Die Corona-Pandemie stellt Kliniken vor große Herausforderungen. Diese Notsituation missbrauchen Cyberkriminelle für Ihre Zwecke. In seinem Gastbeitrag beleuchtet Carsten Kramschneider von VMware die aktuelle Lage und erläutert, was das für die Sicherheit in Krankenhäusern bedeutet.
Gastbeitrag von Carsten Kramschneider
Die aktuelle Situation stellt Unternehmen aus allen Branchen vor bisher unbekannte und sich ständig ändernde Herausforderungen – besonders davon betroffen sind kritische Infrastrukturen im Gesundheitswesen. Doch genau diese Notsituation wird aktuell von Cyberkriminellen ausgenutzt. Die Corona-Pandemie mit ihrer Verlagerung zahlreicher Lebens- und Arbeitsbereiche ins Digitale hat deutlich gemacht, dass Cybersicherheit für Krankenhäuser kein Add-on der Patientenversorgung, sondern geradezu eine Voraussetzung für die Sicherheit der Patienten ist. Wie lassen sich Krankenhaus-Netzwerke intern und extern besser schützen? Die Lösung besteht darin, dedizierte Netzwerke zu mikrosegmentieren und quasi ein eigenes Netzwerk für die Medizingeräte zur Verfügung zu stellen.
Als die Krise begann, ging es unter anderem darum, Mitarbeiter von zu Hause aus arbeiten zu lassen. Das betraf in Krankenhäusern vor allem die Verwaltung. Aufgrund der plötzlichen Dringlichkeit hat das einige Kliniken durchaus in Zugzwang gebracht – nicht, weil die IT-Abteilungen die Thematik „Arbeitsplatz zu Hause“ nicht kannten, sondern einfach, weil es sie in dem Umfang, in dem das plötzlich stattfand, überfordert hat. Da ging es ihnen wie vielen anderen Unternehmen aus anderen Branchen auch.
Chance Krankenhauszukunftsgesetz
Inzwischen ist deutlich geworden, dass in der Krise auch eine Chance steckt. Dem Gesetzgeber ist klar, dass Sicherheit Geld kostet und hat das Krankenhauszukunftsgesetz in Wege geleitet. Damit werden umfangreiche Fördermittel für Digitalisierung im Gesundheitswesen bereitgestellt, von denen 15 Prozent in die IT-Sicherheit fließen sollten. Das Gesetz ist eine Chance, bisher Versäumtes nachzuholen. Denn noch hakt es bei der Security an allen Ecken und Enden, wie jüngste Cyber-Attacken auf Krankenhäuser zeigen. Dabei bedarf es nicht einmal besonders viel Aufwand seitens der Internetkriminellen. Die Einfallstore, um an Patientendaten zu gelangen, sind vielfältig – sei es über eigene Mitarbeiter, externe Dienstleister oder professionelle kriminelle Hacker.
Intrinsic Security für sichere Medizingeräte
Ein spezielles Thema im Krankenhaus ist die Sicherheit der Medizingeräte, wie beispielsweise CT, Röntgen-, Ultraschall- oder Beatmungsgeräte. Diese sind heute meistens in irgendeiner Weise mit dem Internet verbunden. Medizinische IT-Geräte kommunizieren mit externen Wartungsservern der Hersteller, auf die die Krankenhäuser in der Regel keinen Zugriff haben. Mögliche Einfallstore für Kriminelle stellen Geräte wie Tablets, die Ärzte und Pflegepersonal bei der Visite einsetzen, dar. Ebenso elektronische Untersuchungsgeräte oder Navigations- und Planungssysteme für Operationen. Diese komplexen Systeme, die mit vielen weiteren technischen Komponenten im Krankenhaus abgestimmt werden müssen, sind mitunter nur rudimentär abgesichert. Diese Schwäche können Hacker nutzen.
Durch den Wildwuchs der letzten Jahre, unter anderem bedingt durch den BYOD-Trend auch im Gesundheitswesen, ist es nicht verwunderlich, wenn so manche IT-Abteilung den Überblick verloren hat und nicht mehr genau weiß, ob oder welche ihrer zahlreichen medizinischen Geräte mit einem Bein im Internet stehen. Doch das Fatalste wäre, in solch einem Fall einfach so weiterzumachen wie bisher. Denn schließlich sind die Sicherheit und Zuverlässigkeit kritischer Infrastrukturen im Gesundheitswesen für die Gesellschaft überlebenswichtig. Das zeigt sich in diesen Zeiten so frappierend wie nie.
Granulare Sicherheitskonzepte als Lösungsansatz
Es braucht ein granulares Sicherheitskonzept, das sowohl das gesamte Netzwerk der Krankenhaus-IT vor Ausfällen schützt als auch einzelne medizinische Geräte mit Internetverbindung absichert. Dieses kann aufgesetzt werden, indem man dedizierte Netzwerke mikrosegmentiert und so quasi ein eigenes Netzwerk für die Medizingeräte bildet. Das Kernnetz, das die gesamte IT trägt, wird von Drittgeräten hermetisch abgeriegelt.
Das Charmante dabei – auch in puncto Kosten: Das geht ohne weitere Investitionen in zusätzliche Hardware, physische Netzwerke oder weitere Firewall-Technologien. Mit einem ganzheitlichen End-to-End-Ansatz, der auf Mikrosegmentierung basiert und auf dem Konzept von Intrinsic-Security fußt, lässt sich eine durchgehende Sicherheit vom Datensatz bis zum Endgerät gewährleisten. Durch die Implementierung von Networking und Sicherheit in eine Softwareschicht, die direkt auf Bare-Metal-Servern ausgeführt wird, können Kliniken ihre Netzwerke konfigurieren und Sicherheitsrichtlinien auf der niedrigsten Ebene ihres Software-Stacks durchsetzen. Durch Segmentierung lässt sich das Netzwerk in verschiedene Schutzklassen unterteilen: Neben besonders schützenswerten Patientendaten, die von außen keinesfalls zugänglich sein dürfen, gibt es zusätzlich Kategorien mit mittlerem Schutzbedarf für Verwaltungsdaten oder Abrechnungen. Ein weniger kritisches Segment ist beispielsweise das Entertainment-System in Patientenzimmern.
Mit eingebauten Sicherheitslösungen verliert die virtuelle Infrastruktur ihre Agilität nicht, lässt sich wunderbar skalieren und an unterschiedliche Einrichtungen anpassen, zum Beispiel in Klinikverbünden. Den Granulierungsgrad der Schutzmaßnahmen kann dabei jede Einheit selbst bestimmen.
Anwendungsschutz aus dem Inneren
Außerdem wichtig ist ein Schutz der Anwendungen im medizinischen und Verwaltungsbereich. Wie bei uns Menschen auch, die sich durch gesunde Ernährung fit halten und Infektionen vorbeugen, sollten auch die einzelnen Mechanismen der Anwendungen gesund gehalten und kontinuierlich auf Anomalitäten überprüft werden. Hier gibt es intelligente, mitlernende Lösungen, die unnatürliche Bewegungsmuster und Verhaltensauffälligkeiten erkennen. Diese Softwarelösungen überwachen Abweichungen, die auf mögliche Bedrohungen hindeuten. Wenn eine tatsächliche Bedrohung erkannt wird, wird automatisch reagiert und eine Warnmeldung an das Security Operations Center gesendet, damit diese abgewehrt werden kann.
Clouds sind kein Tabu mehr
In den letzten Monaten kam viel Bewegung in die sonst eher starren Strukturen des Gesundheitswesens. Gerade was externe IT-Dienstleister anging, waren die Entscheidungsträger extrem vorsichtig. Doch inzwischen haben nicht wenige erkannt: Warum unser wichtigstes Gut, die Sicherheit, nicht in die Hände von Profis legen? Das heißt nicht, die Verantwortung abzugeben, sondern auf verlässliche Partner zu bauen. So wie man sich von einem Arzt seines Vertrauens auf Herz und Nieren prüfen lässt. Nahezu jede IT-Lösung lässt sich mittlerweile auch On-Premise nutzen. Dadurch lassen sich genau die Dienste, die gerade gebraucht werden, in dem Umfang nutzen, wie es erforderlich ist, ohne das eigene Personal zu überlasten oder an hausinterne Kapazitätsgrenzen zu stoßen.
Ist ein einheitliches Betriebsmodell für Public Cloud- und On-Premises-Bereitstellungen gegeben, kann die Cloud-IT den Betrieb für eine wachsende Anzahl von virtuellen Netzwerken, Availability Zones, Regionen sowie Clouds vereinfachen und skalieren. Das bedeutet nicht, gänzlich auf eigene Ressourcen zu verzichten. Es macht, wie immer, der Mix.
Fazit:
Wir können es uns nicht erlauben, dass immer wieder Krankenhäuser vom Netz genommen werden müssen. Wenn sich das nicht ändert, wird die Digitalisierung des Gesundheitswesens nicht vorankommen. Wir brauchen neue Security-Ansätze, die nicht Dutzende Einzelprodukte nutzen, sondern integrierte Security-Netzwerk-Modelle: State-of-the-Art ist eine integrierte Sicherheitsarchitektur. Bei der Finanzierung braucht es eine Herangehensweise, bei der SaaS- und Cloud-basierte-Ansätze als Betriebsmittel, und nicht als Einmalinvestitionen gesehen werden.