vielen Kliniken auf veraltete Netzwerke, Soft- und Hardware. Auch in deutschen Kliniken laufen viele PCs aber auch lebenswichtige Medizingeräte noch auf Windows XP, für das es schon lange Zeit keinen offiziellen Support mehr gibt. Der Großteil der Updates wird von den Verantwortlichen, wenn überhaupt, verspätet oder unvollständig ausgeführt.

Die Gründe für diese Vernachlässigung sind dabei vielfältig. Fehlendes Budget für neue Software, Security-Experten oder Mitarbeiterschulungen dürften hier jedoch ausschlaggebend sein. Zur Verteidigung muss jedoch angeführt werden, dass das zeitnahe Einspielen von Updates für Kliniken nicht immer so einfach ist, wie man gerne annehmen möchte. Was ist, wenn die Softwareaktualisierung Probleme bereitet und es zu Konflikten innerhalb des Systems kommt, die einen kompletten System-Ausfall nach sich ziehen? Auch dies kann letztlich den Arbeits- und Verwaltungsbetrieb oder aber die lebenswichtige Intensivpflege eines Patienten beeinträchtigen. Es ist also nicht verwunderlich, dass Updates verschoben werden und IT-Verantwortliche Sicherheitslücken notgedrungen hinnehmen.

Veraltete Schutztechnologien müssen ersetzte werden

Anders als nachlässige Update-Prozesse, ist der Einsatz unzureichender Endpunktschutztechnologien jedoch nicht hinnehmbar. Immer noch verlassen sich viele Kliniken und Krankenhäuser bei der Abwehr von Malware auf herkömmliche Antivirus-Lösungen, die schadhafte Dateien, URLs oder IP-Adressen mit Hilfe eines signaturbasierten Ansatzes aufspüren und bei der Identifizierung von hochentwickelten und verschleierten Angriffen daher versagen müssen. Wie eine Befragung von SentinelOne im letzten Jahr offenbarte, wurden fast ein Drittel der britischen NHS-Einrichtungen bereits Opfer eines Ransomware-Angriffs. Und das, obwohl fast alle befragten Krankenhäuser Antivirus-Software installiert haben, um ihre Endgeräte vor Malware zu schützen.

Dass herkömmliche Sicherheitstechnologien im Kampf gegen bösartige Malware-Formen ohnmächtig sind, steht also außer Frage, nicht aber, warum die IT-Verantwortlichen diese Unzulänglichkeit hinnehmen und damit Cyberkriminellen Tür und Tor öffnen. Immerhin existieren bereits heute Endpoint Protection-Lösungen, die den signaturbasieren Ansatz hinter sich lassen und bei der Erkennung von Schadcode neue, effektivere Wege gehen. Endpunktschutz der nächsten Generation nutzt innovative Technologien wie maschinelles Lernen und dynamische Verhaltensanalysen, die Einblick in den Modus Operandi der Malware gewähren, ihr Vorgehen aufdecken und schädliche Manipulationen verhindern. Da diese Lösungen in der Lage sind, schadhaften Code anhand seines Laufzeitverhaltens zu erkennen, können auch völlig neuartige und bisher unbekannte Varianten identifiziert werden.

Richtlinien und die DSGVO

Im Gesundheitswesen hat Sicherheit oberste Priorität. Dennoch hapert es bei der Umsetzung einer adäquaten IT-Sicherheit nach wie vor. Aus rechtlicher Sicht begeben sich Kliniken und ihre Geschäftsführer damit jedoch auf dünnes Eis, denn Bundesdatenschutzgesetz, BSI-Gesetz, NIS-Richtlinie und die nahende EU-Datenschutzgrundverordnung stellen an Betreiber kritischer Infrastrukturen mittlerweile hohe Anforderungen. Um Datenrechtsverletzungen und damit verbundenen Bußgeldern vorzubeugen, müssen Krankenhäuser für eine ausreichende technische Ausstattung sorgen und die entsprechenden organisatorischen Maßnahmen schaffen, um Cyberangriffe bestmöglich und richtlinienkonform zu verhindern und abzuwehren.