Wertediskussion zur Digitalisierung im Gesundheitssektor Teil 2

Verletzliche Cloud

| Autor / Redakteur: Pierre Gronau * / Manfred Klein

Vorsorge ist unabdingbar – auch bei der IT-Technik
Vorsorge ist unabdingbar – auch bei der IT-Technik (© Gronau)

Krankenhausbetriebe mit kritischen Infrastrukturen schieben zum Großteil noch immer die Entscheidung vor sich her, ob sie ihre Anwendungen einer Cloud-Umgebung anvertrauen oder aber mit einem internen Netz arbeiten sollen.

In jedem Fall müssen sie die Anforderungen an IT- und Datensicherheit, die der Gesetzgeber verlangt, nachweislich erfüllen. Dabei decken sich Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, zum Großteil mit den Gefahren für Inhouse-Netze. Zudem fehlt Kliniken, allein aufgrund der Fülle an vernetzten medizinischen Geräten, der Überblick über die Anzahl der Dinge im Netz, was Angreifern Vorteile bietet. IT-Sicherheitslotse Pierre Gronau deckt acht Risiken im Zusammenhang mit Cloud-Computing auf.

1. Datendiebstahl

Auf seine Daten wie elektronische Patientendaten und Systemdaten medizinischer Apparaturen achtet jeder medizinische Betrieb, jeder Hersteller selbst. Was sich zunächst gut anhört, erweist sich im IT-Alltag oft als Dilemma. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden. Neben Aufwand für Wiederherstellung und rechtlichen Konsequenzen droht ein Vertrauensverlust der Patienten.

Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt ein Vorfall im thailändischen Gesundheitsministerium. Hier waren im Sommer dieses Jahres Gesundheits- und andere persönliche Daten wie Mobilfunknummern von mehr als 2.000 Touristen online für jeden einsehbar. Unter anderem gab das Internet Informationen zu Krebs-Erkrankungen, Herzproblemen und psychischen Leiden preis.

Eine Studie des Ponemon Institute kam zu dem Schluss, dass Unternehmen, die auf Cloud vertrauen, bei Datendiebstahl einen deutlich größeren Schaden davontragen als Unternehmen, die auf Inhouse-IT-Strukturen bauen. Zudem stellte sie fest, dass Cloud-Nutzer mit gesteigerter Wahrscheinlichkeit bestohlen werden.

613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen im eigenen Unternehmen würden den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.

2. Zugriffsmanagement auf Krücken

Datenverstöße und Cyberattacken sind oft das Resultat von vernachlässigter Passwort-Politik und schwachem Log-Management. Verantwortliche im medizinischen Umfeld müssen Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht bei zahlreichem Klinikpersonal die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Insbesondere KRITIS-Kliniken sollten für ein nachprüfbares Sicherheitsdenken auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und Smartcard- und FIDO2-Zugriffsschutz bauen.

Dieses Vorgehen beschreibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Hersteller-Empfehlung „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte “. Ein granulares Log- und Zugriffsmanagement sowie die Passwort-Vergabe nach Stand der Technik werden hier priorisiert.

Ob Medizingerät oder vernetzter Arbeitsrechner im Schwesternzimmer – wenn Zugänge und Identitäten lax gehandhabt werden, erreicht Kriminalität durch Phishing und Betrug mit Cloud-Applikationen eine neue Qualität. Das Fälschen oder Manipulieren von Daten verhindern Sicherheitsbeauftragte nur mit einem Konzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen; eine schwierige Aufgabe, die finanzielles Investment und Innovationen in der Überwachung erfordert.

3. Bedrohungen im fortgeschrittenen Stadium

Die gemeinnützige Organisation Cloud Security Alliance (CSA) bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme, um Fuß zu fassen, und exfiltrieren dann Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte bilden neben direkten Angriffen auch gezielter eMail-Betrug, sogenanntes Spear-Phishing, sowie Attacken über USB-Treiber.

Um gewappnet zu sein, müssen sich Verantwortliche von KRITIS-Kliniken stets über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme für mehr Wachsamkeit gegenüber Parasiten. Diese Aufmerksamkeit hätte sich auch der DRK-Klinikverbund Rheinland-Pfalz gewünscht, der im vergangenen Juli mit einer Schadsoftware zu kämpfen hatte. Die Hacker-Attacke hatte das komplette Netz des Verbunds aus elf Krankenhäusern und vier Senioreneinrichtungen zum Erliegen gebracht .

Währenddessen beobachten IT-Sicherheitsexperten, dass Angriffe mit Schadsoftware nach Jahren vermeintlicher Flaute, in der sich Böswillige mehr mit illegalen Krypto-Mining-Programmen beschäftigten, wieder häufiger erfolgen. Das Ziel: die Erpressung von Lösegeldern wie im Lukas-Krankenhaus Neuss 2016, als die Klinik kein Lösegeld zahlte, aber mit einem wirtschaftlichen Schaden von 900.000 Euro umgehen musste. Meist kommen die Angreifer über Phishing-eMails zum Zuge, die einen Link zu einer infizierten Website enthalten. Über den Clientrechner breitet sich der Schaden dann auf Netz und IT-Systeme aus, indem die Software Daten großflächig verschlüsselt.

4. Mangelnde Weitsicht und Sorgfaltspflicht

Hersteller von Medizingeräten, die Public-Cloud-Dienste ohne Verständnis für die damit verbundenen Risiken nutzen, nehmen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf. Sind Entwicklungsteams für Gerätesoftware von Herzschrittmachern oder Röntgenapparaten nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten.

Daher müssen Entwickler eine umfassende und vor allem branchenbezogene Risikoprüfung, eine Due Dilligence, durchführen, um die mit ihren Cloud-Services verbundenen Risiken für ihr Produkt einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.

5. Keine Datensicherung, keine Gnade

Berichte über Datenverluste aufseiten der Cloud-Provider nehmen aktuell ab, obwohl Hacker sich nach wie vor angriffslustig zeigen und Daten aus Klinikstrukturen oder Rechenzentren löschen. Mindestens tägliche Datensicherungen, besser alle acht Stunden, sind die Basis jedes IT-Sicherheitskonzeptes. Wer als Klinikbetreiber sichergehen will, trennt personenbezogene Daten und Daten, die von medizinischen Geräten erfasst werden, jeweils physisch an verschiedenen Orten oder Netzen.

6. Cloud-Services als Eintrittstor

Wer an die Hardware-Ressourcen hinter einer Cloud gelangt, dem gelingt es, eine Armada von Geräten für sich zu nutzen. Hacker führen damit nicht nur simple DDoS-Attacken aus, sondern knacken auch Verschlüsselungen oder minen Crypto-Währungen. Attacken auf derartige Ressourcen haben meist zwei Dinge im Blick: Datendiebstahl mit nachfolgender Erpressung beziehungsweise das Löschen von Patientendaten und Downtime, die Teil einer weiteren Attacke sein kann oder dem anvisierten Krankenhaus Reputationsschäden und damit auch wirtschaftliche Einbußen einbringt.

7. (D)DoS-Attacken in nächster Generation

Cyberkriminelle nutzen schon lange DDoS-Attacken, die durch Anfragenüberflutung die Server des Zieles in die Knie zwingen. Sie erlangen aber durch Cloud-Services eine neue Bedeutung, da sie nun nicht mehr nur Internetseiten, sondern ganze Dienstleistungen paralysieren.

Github, eine Cloud zum Teilen von Code, erlebte 2018 einen Rekord-Angriff. Sage und schreibe 1,35 Terabit Traffic pro Sekunde erreichten die Server und überforderten sie für mehrere Minuten. Laut Netscout, einem Anbieter für Netzleistungsmanagementprodukte, sorgen DDoS-Attacken auf dem amerikanischen Markt pro Jahr für einen Schaden von 10 Milliarden US-Dollar . Auch die Quantität der Angriffe nimmt von Jahr zu Jahr stark zu.

8. Geteilte Technologie-Schwachstellen

Schwachstellen in gemeinschaftlich genutzter Technologie, die Infrastruktur, Plattform und Anwendung umfasst und bei vernetzten medizinischen Geräten an der Tagesordnung ist, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle Ebenen und Mandanten (Kunden). Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die Cloud Security Alliance eine nachhaltige und modulare Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser dabei die wesentlichen Bausteine.

Hippokrates war kein Nerd

Wertediskussion zur Digitalisierung im Gesundheitssektor

Hippokrates war kein Nerd

14.10.19 - Die Digitalisierung im Gesundheitswesen ist unumkehrbar. Diese Entwicklung wirft aber auch neue Fragestellungen bezüglich der IT-Sicherheit auf. Wer aber glaubt, das sei lediglich eine Frage der technischen Umsetzung, liegt falsch. Die Digitalisierung beziehungsweise die Sicherheit der Patientendaten betrifft auch ethische Fragestellungen. Pierre Gronau, Geschäftsführer der Gronau IT Cloud Computing GmbH, beschäftigt sich mit diesem Fragenkomplex. lesen

Der Autor Pierre Gronau
Der Autor Pierre Gronau (Bild: Gronau IT Cloud Computing GmbH)

* Der Autor: Pierre Gronau ist Gründer und Inhaber der Gronau IT Cloud Computing GmbH mit Firmensitz in Berlin. Seit 20 Jahren berät er namhafte Enterprise-Unternehmen als IT-Sicherheitslotse. Sein Weitblick, gekoppelt an klare Analyse- und Lösungskompetenz, dient Wirtschaftsbranchen von Gesundheitswesen bis Automotive, von Telekommunikation bis Banken und Versicherungen als Orientierung für zukunftsgewandte, nachhaltige Unternehmensentwicklung in puncto Digitalisierungsstrategien und IT-Sicherheitskonzepte. Zu seinen Kompetenzfeldern gehören Schwachstellenanalysen, moderne Cloud- und Automationslösungen sowie Datensicherheit und Datenschutz. Pierre Gronaus Beratungserfahrung mündete 2018 im Release einer eigenentwickelten Security Suite namens SEAL Kit. Weitere Informationen zur Person unter

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46171719 / Recht und Datenschutz)