DSGVO: Datenschutz-Risiko durch privilegierte Nutzer

Tom Haak ist Sales Director beim Sicherheitsunternehmen Balabit. (Foto: Balabit)

Im Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) wirksam und bringt auch für das Gesundheitswesen verschärfte Vorgaben mit sich. Um den Diebstahl oder Verlust von Patientendaten zu vermeiden, müssen die Einrichtungen sicherstellen, dass nur dazu autorisierte Nutzer auf sensible Informationen zugreifen. Tom Haak, Sales Director beim Sicherheitsunternehmen Balabit, erläutert in seinem Gastbeitrag auf mednic.de, warum dabei die Analyse von Aktivitäten von Nutzern mit privilegierten Berechtigungen ein wirksames Hilfsmittel ist.

Gastbeitrag von Tom Haak

Die neue Datenschutz-Grundverordnung legt die Messlatte in Bezug auf den Schutz von Daten für Unternehmen deutlich höher. Ganz besonders gilt dies für Einrichtungen, die mit sensiblen Informationen wie medizinischen Datenbeständen befasst sind. Kliniken, Arzt- und Therapiepraxen, Apotheken und Unternehmen aus der Arzneimittelbranche müssen daher ihre IT-Sicherheitsstrategie entsprechend anpassen. Die neuen Regelungen bringen deshalb für die IT- und Sicherheitsteams in medizinischen Einrichtungen viele Aufgaben und Verpflichtungen mit sich.

Risikogruppe privilegierte Nutzer

Besonderes Augenmerk legt die DSGVO auf die sogenannten „privilegierten Nutzer“. Dies sind interne und externe Mitarbeiter, denen die Verwaltung und Steuerung der gesamten IT-Infrastruktur – also Servern, Datenbanken, Netzwerkgeräten – obliegt, und die aufgrund ihrer Stellung Zugang zu sensibelsten Daten haben. Die neue DSGVO fordert nun, dass soweit wie möglich sichergestellt ist, dass personenbezogene Informationen weder von Hackern noch von illoyalen eigenen Mitarbeitern entwendet werden können. De facto bedeutet dies, dass Kliniken und Unternehmen aus dem medizinischen Sektor eine durchgängige (End-to-End) IT-Sicherheitskette aufbauen müssen. Das gilt auch für Dienstleister (Data Processors), die im Rahmen der Auftragsdatenverarbeitung medizinische Daten bearbeiten. Eine zentrale Aufgabe dabei ist es, Attacken durch Insider sowie Hacker zu verhindern, die sich Account-Informationen von IT-Nutzern mit privilegierten Rechten verschafft haben. Doch wie lassen sich solche gut getarnten Angreifer von legitimen Nutzern unterscheiden? Herkömmliche IT-Sicherheitslösungen beispielsweise sind nicht oder nur bedingt in der Lage, einen berechtigten Nutzer von einem Hacker zu unterscheiden oder illegale Aktionen eines Insiders zu erkennen.

Privileged Access Management – Schutz vor unzulässigen Aktivitäten

Einen Lösungsweg bietet das sogenannte Privileged Access Management (PAM), in dem unterschiedliche Komponenten zusammenarbeiten: Im Rahmen eines „Privileged Session Management“ (PSM) werden die Accounts von Nutzern mit erweiterten Berechtigungen zu IT-Systemen, Daten und Anwendungen überwacht. Die Aktivitäten solcher User im Firmennetz werden in sogenannten „Audit Trails“ in Echtzeit aufgezeichnet, die sich jederzeit aufrufen und analysieren lassen – etwa für forensische Untersuchungen. Wichtig ist, dass dabei die deutschen Datenschutzregelungen eingehalten werden und im Idealfall der Betriebsrat mit einbezogen wird.

Es wird beispielsweise protokolliert, welcher IT-Nutzer mit erweiterten Rechten wann auf welche Datenbanken oder Server zugreift und was er dort tut. Weiter liefert das Session-Management-Tool Informationen, von welchem Standort aus ein Nutzer normalerweise auf das Unternehmensnetz zugreift, wann das für gewöhnlich der Fall ist (Arbeitszeit) und welche Applikationen und Daten der Mitarbeiter in der Regel verwendet.

Um noch genauere Profile zu erhalten und Angriffe zweifelsfrei zu identifizieren, analysieren die Algorithmen der Privileged-Access-Management-Lösungen zudem biometrische Daten. So hat zum Beispiel jeder IT-Nutzer einen individuellen „Tipp-Rhythmus“ auf der Tastatur, der einzigartig ist. Dasselbe gilt für die Art, wie ein User die Computermaus bewegt. Das System lernt, was für einen Nutzer typisch ist und registriert Abweichungen. Auf Basis aller dieser Daten lässt sich einmal nachweisen, was ein privilegierter Nutzer im Netz gemacht hat und es entsteht für jeden eine Art digitaler Fingerabdruck mit seinem ganz individuellen Profil, die das typische IT-Nutzungsverhalten eines „Power-User“ oder Administrators vorhalten.

„Privileged Access Analytics“ zeigt Abweichungen

Die intelligenten Algorithmen des Tools „Privileged Access Analytics“  analysieren laufend anhand der bekannten Profile in Echtzeit die Aktivitäten der privilegierten Nutzer. Verdächtig ist beispielsweise, wenn Zugriffe von einem Rechner in Fernost oder Südamerika aus erfolgen, obwohl der Mitarbeiter am Standort Paris oder Hamburg tätig ist. Oder ein Beschäftigter, der normalerweise vorzugweise Word, Excel und Powerpoint verwendet, greift plötzlich auf Datenbanken mit Patientendaten und Forschungsergebnissen oder auf das SAP-System zu. Oder aber, wenn sich biometrische Daten ändern, also der User plötzlich die Maus völlig anders bewegt als der eigentliche Account-Besitzer.

All dies kann ein Indiz dafür sein, dass sich ein Angreifer der Zugangsdaten eines Beschäftigten bemächtigt hat und nun auf der Suche nach verwertbaren Informationen ist. Oder ein Mitarbeiter oder Dienstleister mit privilegierten Rechten hat sich zu diesem Zweck auf illegale Weise Daten verschafft. Bei Abweichungen vom erfassten Profil und verdächtigen Aktivitäten eines Users alarmiert das Privileged-Access-Management-System das IT-Sicherheitsteam.

Um eine möglichst hohe Genauigkeit zu erzielen und Fehlalarme auf ein Minimum zu reduzieren, kommen bei Lösungen wie Privileged Account Analytics Machine-Learning-Verfahren zum Einsatz. Sie berücksichtigen beispielsweise Faktoren wie Schwankungen der „Tagesform“ eines Mitarbeiters, die sich in einem veränderten Tipp-Verhalten niederschlagen.

Vor dem Hintergrund der DSGVO bieten Ansätze wie Privileged Access Management im Gesundheitswesen eine Reihe von Vorteilen. So werden in Echtzeit unzulässige Zugriffe auf Daten und Applikationen erfasst. IT-Sicherheitsfachleute können in diesem Fall Netzwerkverbindungen verdächtiger Systeme unterbrechen und den Vorgang im Detail analysieren. Auf diese Weise wird der Diebstahl oder Missbrauch sensibler Informationen unterbunden. Da die Lösung „Audit Trails“ von Nutzer-Session aufzeichnet, können Unternehmen und öffentliche Einrichtungen im Rahmen von Auditierungen nachweisen, dass sie die Vorgaben der GDPR einhalten. Oder aber die Audit Trails dienen als valide Basis für forensische Untersuchungen, sollte es doch einmal zu einem Datenleck oder einem Angriff durch Externe oder durch Insider gekommen sein – oder aber es dient bei Störfällen auch als Beleg für IT-Mitarbeiter, ihren „Job richtig gemacht zu haben“.

Fazit: Effektiver Datenschutz ist machbar

Einrichtungen aus dem medizinischen Sektor haben nur noch einige Monate Zeit, um ihre Datenschutz- und IT-Sicherheitsmaßnahmen an die Vorgaben der DSGVO anzupassen. Vor allem Risiken durch IT-Nutzerkonten mit erweiterten Rechten sollten dabei eine zentrale Rolle spielen. Daher sind Lösungen, die ein Monitoring der Aktivitäten von Privileged Usern ermöglichen, für solche Einrichtungen unverzichtbar. Denn eines steht fest: Die Zahl und die Qualität der Attacken auf Krankenhäuser, Pharmaunternehmen und Arztpraxen wird weiter steigen.