IT-Sicherheit im Gesundheitswesen unzureichend

Das Thema IT-Sicherheit wird immer wichtiger im Gesundheitsbereich (Foto: Natalia Merzlyakova – Fotolia.com).

Unzureichend geschützte Endgeräte von Mitarbeitern dienen Cyberkriminellen bei ihren Angriffen häufig als Einfallstor. Davon ist auch das Gesundheitswesen betroffen, warnt jetzt das Unternehmen CyberArk. Die Unternehmen müssen das Thema IT-Sicherheit stärker in den Fokus rücken.

Ohne eine passende Endpunktsicherheitslösung, die Benutzerrechteverwaltung und Applikationskontrolle bietet, sind die Unternehmen Angreifern schutzlos ausgeliefert, betont CyberArk. Das zeigen die Ereignisse aus der jüngeren Vergangenheit. Während das Thema IT-Sicherheit im Gesundheitswesen früher noch eher eine Begleiterscheinung und vielfach auf den Bereich der Verwaltung beschränkt war, ist es inzwischen auch im klinischen und Laborbereich angekommen. In diesen Segmenten sind hohe Verfügbarkeit und Sicherheit unverzichtbar. Diagnosen und Therapieformen werden heute in Krankenhäusern digital gespeichert, Laborberichte über das Internet übertragen und Krankenhäuser und -kassen kommunizieren digital. Das hat nach Einschätzung des Sicherheitsunternehmens dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Informationen deutlich gestiegen ist.

Standard-Sicherheit nicht ausreichend

Vertrauliche Mitarbeiter- und Patientendaten sind gefährdet, wie mehrere Vorfälle der jüngsten Vergangenheit belegen: „Betrachtet man heute das Thema Endpunktsicherheit, ist die Erkenntnis, dass der Status Quo keinen umfassenden Schutz mehr bietet, offensichtlich“, sagt Christian Götz, Director of Presales and Professional Services DACH bei CyberArk. Er ist überzeugt: „Benötigt werden neue Lösungen, mit denen vor allem die Herausforderungen Benutzerrechteverwaltung und Applikationskontrolle zu bewältigen sind.“

Mehr Kontrolle – mehr Sicherheit

So erhalten in vielen Unternehmen der Gesundheitsbranche auch einfache Anwender Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gibt es mehrere Gründe, wie beispielsweise die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus laufen.  Der Nachteil: Wenn mehr Privilegien als notwendig vergeben werden, entsteht aber eine große und unübersichtliche Angriffsfläche, die leicht missbräuchlich genutzt werden kann. CyberArk rät daher zu einer Lösung, die die Umsetzung flexibler Least-Privilege-Richtlinien für Business- und administrative Anwender unterstützt. Sie muss die Einschränkung der Privilegien auf das notwendige Mindestmaß beschränken und außerdem bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Darüber hinaus sollte sie einen hohen Automatisierungsgrad mit einer automatisierten Erstellung und Aktualisierung von Richtlinien besitzen.

Wichtige Anwendungssteuerung

Ebenso wichtig wie die Rechtevergabe und -kontrolle ist auch die Applikationsüberwachung. Denn eine schädliche Anwendung mit Malware kann unter Umständen auch ohne erhöhte Berechtigung ausgeführt werden und das Netzwerk kompromittieren. Eine Sicherheitslösung sollte daher automatisch schädliche Anwendungen blockieren. Viele Unternehmen setzen hier auf Whitelists und Blacklists. Das ist zu wenig, befindet das Sicherheitsunternehmen. Der immense Graubereich in der Applikationslandschaft bleibe dabei unberücksichtigt. Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden können. Nicht zuletzt sollte die Lösung auch eine automatische Richtliniendefinition für Applikationen unterstützen, die auf vertrauenswürdigen Quellen basieren – solche Quellen sind zum Beispiel der Microsoft System Center Configuration Manager (SCCM) oder Software-Distributoren.

„Die IT im Gesundheitswesen sollte sich besser heute als morgen mit dem Problem Sicherheit auseinandersetzen, denn die Zeit wird knapp“, rät Götz. Der Gesetzgeber verschärfe kontinuierlich die Vorgaben und Sanktionen, wie das auch für den Sektor Gesundheit gültige IT-Sicherheitsgesetz zeige. „Spätestens Anfang 2017, wenn auch für den Gesundheitssektor eine Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes folgt, wird vielen klar werden, dass sie unter den Regelungsbereich des Gesetzes fallen und entsprechende Schutzmaßnahmen ergreifen müssen“, so der Sicherheitsexperte.