Schutz vor Ransomware & Co.: Sicherheitsmonitoring für Krankenhäuser

14.02.2018

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (EU-DSGVO) in Kraft und alle Organisationen im gemeinsamen Europäischen Markt sind dazu verpflichtet, die neuen Datenschutzstandards umzusetzen.

Die Zeit rennt, denn ab dann drohen bei Verfehlungen empfindliche Strafen wie sie unter Artikel 83 beschrieben werden. Unternehmen aus dem Gesundheitswesen sollten die DSGVO jedoch nicht als drohendes Damoklesschwert verstehen, sondern als Chance begreifen.

Ransomware-Wellen wie Locky, WannaCry und Non Petya haben auf bundesweiter Ebene bereits für entsprechende Aufmerksamkeit gesorgt. Cyberkriminelle sind allerdings zu mehr in der Lage, als einfach IT-Systeme lahmzulegen und Lösegeld zu erpressen. Sie sind beispielsweise auch in der Lage, Narkosegeräte zu manipulieren.[1] Der Grund für das stärkere Engagement der Angreifer sind nicht nur die Aussichten auf Bitcoin, sondern auch personenbezogene Informationen, die via Social Engineering angereichert werden können. Bei Spear-Phishing-Attacken werden diese Daten dann gegen Patienten und Mitarbeiter eingesetzt, um noch größere Schäden auf Unternehmens- aber auch persönlicher Ebene anzurichten.

Was sind personenbezogene Daten im Gesundheitswesen?

Daraus folgert sich: Anbieter von Gesundheitsdienstleistungen müssen auf Cyber-Angriffe vorbereitet sein und wissen, wie sie personenbezogene Daten besonders schützen können. Die DSGVO definiert den Begriff „personenbezogene Daten“ und vermittelt damit eine ungefähre Vorstellung davon, was die Anbieter von Gesundheitsdienstleistungen vor unbefugten Zugriffen zu schützen haben:

Zu den personenbezogenen Gesundheitsdaten sollten alle Daten gezählt werden, die sich auf den Gesundheitszustand einer betroffenen Person beziehen, außerdem Informationen über die Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen, Nummern, Symbole oder Kennzeichen, die einer bestimmten Person zugeteilt wurden, um diese für medizinische Zwecke eindeutig zu identifizieren, jede Art von Informationen über die betreffende Person, die im Rahmen der Erbringung von medizinischen Dienstleistungen erhoben wurden, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, darunter biologischer Proben, abgeleitet wurden, die Identifizierung einer Person als Erbringer einer Gesundheitsleistung für die betroffene Person sowie Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, gleich, ob sie von einem Arzt oder sonstigem medizinischen Personal, einem Krankenhaus, einem medizinischen Gerät oder einem In-Vitro-Diagnose-Test stammen.“[2]

Die Branche muss sich jetzt gleich mehreren Herausforderungen stellen: Sie muss eine Lösung für den Schutz personenbezogener Daten gemäß EU-Definition finden, die gesetzlichen Forderungen nach Sicherheitsstandards verstehen und erfüllen – all dies bei einer Cyberbedrohungslandschaft, die sich ständig verändert, in einem Umfeld, in dem es um Menschleben geht und hochspezialisierte Geräte besondere Schutzmaßnahmen erfordern. Da das Gesetz schon verabschiedet wurde, hat der begrenzte Zeitraum für die Implementierung bereits begonnen.

IT-Sicherheit im Gesundheitssektor verstehen

Herzmonitore oder Ultraschallgeräte dürfen häufig nicht gepatcht werden oder haben proprietäre Betriebssysteme, die sich nicht so einfach patchen lassen. Solche Geräte hinterlassen im Netzwerk einen kleinen „Footprint“, und ihre Betriebsplattformen sind schwer zu verändern. Medizinische Geräte benötigen auch Netzwerkzugang, unterstützen aber in der Regel keine Endpunktlösungen und keine Installation von Agenten. Zudem lassen die meisten Hersteller keine aktive Sicherheitssoftware zu, da diese die Leistung der Geräte beeinträchtigen könnten.

Mediziner müssen in ihrer gewohnten Umgebung arbeiten können. Bestimmte medizinische Geräte bedürfen besonderer Aufmerksamkeit und dienen dem Schutz von Patientenleben. Statt einer dichotomen Whitelist ist hier ein feinkörnigerer Ansatz mit präziseren Schritten erforderlich. Ein bloßer Verdacht auf ein Sicherheitsproblem ist eine heikle Sache, da die Geräte nicht einfach abgeschaltet werden können, wenn sie gerade verwendet werden.

Es gibt vermutlich keinen Sektor, in dem der Faktor Mensch so wichtig ist wie im Gesundheitswesen. Daher werden in diesem Bereich Sicherheitslösungen gebraucht, die auch den Bedürfnissen des Personals entsprechen. Die Mitarbeiter müssen oft auf Notfallszenarien vorbereitet und jederzeit erreichbar sein. In einer Branche, in dem Sekunden über Leben und Tod entscheiden können, ist es nahezu unmöglich, Technologien aus den Unternehmensnetzen auszuschließen, die auch zu privaten Zwecken genutzt werden. Es geht um die Einbindung anderer Dienste und Anwendungen, die eigentlich für private Nutzer entwickelt wurden, jetzt digital in professionelle Umgebungen integriert werden und die Zahl der Verbindungsanfragen an die Unternehmensnetze erhöhen, oft außerhalb der Kontrolle durch die IT-Administratoren.

Lösungsansatz Sicherheitsmonitoring

Probleme bereiten Konfigurationen die nicht den Unternehmensrichtlinien entsprechen, unnötige Regeln für bestimmte Geräte, fehlerhafte VPN-Verbindungen oder Link-Überlastungen bei großen Downloads. Schnittstellen zu anderen IT-Systemen sind weitere Probleme, die fast jede IT-Abteilung beschäftigten. Speziell im Gesundheitssektor können Hardware-Probleme wie der Ausfall eines Lüfters, Schwankungen in der Stromversorgung oder hohe Temperaturen Risiken für Menschenleben mit sich bringen und stellen damit eine direkte Verbindung der IT- mit der realen Welt dar.

Entsprechende SIEM-Lösungen können mehr als nur Log-Daten sammeln, korrelieren und auswerten sowie Warnungen über sicherheitsrelevante Zwischenfälle absetzen. Sie sind dazu in der Lage noch ganz andere Netzwerkbewegungen zu beobachten. Informationen verschiedenster Hardware und Software von Switches, Firewalls etc. aber auch von Mail- oder Webservern und spezifischen Equipment wird in die Analyse miteinbezogen. Sensoren für Netzwerkdienste wie Ping, HTTP, SMTP, FTP, POP3 oder verschiedenster Datenbanken sind zusätzliche Datenquellen, die über entsprechende Schnittstellen in die SIEM-Lösung eingebunden und somit betrachtet werden können.

SIEM- und Log-Analysen sind vor allem aus dem Security-Umfeld bekannt, doch sie eignen sich genauso für das sichere Monitoring des Netzwerkverkehrs. Die Zunahme an Geräten und Anwendungen in Netzwerken macht es Administratoren immer schwerer den Überblick darüber zu behalten, was eigentlich in ihrem Netzwerk vorgeht. Der SIEM-Ansatz entspricht den Bedürfnissen von Gesundheitseinrichtungen, da somit die Compliance mit allen geltenden Normen und Richtlinien wie z.B. DSGVO, HIPAA oder aber EAL3+ gesichert werden kann. Zudem werden nicht optimierte Pfade entdeckt und eliminiert, um unnötige Verzögerung bei der Bereitstellung von Diensten zu unterbinden.

Fazit

Der Gesundheitssektor ist bedroht, und Cyber-Angriffe wie Ransomware belegen diese reale Gefahr. Die Kombination aus lebenswichtigen Diensten, der Notwendigkeit maximaler persönlicher Flexibilität, strikten Vorschriften für die Verarbeitung personenbezogener Daten, hohen technischen Anforderungen an die Geräte und schnellen Veränderungen der Sicherheitslandschaft in der Cyber-Welt zwingt die Akteure im Gesundheitssektor, die richtigen Maßnahmen zu ergreifen, um auf Cyber-Bedrohungen vorbereitet zu sein.

SIEM-Lösungen wie LogPoint mit Big-Data-Eigenschaften und verhaltensbasierter Angriffserkennung sind eine wertvolle Unterstützung für klassisches Netzwerk-Monitoring, weil sie in der Lage sind, aus unterschiedlichsten Quellen Sensoren- und Protokoll-Daten auszulesen, zu analysieren und bösartige Vorgänge mit definierbaren Warnungen herauszufiltern.

Mit dem richtigen Konzept lassen sich nicht nur die IT-Infrastrukturen im Hinblick auf die Anforderungen der EU-DSGVO absichern, sondern auch die Belastung für die eigenen Mitarbeiter verringern, damit sie sich auf ihre wahre Aufgabe konzentrieren können: die Betreuung der Patienten.

 

Unternehmensprofil:

LogPoint ist ein in Europa gegründeter SIEM-Vorreiter, der 2008 mit seinem SIEM-Produkt auf den Markt kam. Heute erleben über 400+ Kunden aus ganz Europa den LogPoint-Unterschied. Die Technologie vereint skandinavische Einfachheit mit europäischer Ausführlichkeit und wurde entwickelt, um Big Data in ein leichtgängiges Paket zu verwandeln. LogPoint-Nutzer wissen die problemlose Anpassung an die Kundenbedürfnisse zu schätzen: Übertreffen der Compliance-Anforderungen zum nahtlosen Schutz vor Cyberkriminalität und Betrug sowie zur Optimierung von IT-Tätigkeiten. LogPoint ist die flexibelste auf dem Markt erhältliche Plattform zum Sammeln, Analysieren und Verwalten aller Daten - unabhängig davon, ob diese von Anwendungen, Datenbanken oder Infrastrukturen generiert werden oder sensible Güter, Fertigungs- oder Sicherheitssysteme betreffen. Das Prinzip der Skalierung nach Wachstum ermöglicht eine schnelle und einfache Visualisierung mit nur wenigen Ressourcen, ungeachtet der Größe der IT-Landschaft und der Größe der Datendichte. Der Hauptsitz des Unternehmens befindet sich in Kopenhagen und unsere Vertriebs- und Supportbüros sind in ganz Europa ansässig. Unsere Partnerschaften erstrecken sich über den gesamten Globus. Für mehr Informationen besuchen Sie uns auf www.logpoint.com

 

Angebot für Krankenhäuser:

Speziell für Krankenhäuser bietet LogPoint eine Lizensierung nach Betten in den Abstufungen bis 500, bis 1.000 und über 1.000 Betten an. Die Laufzeit beträgt 3 Jahre und es gibt weder eine Beschränkung der Funktionalität noch der Datenmenge, darüber hinaus profitieren Kunden von mehr als 5.000 Use Cases von flexiblen Reports und brauchen keine Angst vor versteckten Wartungs-, Support oder Updatekosten haben. Melden Sie sich hier für ihr massgeschneidertes Angebot: dach@logpoint.com

 

[2] Europäische Kommission „Vorschlag für Richtlinie“ http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:52012PC0010

 

Diesen Artikel finden Sie in der Ausgabe 1/2018 der Krankenhaus-IT Journal 2018, spezielle Ausgabe 2018 Praxisleitfaden IT-Sicherheit im Krankenhaus.