Quelle: Pixababy

Cyber-Sicherheit im Gesundheitswesen: Befund, Diagnose, Therapie

Publiziert

Die Ansprüche an die IT in einem zu digitalisierenden Gesundheitswesen steigen, genauso wie die Vorgaben in Sachen Datenschutz und Datensicherheit. Dafür gibt es Lösungen.

Das Gesundheitswesen ist nach wie vor einer der am häufigsten durch Hacker angegriffenen Bereiche. Es ist daher Zeit, lang aufgeschobene Hausaufgaben nachzuholen, um sich den neuen Ansprüchen und Risiken an ein digitalisiertes und geschütztes Gesundheitswesen zu stellen. Umfassende IT-Sicherheitstechnologien, mögliche Fördergelder und starke Partner können die Therapie einleiten, die gerade angesichts der aktuellen Krisenlage nötiger erscheint, denn je.

Eine komplexe, oft veraltete und heterogene IT und Technik sowie eine fehlende Sicherheitsstrategie machen zum Beispiel Spitäler zu einem lohnenden und erpressbaren Ziel für Hacker. Denn ein Ausfall der Systeme ist hier keine Option. Ebenso begehrt ist die Datenbeute: Je nachdem, wie vollständig die Informationen sind, können medizinische Unterlagen bis zu 1000 Dollar im Darknet kosten. Nur US-Reisepässe sind mit einem Stückpreis von 1000 bis 2000 Dollar teurer. Zudem sind die meisten Opfer im Gesundheitsbereich oft völlig unvorbereitet. Neben dem Geldmangel ist hier vor allem fehlendes Personal der Grund, wenn mitunter zwei Mitarbeitende für die gesamte IT-Administration von drei verschiedenen Häusern zuständig sind und kaum Budget haben. Der Kostendruck dürfte angesichts einer laufenden und von Corona nur vorübergehend unterbrochenen Konsolidierung von Teilen des Gesundheitssektors weiter zunehmen. Ausserdem steigen die Ansprüche an die IT in einem zu digitalisierenden Gesundheitswesen. Gerade die aktuelle Krisen- und Gefahrenlage zeigen auf, dass Spitäler immer mehr wie eine kritische Infrastruktur zu behandeln sind. In der Administration erhöhen die steigenden Vorgaben in Sachen Datenschutz die Hürden für die Datensicherheit.

Darunter leidet die IT-Sicherheit
1. Ransomware
Gerade Spitäler können erpresserische Angriffe, die Daten verschlüsseln oder Systeme blockieren, nicht aussitzen, wenn man die Patienten weiter versorgen will. Hier gehen die Angreifer in Zukunft noch aggressiver vor: Einerseits durch automatisierte Angriffe auf unvorbereitete IT und andererseits durch gezieltere Ransomware-as-a-Service-(RaaS)-Attacken, die mit Social Engineering auf die Entscheider im Personalwesen, der Administration und der Buchhaltung eingeleitet werden.

2. Risiken vernetzter Geräte
Im Gesundheitswesen steigt die Zahl der vernetzten medizinischen IoT- und OT-Geräte sprunghaft. Dennoch wird dieser Angriffsvektor oft noch vernachlässigt und vernetzte Geräte werden ohne die angebrachte Sorgfalt in Netzwerke integriert. Hacker kennen zudem die spezifischen Risiken dieser Hardware: Sie wissen, wie sie die fest kodierten Passwörter der meisten Geräte herausfinden können – und können darüber ins Netzwerk eindringen. Oft ist es gar nicht möglich, den Zugriff unbefugter Nutzer auf die Geräte zu verhindern. Erstaunlich häufig kommen Geräte zum Einsatz, die nur mangelhaft zertifiziert sind. Systeme mit veralteten, nicht mehr unterstützten Betriebssystemen sorgen mit der Zeit ebenso für neue Risiken.

3. Mangelnde Sichtbarkeit von Hardware
Viele Organisationen haben die IT in ihrer Gesamtheit nicht im Blick. So war die Verschlüsselung der Server im Lukaskrankenhaus in Neuss nur deshalb möglich, weil ein alter, nicht sichtbarer Client Administratorenrechte hatte und der Malware so die weitere Ausbreitung ermöglichte. Bei IoT und OT ist diese Gefahr noch grundsätzlicherer Natur, weil die meisten dieser Geräte dem Zugriff der internen IT-Organisationen gar nicht unterliegen.

4. Zero-Day-Sicherheitslücken nehmen weiter zu
Log4j hat gezeigt, dass Zero-Day-Sicherheitslücken nach wie vor grossen Schaden anrichten und unzählige Unternehmen bedrohen können. Die Gesundheitsbranche ist anfälliger für derartige Schwachstellen, fehlende Aufmerksamkeit kann dazu führen, dass diese Lücken verstärkt ausgenutzt werden.

Therapievorschläge
Wer für die Sicherheit der Systeme und für die Gesundheit der Patienten sorgen will, sollte und kann an mehreren Stellschrauben drehen: Schutz aller Geräte: Eine Extended-Detection-and-Response-Lösung (XDR) schützt nicht nur die gewöhnlichen Endpunkte, sondern auch Geräte, auf denen – wie im Falle von IoT – keine Möglichkeit besteht, Agenten zu installieren oder diese ausserhalb der Kontrolle der IT-Verantwortlichen liegen.

  • Kontinuierliches Management und Bewerten von Sicherheitslücken: Due-Diligence-Checks sowie das Bewerten und Verwalten von Schwachstellen sind zentrale Elemente, um potenzielle und existierende Lücken zu entdecken und zu schliessen, bevor die Angreifer sie ausnutzen.
  • Isolation von Netzwerk-Segmenten: Dadurch lassen sich Schäden eingrenzen. Wer schnell Netzbereiche voneinander trennt, kann zum Beispiel das weitere Ausbreiten von Ransomware verhindern.
  • Identitätsmanagement: Dadurch lässt sich das Risiko eines Fehlverhaltens von Mitarbeitern verringern. Dies ist angesichts der Grösse vieler Einrichtungen und der Anzahl vieler, oft in IT-Sicherheit nicht besonders erfahrener oder sicherheitsbewusster Mitarbeiter besonders wichtig.
  • Penetrationstests: Sie testen die Reaktionsfähigkeit der eigenen IT-Abwehr und tragen dazu bei, gefährdete Organisationsteile bzw. Mitarbeiter zu identifizieren und Bereiche zu ermitteln, in denen die Reaktion auf Vorfälle sich verbessern kann.

Sich externe Expertise verschreiben
IT-Administratoren im Gesundheitswesen sind nicht nur überlastet, ihnen fehlt zudem häufig die notwendige Expertise oder die Zeit, eine solche aufzubauen. Hilfe kann daher nur von Partnern mit entsprechendem IT-Sicherheits- und Branchenwissen kommen. So zum Beispiel beim Anbieterwechsel. Viele IT-Abteilungen wissen etwa nicht, wie vollständig die Deinstallation des alten Systems vonstatt enging und wie viele Clients letztlich noch manuell neu zu konfigurieren sind. Hier können sich Partner mit ihrer Expertise einbringen und Roll-out-Prozesse intensiv begleiten, um dieses Nacharbeiten so gering wie möglich zu halten und zeitnah reagieren zu können. Ein Value Added Reseller spielt hier eine wichtige Rolle und lässt sich buchhalterisch als Service-Posten im Budget separat ausweisen.

Sicherheitsanalysten
Ebenso wichtig sind Managed Detection and Response-(MDR)-Dienste. Gerade grössere Kliniken mit hochkomplexen Systemen, die aus Gründen der Compliance etwa ein SIEM oder ISMS (Security Information and Event Management bzw. Informationssicherheits-Managementsystem) bräuchten, können sich die notwendigen Technologien und Ressourcen mit einem externen Security Operation Center im Rahmen eines MDR-Dienstes kostengünstig anmieten. Das ist immer kostengünstiger und zugleich effizienter, als diese Technologie selbst anzuschaffen und zu betreiben. Und darüber hinaus bietet MDR die Expertise, den Rat und die aktive Unterstützung von Sicherheitsanalysten.

EVENTS

Vorsorge-Symposium

Fachmesse 2. Säule sowie ein Vorsorge-Symposium

Datum: 5. - 6. Juni 2024

Ort: Zürich (CH)

ArbeitsSicherheit Schweiz

Fachmesse für Arbeitssicherheit, Gesundheitsschutz und Gesundheitsförderung am Arbeitsplatz

Datum: 05.-06. Juni 2024

Ort: Zürich (CH)

Achema

Internationale Leitmesse der Prozessindustrie

Datum: 10.-14. Juni 2024

Ort: Frankfurt am Main (D)

Swiss Medtech

Mastering Complexity

Datum: 11. Juni 2024

Ort: Bern (CH)

GS1 Excellence Days

Informieren – Inspirieren – Vernetzen

Datum: 13. Juni 2024

Ort: Bern (CH)

PFLEGE PLUS

Die Fachmesse PFLEGE PLUS bringt Fachbesucher mit ausstellenden Unternehmen, Branchenverbände sowie Experten des Pflegemarkts zusammen.

Datum: 14.-16. Mai 2024

Ort: Stuttgart (D)

MedtecLIVE with T4M

Fachmesse für die gesamte Wertschöpfungskette der Medizintechnik

Datum: 18.-20. Juni 2024

Ort: Stuttgart (D)

Blezinger Healthcare

9. Fachkonferenz - Das Pflegeheim der Zukunft

Datum: 20.-21. Juni 2024

Ort: Interlaken (CH)

e-Healthcare Circle

Immer wieder wird erzählt, welche positiven Wirkungen Digitalisierung auf das Gesundheitswesen haben kann.

Datum: 21. Juni 2024

Ort: Zürich (CH)

all about automation

Fachmesse für Industrieautomation

Datum: 28.-29. August 2024

Ort: Zürich (CH)

maintenance Schweiz

Schweizer Fachmesse für industrielle Instandhaltung und Facility Management

Datum: 28.-29. August 2024

Ort: Zürich (CH)

Immohealthcare

Ein Treffpunkt für die Healthcarebranche

Datum: 18. September 2024

Ort: Basel (CH)

Ilmac Lausanne

Networking. Forum. Aussteller

Datum: 18.-19. September 2024

Ort: Lausanne (CH)

FachPack

Europäische Fachmesse für Verpackung, Technik, Veredelung und Logistik

Datum: 24.-26. September 2024

Ort: Nürnberg (D)

Rehacare

Die REHACARE ist die internationale Fachmesse für Rehabilitation, Prävention, Inklusion und Pflege.

Datum: 25.-28. September 2024

Ort: Düsseldorf (D)

Hey!Circle

Heyde gibt Wissen weiter

Datum: 26. September 2024

Ort: Zürich (CH)

IN.STAND

Die Messe für Instandhaltung und Services

Datum: 08.-09. Oktober 2024

Ort: Stuttgart (D)

Chillventa

Weltleitmesse der Kältetechnik

Datum: 08.-10. Oktober 2024

Ort: Nürnberg (D)

Blezinger Healthcare

14. Fachkonferenz – Das Spital der Zukunft

Datum: 10.-12. Oktober 2024

Ort: Bern (CH)

SIAL

Fachmesse für Nahrungsmittel-Innovationen

Datum: 19.-23 Oktober 2024

Ort: Paris (F)

ZAGG

DER BRANCHENTREFFPUNKT MIT RELEVANTEN GASTRO-TRENDS

Datum: 20.-23. Oktober 2024

Ort: Luzern (CH)

IFAS

Fachmesse für den Gesundheitsmarkt

Datum: 22.-24. Oktober 2024

Ort: Zürich (CH)

ALL4PACK EMBALLAGE

The global marketplace for Packaging Processing Printing Handling

Datum: 04.-07. November 2024

Ort: Paris (F)

5. Future Food Symposium

 «Made in Switzerland - Gute Partnerschaften für mehr Ernährungssouveränität»

Datum: 8. Februar 2024

Ort: Online-Event (CH)

Medica

Die Weltleitmesse der Medizinbranche

Datum: 11.-14. November 2024

Ort: Düsseldorf (D)

St. Galler Demenz-Kongress

«Dementia Care im Wandel der Zeit – Weiterdenken erwünscht?»

Datum: 13. November 2024

Ort: St.Gallen (CH)

AUTOMA+

Pharmaceutical Automation and Digitalisation Congress 2024

Datum: 18.-19. November 2024

Ort: Zürich (CH)

Swiss Handicap

Nationale Messe für Menschen mit und ohne Behinderung.

Datum: 29. November-1. Dezember 2024

Ort: Luzern (CH)

Heimtextil

Weltweit führende Fachmesse für Wohn- und Objekttextilien

Datum: 14.-17. Januar 2025

Ort: Frankfurt am Main (D)

Empack Schweiz

The Future of Packaging Technology

Datum: 22.-23. Januar 2025

Ort: Zürich (CH)

LOGISTICS & AUTOMATION

Schweizer Fachmesse für Logistik und Transport

Datum: 22.-23. Januar 2025

Ort: Zürich (CH)

Pro Sweets Cologne

Internationale Zulieferer der Snack- und Süsswarenbranche

Datum: 02.-05. Februar 2025

Ort: Köln (D)

BioFach

Weltleitmesse für Bio-Lebensmittel

Datum: 11.-14. Februar 2025

Ort: Nürnberg (D)

LOPEC

International führende Fachmesse mit Kongress für Gedruckte Elektronik

Datum: 25.-27. Februar 2025

Ort: München (D)

LogiMat

Internationale Fachmesse für Intralogistik

Datum: 11.-13. März 2025

Ort: Stuttgart (D)

INTERNORGA

Leitmesse für den Ausser-Haus-Markt

Datum: 14.-18. März 2025

Ort: Hamburg (D)

Additive Manufacturing Forum

Die Entscheider- und Expertenkonferenz bringt das gesamte Wertschöpfungssystem rund um die additive Fertigung zusammen.

Datum: 17.-18. März 2025

Ort: Berlin (D)

Gastia

Die Fach- und Erlebnismesse für Gastfreundschaft

Datum: 23.-25. März 2025

Ort: St.Gallen (CH)

HR Festival Europe

Fachmesse für HRM, trainings to business und Corporate Health

Datum: 25.-26. März 2025

Ort: Zürich (CH)

Hannover Messe

Transfoming Industry Togheter

Datum: 31.März.-04. April 2025

Ort: Hannover (D)

FutureHealth Basel

Accelerating the healthcare system

Datum: 7. April 2025

Ort: Basel (CH)

Altenpflegemesse

Leitmesse für die Pflegewirtschaft

Datum: 08.-10. April 2025

Ort: Nürnberg (D)

DMEA

Connecting Digital Health

Datum: 08.-10. April 2025

Ort: Berlin (D)

Lebensmitteltag

Die führende schweizerische Lebensmittelfachtagung von bio.inspecta und SQS

Datum: 10. April 2025

Ort: Luzern (CH)

Schoggifestival

Das Schoggifestival geht in die dritte Runde!

Datum: 12.-13. April 2025

Ort: Zürich (CH)

TUTTOFOOD

Internationale B2B-Messe für Food & Beverage

Datum: 05.-08. Mai 2025

Ort: Mailand (I)

Control

Internationale Fachmesse für Qualitätssicherung

Datum: 06.-09. Mai 2025

Ort: Stuttgart (D)

SBK Kongress

Kongress vom Berufsverband der diplomierten Pflegefachpersonen der Schweiz

Datum: 07.-08. Mai 2025

Ort: Bern (CH)

ICV Gesundheitstagung Schweiz

Controlling im Spannungsfeld von Innovation, Kostenmanagement und digitaler Transformation.

Datum: 13. Mai 2025

Ort: St. Gallen (CH)

LABVOLUTION

Europäische Fachmesse für innovative Laborausstattung und die Optimierung von Labor-Workflows

Datum: 20.-22. Mai 2025

Ort: Hannover (D)

Automatica

Die Leitmesse für intelligente Automation und Robotik

Datum: 24.-27. Juni 2025

Ort: München (D)

AM Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 09.-10. September 2025

Ort: Luzern (CH)

Oils + fats

Leitmesse der Öl- und Fettindustrie in Europa.

Datum: 15.-19. September 2025

Ort: München (D)

Ilmac

Fachmesse für Prozess- und Labortechnologie

Datum: 16.-18. September 2025

Ort: Basel (CH)

Swiss Medtech Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 16. - 17. September 2025

Ort: Luzern (CH)

CMS Berlin

Internationale Leitmesse für Reinigung und Hygiene

Datum: 23.-26. September 2025

Ort: Berlin (D)

POWTECH

Pharma.Manufacturing.Excellence

Datum: 23.-25. September 2025

Ort: Nürnberg (D)

Anuga

Weltweite Ernährungsmesse für Handel und Gastronomie/Ausser-Haus-Markt

Datum: 04.-08. Oktober 2025

Ort: Köln (D)

A + A

Messe und Kongress für Arbeitsschutz und Arbeitssicherheit

Datum: 04.-07. November 2025

Ort: Düsseldorf (D)

igeho

Internationale Branchenplattform für Hotellerie, Gastronomie, Take-away und Care

Datum: 15.-19. November 2025

Ort: Basel (CH)

Pumps & Valves

Die Fachmesse für industrielle Pumpen, Armaturen & Prozesse

Datum: 26.-27. November 2025

Ort: Zürich (CH)

aqua pro

B2B-Plattform in der Schweiz für Fachkräfte des globalen Wasserkreislaufs

Datum: 04.-06. Februar 2026

Ort: Bulle (CH)

analytica

Weltleitmesse für Labortechnik, Analytik, Biotechnologie und analytica conference

Datum: 24.-27. März 2026

Ort: München (D)

interpack

Führende Messe für Prozesse und Verpackung

Datum: 07.-13. Mai 2026

Ort: Düsseldorf (D)

Anuga FoodTec

Internationale Zuliefermesse für die Lebensmittel- und Getränkeindustrie

Datum: 23.-26. März 2027

Ort: Köln (D)

Bezugsquellenverzeichnis