So wird das Krankenhaus-Netzwerk sicher

Auch Krankenhäuser sind immer häufiger im Visier von Hackern. Um ihre IT-Netzwerke umfassend zu schützen, sollten Kliniken einen mehrschichtigen Sicherheitsansatz verfolgen, sagt mednic-Gastautor Patrick Mathy. Der Verfasser ist als Netzwerkadministrator mit Spezialisierung Security für den IT-Dienstleister Prego Services tätig.

Von mednic-Gastautor Patrick Mathy

Cyber-Kriminelle machen selbst vor Gesundheitseinrichtungen nicht halt. Mit ihren Angriffen auf Krankenhäuser verursachen Hacker nicht nur Schäden finanzieller Art und an der Reputation der betroffenen Einrichtungen; im schlimmsten Fall kann der Ausfall von IT-Systemen die medizinische Versorgung der Patienten gefährden. Das IT-Sicherheitsgesetz stuft die IT-Netzwerke von Krankenhäusern darum auch als kritische Infrastrukturen ein, die ein Mindestmaß an Informationssicherheit gewährleisten müssen.

mednic-Gastautor Patrick Mathy
mednic-Gastautor Patrick Mathy (Foto: Prego Services)

„Defence in Depth“-Prinzip umsetzen

Mit einzelnen Maßnahmen lässt sich das nicht erreichen. Um Cyber-Attacken abwehren oder im Extremfall zumindest eindämmen zu können, sollten Krankenhäuser deshalb das so genannte „Defence in Depth“-Prinzip umsetzen. Das Credo dieses Prinzips: Sicherheitsrisiken werden durch die Implementierung gestaffelter Sicherheitsmaßnahmen minimiert, die auf mehreren Ebenen ansetzen und sich gegenseitig ergänzen. Solch ein mehrschichtiges Sicherheitskonzept lässt sich mit Hilfe von drei zentralen Säulen realisieren: einem von Haus aus sicher konzipierten Netzwerk, einem Information Security Management System und einem Security and Information Event Management.

Netzwerk in Sicherheitszonen aufteilen

Das A und O für Cyber-Security ist ein IT-Netzwerk, das von Grund auf sicher konzipiert ist. Dazu sollte es in einzelne Sicherheitszonen aufgeteilt werden, die durch Firewalls voneinander getrennt sind und die abhängig von ihrer Kritikalität von den Firewalls gezielt geschützt werden. Das IT-Netzwerk eines Krankenhauses könnte dabei beispielsweise in folgende vier Zonen aufgespalten werden: Zone 1 bilden die Fileserver mit den hochkritischen Patientendaten, Zone 2 die ebenfalls hochkritischen Operationsmonitore, Zone 3 die unkritischen Mail- und Webserver und Zone 4 die unkritischen gewöhnlichen PC-Arbeitsplätze. Die Kommunikation zwischen diesen Zonen sollte komplett über eine Firewall laufen, die nach dem „Whitelisting“-Prinzip agiert. Das heißt: Sie lässt ausschließlich Zugriffe von einer Zone auf die andere zu, die explizit als genehmigt definiert sind.

Unterschiedliche Schutzniveaus

Auf diese Weise kann für jede Zone gezielt das passende Schutzniveau geschaffen werden. Die Kommunikation von den gewöhnlichen PC-Arbeitsplätzen in Richtung der Server mit den hochkritischen Patientendaten etwa lässt sich per Whitelisting so steuern, dass sie generell unterbunden wird oder nur stark eingeschränkt erlaubt ist, so dass beispielsweise keinerlei Dateiübertragungen möglich sind. Schafft es eine Schadsoftware, die in einem E-Mail-Anhang versteckt ist, vom Virenscanner unerkannt auf einen PC-Arbeitsplatz, ist ihr von dort aus der Weg zu den Patientendaten versperrt.

Grafik verdeutlicht Aufteilung des Netzwerks in Sicherheitszonen
Durch die Aufteilung des Netzwerks in Sicherheitszonen, die durch eine Firewall voneinander getrennt sind, lassen sich Cyber-Attacken eindämmen (Grafik: Prego Services)

Dieses Beispiel zeigt den Kernnutzen der Sicherheitszonen: Viele Cyber-Angriffe können eingedämmt werden. Die Schadsoftware gelangt lediglich in die unkritischen Zonen, kann sich aber von dort aus nicht in die hochkritischen Zonen verbreiten. Natürlich muss ein befallener PC-Arbeitsplatz von einem Virus befreit werden; aber um die Gefahr zu beseitigen ist es nicht nötig, das komplette IT-Netzwerk herunterzufahren – und die Gesundheitseinrichtung kann ihre wichtigsten Aufgaben uneingeschränkt weiter erfüllen.

Prozesse und Verantwortlichkeiten definieren

Die zweite Säule eines sicheren Krankenhaus-Netzwerks bildet ein Information Security Management System (ISMS). Das ISMS ist ein Organisationssystem, in dem ein Unternehmen sämtliche Verfahren und Regeln definiert, die es benötigt, um die Informationssicherheit zu steuern, zu kontrollieren und zu verbessern.

Zu den zentralen Aufgaben bei der Implementierung eines ISMS gehört es unter anderem, Richtlinien für den richtigen Umgang mit Informationen festzulegen. Krankenhäuser sollten sich dabei am „Minimal Need to Know“-Prinzip orientieren. Es verlangt, dass jede Systemkomponente und jeder Benutzer nur die Rechte erhält, die für die Ausführung einer Aktion nötig sind. Demzufolge sollten etwa Anwendungen und Netzwerk-Dienste nicht mit Administratorprivilegien, sondern nur mit den minimal nötigen Systemrechten betrieben werden; Passwörter sollten generell nur denjenigen Personen zugänglich gemacht werden, die diese auch wirklich benötigen, um ihre Arbeit zu erledigen.

BSI-Kontaktperson schaffen

Ein ISMS muss außerdem die Prozesse und Verantwortlichkeiten für den Eintritt eines Sicherheitsvorfalls definieren. Es sollte klar und eindeutig festgelegt werden, wer wann zu informieren ist und was im Falle eines Virenbefalls oder Datenlecks konkret zu tun ist. Zu den Verantwortlichkeiten könnte auch schon bald eine explizite Kontaktperson zum Bundesamt für Sicherheit in der Informationstechnik (BSI) zählen. Für andere Betreiber kritischer Infrastrukturen – etwa Energieversorger – ist eine solche Kontaktperson bereits von Gesetztes wegen vorgeschrieben; es ist zu erwarten, dass dies künftig auch von Krankenhäusern verlangt wird.

Für die Implementierung eines ISMS stellt das BSI einige hilfreiche Dokumente zur Verfügung. Sie beschreiben die speziellen Anforderungen im Gesundheitswesen und geben Hinweise für die konkrete Umsetzung. Zu diesen Dokumenten zählt unter anderem der Leitfaden „Risikoanalyse Krankenhaus-IT“.

Netzwerk mit speziellem Softwaresystem überwachen

Die dritte Säule der Netzwerksicherheit ist ein Security Information and Event Management (SIEM). Mit diesem Softwaresystem können Krankenhäuser ihre Netzwerke überwachen und die Prozesse unterstützen, die sie im Rahmen ihres ISMS definiert haben. Dazu sammelt eine SIEM-Lösung laufend sämtliche Sicherheitsmeldungen der Netzwerk-Hardwarekomponenten und bringt sie miteinander in Verbindung. Tritt dabei ein Zusammenhang auf, der per Definition auf einen Sicherheitsvorfall hindeutet, informiert das System automatisch die zuständigen Verantwortlichen im Unternehmen.

Wird beispielsweise an einer bestimmten Netzwerkkomponente ein falsches Passwort eingegeben, schickt die Komponente eine Sicherheitsmeldung an das SIEM. Bleibt es bei einer einzigen Falscheingabe, spricht alles dafür, dass sich einfach nur ein Administrator vertippt hat – und das SIEM wird nicht aktiv. Treten allerdings an dieser Komponente innerhalb kurzer Zeit vielfache Falscheingaben auf, ist die Wahrscheinlichkeit hoch, dass es sich um einen unautorisierten Zugriffsversuch handelt. Es könnte zum Beispiel eine professionelle Brute-Force-Attacke dahinterstecken, bei der Hacker versuchen, ein Passwort durch Computer-gestütztes Ausprobieren zu knacken. Erhält das SIEM sehr viele entsprechende Meldungen von ein- und derselben Quelle, informiert es deshalb sofort automatisch den zuständigen Sicherheitsverantwortlichen – in diesem Fall beispielsweise den Netzwerkadministrator.

Neben der Echtzeitalarmierung kann ein SIEM-System aber auch maßgeblich dazu beitragen, das ISMS immer weiter zu verbessern. Indem es Sicherheitsmeldungen zusammenfasst und ihre Entwicklung über den Lauf der Zeit aufzeigt, liefert es wertvolle Analysen, die sich zur Verfeinerung der im ISMS festgelegten Prozesse nutzen lassen. So kann langfristig ein hohes Maß an Granularität gewährleistet werden.

Gute Sicherheitssysteme schrecken ab

Angesichts der steigenden Bedrohung durch Cyber-Kriminelle kann es sich heute keine Gesundheitseinrichtung mehr leisten, auf zeitgemäße Sicherheitsvorkehrungen zu verzichten. Setzen sie das „Defence in Depth“-Prinzip durch die Kombination eines sicher konzipierten Netzwerks mit ISMS und SIEM um, können sie das geforderte Mindestmaß an Informationssicherheit garantieren und die Wahrscheinlichkeit von Zwischenfällen möglichst gering halten. Dazu trägt auch die Tatsache bei, dass professionelle Hacker ein gutes Sicherheitssystem erkennen können – und sich unter Umständen davon abschrecken lassen.

Info
Gastautor Patrick Mathy ist Netzwerkadministrator mit Spezialisierung Security bei Prego Services. Der 2001 gegründete IT-Dienstleister mit Sitz in Saarbrücken und Ludwigshafen konzipiert, implementiert und betreibt Netzwerke für Energieversorger und Krankenhäuser. Prego Services ist Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen.