Das Gesundheitswesen ist – da werden die meisten zustimmen – systemrelevant. Ein effektiver Schutz vor digitalen Bedrohungen sollte daher bei allen Akteuren der Branche höchste Priorität haben. Leider lassen sich Cyber-Bedrohungen heute jedoch nicht mehr wie eine To-do-Liste abarbeiten: Wir müssen vielmehr verstehen, wie verschiedene Systeme miteinander verbunden sind und wie dadurch sowohl Chancen als auch Schwachstellen entstehen. Von der elektronischen Patientenakte und vernetzten medizinischen Geräten bis zu Telemedizin-Plattformen und Zahlungssystemen kann heutzutage jeder digitale Touchpoint zu einem potenziellen Einfallstor für Bedrohungen werden.
Diese Risiken sind zudem nicht isoliert voneinander zu betrachten. Vielmehr bilden sie miteinander verbundene Pfade, sodass eine Gefährdung in einem Teilbereich sich schnell zu einer Disruption des gesamten Systems auswachsen kann. Dann sind die Patientenversorgung, die Privatsphäre und – so dramatisch es klingen mag – sogar Menschenleben gefährdet. Die digitale Transformation des Gesundheitssektors ist in vollem Gange. Umfassendes Wissen über Cyber-Risiken und wie diese miteinander verbunden sind, ist da längst keine bloße Schutzmaßnahme mehr. Es bildet das Fundament für eine sichere und verlässliche Gesundheitsversorgung.
In diesem Blogbeitrag sehen wir uns die Herausforderungen und Triebkräfte dieser komplexen Branche an und beschäftigen uns mit Strategien für einen wirkungsvollen und nachhaltigen Schutz in Healthcare-Organisationen.
Die moderne Sicherheitslandschaft im Gesundheitswesen
Auch wenn das Thema Sicherheit alle Branchen betrifft, spielt das Gesundheitswesen, was die Komplexität und Masse der zu schützenden (und potenziell lebenswichtigen) Systeme angeht, in einer ganz eigenen Liga. Im Spannungsfeld zwischen der zwingend erforderlichen digitalen Transformation einerseits und bestehenden, strikten Compliance-Anforderungen andererseits müssen Organisationen sich gegen zahllose Angriffsmethoden wie Phishing-Attacken und Ransomware wehren. Dabei darf nicht vergessen werden, dass viele dieser Organisationen veraltete IT-Systeme mit etlichen offenen Schwachstellen nutzen – für Angreifer ein gefundenes Fressen. Vor allem aber ist der Wert der riesigen Datenmengen, die bei praktisch sämtlichen Akteuren im Gesundheitswesen erfasst und vorgehalten werden, kaum zu unterschätzen. Entsprechend attraktiv ist die Branche für Kriminelle, die die personenbezogenen Daten im Dark Web verkaufen wollen.
Warum ein traditionelles Schwachstellen-Management zu kurz greift
Vor diesem Hintergrund wird klar, warum und wie konventionelle Ansätze zum Schwachstellen-Management nicht mehr ausreichen, um Datensicherheitsverletzungen zu verhindern: Gelegentliche Scans und ungenaue Erkennungsmethoden, die die Grundlage des traditionellen Schwachstellen-Managements bilden, führen inzwischen häufig zu falsch positiven Ergebnissen und einem zunehmenden Vertrauensverlust. Zudem fehlt bei diesen Methoden der geschäftliche Kontext, mit dem präzise festgestellt werden kann, wo Schwachstellen liegen oder wie sie sich auf das Gesamtrisiko auswirken. Werden etwa CVEs allein auf Grundlage ihrer Anzahl oder ihres Schweregrads priorisiert, wissen wir noch lange nichts darüber, inwiefern sie in bestimmten Umgebungen überhaupt ausgenutzt werden könnten. Und selbst in Teams mit umfassenden Ressourcen kann das Patchen und Testen aufgrund komplexer Genehmigungsprozesse und begrenzter Informationen darüber, welche Systeme zuerst gepatcht werden sollen und warum, sehr viel Zeit in Anspruch nehmen.
Die jüngste Datenschutzverletzung bei der Tochtergesellschaft der United Health Group, Change Healthcare, zeigt die Gefahren eines solchen isolierten Ansatzes. Bei dem Angriff nutzte die Ransomware-Gruppe AlphV kompromittierte Anmeldedaten und eine fehlende Multi-Faktor-Authentifizierung auf einem Citrix-Portal aus, um sich Zugang zu verschaffen. Von dort aus bewegten sich die Kriminellen lateral weiter durch das Netzwerk, exfiltrierten Daten und setzten Ransomware ein. Das Ergebnis: Die Daten von mehr als 190 Millionen Menschen wurden kompromittiert. Der Vorfall unterstreicht, welche enormen Konsequenzen bestimmte Sicherheitsaspekte mit scheinbar geringem Risiko – wie kompromittierte Anmeldedaten – haben können, wenn sie mit anderen Schwachstellen und Angriffstechniken kombiniert werden.
6 Tipps zur Entwicklung für eine robuste Exposure-Management-Strategie
Der Aufbau eines starken Gefährdungsmanagements ist daher für ein funktionales, adaptives Sicherheitssystem absolut essenziell. Was also macht ein solches im Kern aus? Hier sind die zentralen Säulen für ein effektives Exposure Management:
- Die eigene Angriffsfläche kennen
Die Zeiten, in denen regelmäßige Schwachstellen-Scans des eigenen Netzwerks ausreichten, sind lange passé. Auch im Gesundheitswesen braucht es heute ein umfassendes Verständnis über die Beschaffenheit der Angriffsfläche – von IoT-basierten medizinischen Geräten bis zu cloudbasierten Telemedizin-Plattformen. Eine Analyse hybrider Angriffsvektoren mithilfe von Angriffsdiagrammen hilft, Schwachstellen nicht nur zu identifizieren, sondern auch festzustellen, wie diese ausgenutzt und miteinander kombiniert werden könnten, um geschäftskritische Anlagen zu erreichen. Eine nur scheinbar risikoarme Schwachstelle in einem Patientenportal könnte tatsächlich der entscheidende Türöffner hin zu kritischen Systemen sein. Mit einer Angriffspfad-Analyse finden Organisationen somit Schwachstellen und Gefährdungen, die ihnen bei konventionellen Scans entgehen würden.
- Intelligent Prioritäten setzen
Im Gegensatz zur Zahl möglicher Gefährdungen sind die Ressourcen, die Gesundheitsdienstleistern für deren Bekämpfung zur Verfügung stehen, begrenzt. Deshalb ist es wichtig, die richtigen Prioritäten zu setzen und genau zu ermitteln, welche Alarmmeldungen für die jeweilige Umgebung wirklich relevant sind. CVSS-Scores reichen dafür bei Weitem nicht aus – auf den geschäftlichen Kontext kommt es an. So haben Schwachstellen in Systemen zur Intensivpflege immer Vorrang vor denselben Gefährdungen in nicht kritischen Systemen.
Eine gute Prioritätensetzung hilft Sicherheitsteams, sich auf die wirklich wichtigen Dinge zu konzentrieren. Werden Faktoren wie die Kritikalität bestimmter Ressourcen, die Verbindung ans Internet und potenzielle Auswirkungen auf die Patientenversorgung berücksichtigt, können die Organisationen auch die Ressourcen zur Schwachstellenbekämpfung besser einsetzen.
- Ein angemessenes Konfigurationsmanagement
IT-Umgebungen im Gesundheitswesen sind anfälliger für Konfigurationsfehler als in anderen Branchen. Das liegt nicht zuletzt an der häufig wilden Zusammenstellung von Altsystemen, modernen Cloud-Anwendungen und spezialisierten medizinischen Geräten. Hier einige Beispiele für häufige Probleme:
- Unsachgemäße Netzsegmentierung zwischen klinischen und administrativen Systemen
- Unverändert gelassene Standard-Anmeldeinformationen für medizinische Geräte
- Unangemessen umfangreiche Nutzerberechtigungen in Cloud-Umgebungen
- Falsch konfigurierte Lösungen für Remote-Zugriff
Eine manuelle Anpassung aller Prozesse ist angesichts der rasanten Veränderungen in heutigen IT-Umgebungen im Gesundheitswesen praktisch nicht mehr möglich. Die automatische Erkennung und Korrektur von Fehlkonfigurationen werden damit unverzichtbar.
- Echtzeit-Management der Sicherheitslage
Die Verfügbarkeit bestimmter Systeme ist im Gesundheitswesen buchstäblich lebenswichtig. Deshalb ist auch eine effektive Sicherheitsüberwachung in Echtzeit kein nettes Extra – sondern unerlässlich. Folgende Aspekte müssen sichergestellt sein:
- Fortlaufendes Monitoring aller Anlagen, von MRTs bis zu mobilen Geräten
- Sofortige Erkennung von nicht autorisierten Änderungen oder verdächtigem Verhalten
- Automatisierte Response-Mechanismen für bekannte Bedrohungen
- Regelmäßige Tests der Sicherungs- und Wiederherstellungsverfahren
- Fortlaufende Risikominderung
Die Komplexität der Netzwerke im Gesundheitswesen nimmt stetig zu. Lokale Systeme, Cloud-Infrastrukturen und SaaS-Anwendungen arbeiten Hand in Hand. Ein strategisch weitgespanntes Gefährdungsmanagement berücksichtigt das und ermöglicht ein nahtloses Sicherheitskonzept für solche hybriden IT-Landschaften, unabhängig vom tatsächlichen Standort einzelner Systeme. Damit das gesamte IT-Ökosystem als zusammenhängende Einheit geschützt ist, braucht es Kontroll- und Überwachungsfunktionen, die sich an unterschiedliche Umgebungen anpassen und gleichzeitig ein einheitliches Schutzniveau aufrechterhalten können.
- In Compliance investieren
Das Thema Compliance ist im stark regulierten Gesundheitssektor nicht bloß ein Lippenbekenntnis – sondern absolut grundlegend für einen funktionierenden Geschäftsbetrieb. Ein effektives Gefährdungsmanagement umfasst deshalb immer auch Funktionen für ein automatisiertes Reporting und fortlaufendes Monitoring, die sich an Rahmenwerken wie ISO 27001, NIS2 oder den Standards des HIPAA orientieren. Dieser proaktive Ansatz hilft Organisationen, aktuelle regulatorische Anforderungen und neue Compliance-Mandate besser zu erfüllen und sicherzustellen, dass gesetzliche und branchenspezifische Standards jederzeit eingehalten werden.
Fazit: Das krankende Gesundheitssystem braucht eine neue Therapie
Die Diagnose steht fest, und eigentlich ist auch der Behandlungsweg klar: Organisationen des Gesundheitswesens brauchen umfassende Exposure-Management-Programme. Mit der zunehmenden Digitalisierung kann es sich kein Unternehmen mehr leisten, Cyber-Risiken und ihre Zusammenhänge zu ignorieren. Denn hier geht es um mehr als IT-Sicherheit: Es geht um eine sichere, verlässliche Gesundheitsversorgung.
){kind=icon}
){kind=icon}
){kind=icon}