Das Kommunalunternehmen Haßberg-Kliniken betreibt zwei Krankenhäuser der Grundversorgung in Haßfurt und in Ebern bei Würzburg. Rund 10.300 stationäre und fast 17.200 ambulante Fälle werden dort jährlich versorgt. Für den Schutz des zur Kritischen Infrastruktur zählenden IT-Netzwerks sorgt eine Network Access Control (NAC)-Lösung von Macmon Secure.
Die Haßberg-Kliniken verfügen über hohe Kompetenz im Bereich moderner Operations- und Diagnoseverfahren. Damit die Patientenversorgung IT-seitig sichergestellt ist, steht ein IT-Netzwerk mit 1.000 Endgeräten bereit. Das Netzwerk integriert moderne Medizingeräte. Ärzte und Pflegekräfte erhalten so einen sicheren und direkten Zugang zu digitalen Informationen, wie beispielsweise MRT-Daten.
Die Arbeitsplätze der Klinikmitarbeiter sind ausgestattet mit 160 Thin Clients, 165 Computern und 75 Laptops. Zu den weiteren Endgeräten zählen auch 250 Drucker. Aktuell sind 76 medizinische Geräte, wie MRT- oder Sonographie- oder Röntgengeräte integriert, Tendenz steigend. Aber auch Überwachungskameras oder Kartenlesegeräte gehören zur Infrastruktur.
Klassische IT-Netzwerke, die Endgeräte wie beispielsweise MRT-Systeme integrieren, werden so zu medizinischen Netzwerken. Damit muss zum Beispiel für jedes noch so kleine Gerät, wie auch eine Kamera oder einen Laptop, eine Risikoabschätzung nach DIN 80001-1 durchgeführt werden. Die Kontrolle und Sicherheit dieser gemischten Netzwerke ist essentiell, eine Störung kann für Patienten lebensbedrohliche Folgen haben, wenn beispielsweise Beatmungsgeräte auf der Intensivstation gestört sind.
Umfassende Sicherheitskontrolle
Die Haßberg-Kliniken benötigten daher eine Lösung, die zuverlässig vor internen und externen Angriffen schützt und gleichzeitig die Funktionalität aller Systeme gewährleistet. Nicht zuletzt sollte der Schutz der hochsensiblen Patientendaten gewährleistet sein. „Auch die Sicherheit besonders kritischer Bereiche wie der Operations- oder Aufwachräume, der Labor-Abteilung und der Intensivstation gehören zu unserem Security-Konzept. Spezielle schützenswerte Systeme sind: das Krankenhausinformationssystem (KIS), das Labor Informationssystem (LIS), das Radiologie Informationssystem (RIS) und diverse Befundsysteme“, erläutert der Systemadministrator der Haßberg-Kliniken Jan Schmitt.
Netzwerksicherheit deutlich verbessert
Um dieses Höchstmaß an Sicherheit zu gewährleisten, kommt in den Kliniken nun Macmon NAC zum Einsatz. Mithilfe der Lösung werden unbekannte MAC-Adressen bei der Anmeldung an das Netzwerk sofort gesperrt, beispielsweise wenn ein Mitarbeiter ein neues Endgerät in die Datendose einsteckt. Und auch das unbekannte Gerät eines Angreifers erhält keinen Zugriff auf das Unternehmensnetzwerk und kann keinen Schaden anrichten. Angesichts der zunehmenden Angriffe auf die IT von Krankenhäusern in der Vergangenheit ein wichtiger Vorteil. „Ein Penetrationstest hatte aufgezeigt, dass signifikante Defizite in der Netzwerktransparenz bestanden. Aufgrund einer Empfehlung eines Sicherheitsberaters haben wir uns für Macmon NAC entschieden. Damit wissen wir jederzeit, welche Geräte sich im Netzwerk befinden und können diesen durch switchportgenaue Regeln automatisiert Zugänge gewähren oder verweigern. Die Sicherheitslücke konnte geschlossen und die Netzwerksicherheit deutlich verbessert werden“, so Schmitt.
Voller Überblick für die IT-Abteilung
Da sich das Klinikum an zwei Standorten befindet, hatte die IT-Abteilung vor dem Einsatz von Macmon NAC keinen sofortigen Überblick über Veränderungen im Netzwerk, berichtet Jan Schmitt. So wurden durch den lokalen Hausmeister PCs oder Thin Clients umgebaut, oder Service-Techniker führten Änderungen an wichtigen Endgeräten wie MRTs durch – ohne Abstimmung mit der IT.
Dieser Zustand hat sich geändert: Bewegungen im Netzwerk werden der IT-Abteilung jetzt sofort angezeigt und situationsabhängig betreut. Nicht vertrauenswürdige Geräte können von Macmon, sobald sie im Netzwerk erscheinen, in ein Besucher- oder Quarantäne-VLAN geschaltet werden. Außerdem zeigt Macmon NAC an, wann ein Gerät das letzte Mal im Netzwerk aktiv war. Dadurch können laut Schmitt „Leichen im Netzwerk gefunden werden.“ Geräte, die lange nicht im Netz gesehen wurden oder nach einem „Compliance-Check“ als unsicher eingestuft werden, bleiben dank der Lösung bis zur Klärung des Status in einem Quarantäne-Netz.
Generell verfügen die Haßberg-Kliniken über drei Sicherheitszonen: Unautorisierte Geräte im LAN und WLAN werden von macmon NAC erkannt und bleiben außen vor. Geräte, die sich über eine bekannte MAC-Adresse identifizieren, werden in definierte Bereiche des Netzwerks gelassen. Geräte, die über ihre Computeridentität erkannt werden, können im dritten Segment arbeiten. Dazu gehören beispielsweise Laptops oder PCs.
Kritische Infrastrukturen stark gefährdet
„Kritische Infrastrukturen sind verstärkt im Fokus von Cyberkriminellen. Im Gesundheitsbereich mit dem Schwerpunkt Krankenhäuser sei die Zahl von Hackerangriffen von elf im Jahr 2018 auf 16 in 2019 und auf 43 im Jahr 2020 gestiegen, hatte die Bundesregierung auf eine Fraktionsanfrage geantwortet“, sagt Christian Bücker, Geschäftsführer der Macmon Secure GmbH. Das Beispiel der Haßberg-Kliniken zeige, wie bereits mit geringem Aufwand die Netzwerksicherheit verbessert werden könne. „Mit unserer, bereits in vielen Krankenhäusern wie dem Universitätsklinikum Frankfurt – mit täglich 500.000 Netzwerkereignissen – erprobten Lösung, können Netzwerke mit ihren vielfältigen Endgeräten vor ungewolltem Zugriff durch Kriminelle sicher geschützt werden“, so Bücker weiter.
Staatliche Gelder für die Sicherung der IT-Infrastrukturen
Der Krankenhausstrukturfonds wurde zur Verbesserung der Strukturen in der Krankenhausversorgung eingerichtet. Die aktuelle Förderperiode dauert bis 2022. Jährlich steht ein Budget von rund 500 Mio. Euro zur Verfügung. Zusätzlich verschafft die Bundesregierung mit dem Investitionsprogramm des Krankenhauszukunftgesetzes (KHZG) den Krankenhäusern ein digitales Update. Der Bund stellt seit 1. Januar 2021 drei Milliarden Euro bereit, damit Krankenhäuser in moderne Notfallkapazitäten, die Digitalisierung und ihre IT-Sicherheit investieren können. Die Länder sollen weitere Investitionsmittel von 1,3 Milliarden Euro aufbringen. Mit dem Gesetz wird das durch die Koalition am 3. Juni 2020 beschlossene „Zukunftsprogramm Krankenhäuser“ umgesetzt. Interessant an dieser Förderung: 15 Prozent müssen von den Krankenhäusern in IT-Sicherheit investiert werden.
Bei einem umfassenden IT-Sicherheitskonzept im Gesundheitswesen sollte auch das Thema Netzwerkzugangskontrolle integriert werden. Durch die zentrale Administration aller Unternehmensswitche via SNMP oder SSH/Telnet sorgt Macmon dafür, dass der IT-Administrator das Netzwerk einfach kontrollieren kann. Die Authentifizierung und Autorisierung der Geräte im Netzwerk erfolgt dabei ganz nach den Gegebenheiten und Möglichkeiten der Infrastruktur der Haßberg-Kliniken.
Zukunftssichere Investition in die Sicherheit kritischer Infrastrukturen
Neben dem hohen Sicherheitsniveau profitieren die Anwender der Macmon-Lösung von einem Handling und Betrieb. Zudem bietet die Lösung Schnittstellen zu anderen führenden Security-Produkten. In Zusammenarbeit mit IT-Security-Lösungen kann Macmon NAC beispielsweise ein non-konformes Gerät automatisch in Quarantäne stellen und den Netzwerk-Administrator über eine Attacke informieren, bevor eine gefährliche Ausbreitung im Klinikbetrieb stattfindet.
Macmon verfügt über Schnittstellen zu gängigen Antivirus-Lösungen, zu Endpoint Security, IT-Notfallmanagement, Intrusion Detection- oder Prevention-Systemen (IDS/IPS), Asset Management, Inventory, Security Incident & Event Management-Lösungen (SIEM). Die Macmon-Lösung lässt sich außerdem nahtlos in andere Security-Produkte wie Compliance-Anbindungen, Infrastruktur-Anbindungen, Asset-Management und Identitätsquellen, integrieren. Somit kann das Potenzial existierender Lösungen gemeinsam mit Macmon NAC optimal ausgeschöpft, und dank der Skalierbarkeit schrittweise an wachsende Anforderungen angepasst werden.
Fazit
Systemadministrator Jan Schmitt ist mit der neuen Lösung zufrieden: „Macmon NAC läuft im Hintergrund, da es zuverlässig arbeitet. Ich bin nur auf dem Web-Interface, um MAC-Adressen frei zu schalten oder um ein Gerät aus dem Netzwerk zu entfernen. Die Implementierung war reibungslos und schnell. Dabei wurde die OVA-Vorlage genutzt und in die virtuelle Umgebung eingebunden, die IP-Adresse eingestellt und die Switche hinzugefügt. Nach einer zweiwöchigen Testphase haben wir die MAC-Adressen den einzelnen Gruppen zugewiesen und konnten den Live-Betrieb starten.” Updates lassen sich aus dem Serviceportal des Herstellers einfach herunterladen. „Macmon läuft, wie es soll“, bringt Schmitt es auf den Punkt