Gesundheitswesen
Axians gibt Tipps für NIS-2-konforme Cybersecurity im Gesundheitswesen
Die Überarbeitung der EU-Richtlinie zur Erhöhung der Cybersicherheit für kritische Infrastrukturen (NIS 2) hat das Thema IT-Sicherheit in vielen Gesundheitseinrichtungen noch stärker in den Fokus gerückt. Denn sie gelten als besonders schützenswert. Ingo Schulenberg, Head of Sales – Special Operations OT & IT Security bei Axians IT-Security, kennt vier Tipps, wie Unternehmen im Healthcare-Bereich sich NIS-2-konform gegen Cyberangriffe rüsten können.
Vertraulichkeit, Integrität und Verfügbarkeit von Daten sind im Gesundheitsbereich von zentraler Bedeutung. Denn hier werden gesamte Gesundheitsabläufe und Diagnosen inklusive Therapieplänen dokumentiert. Da jede Sicherheitslücke das Risiko birgt, dass Medikamentenpläne manipuliert werden oder Informationen in die Hände Dritter geraten, ist Cyber Security essenziell. Die sensiblen Daten sind für Kriminelle ein äußerst begehrtes Ziel, wie jüngst auch der Angriff auf ein Krankenhaus in Soest zeigte. Die Herausforderung der Branche: Durch die fortschreitende Digitalisierung sind medizinische Geräte heute immer stärker vernetzt und Daten werden zunehmend elektronisch gespeichert und übermittelt. Dadurch vergrößert sich die potenzielle Angriffsfläche für Cyberkriminelle. Diese Entwicklung adressiert der Gesetzgeber durch NIS2, indem er die Anforderungen an die Cybersecurity in Unternehmen erhöht. Ingo Schulenberg, Head of Sales – Special Operations OT & IT Security bei Axians IT-Security, gibt vier Tipps, wie von der Richtlinie betroffene Gesundheitseinrichtungen vorgehen sollten.
Tipp 1: Cyber Security Assessment als sichere Basis für eine Sicherheitsstrategie
Der Gerätebestand in Krankenhäusern ist oft über die Zeit gewachsen und zunehmend miteinander vernetzt. Um die IT-Sicherheit effizient zu erhöhen, ist ein Assessment der bereits vorhandenen Sicherheitsvorkehrungen ein optimaler Startpunkt. Hierbei prüfen Expert:innen die Sicherheit der installierten Umgebung, identifizieren Verwundbarkeiten auf vorhandenen Geräten und welche Sicherheitsanforderungen es an neue Geräte gibt. Zudem ist es entscheidend zu ermitteln, welche Bereiche im Unternehmen untereinander kommunizieren müssen. Gerade in Gesundheitseinrichtungen gibt es oft wichtige Maschinen und Geräte, die beispielsweise nicht alle im selben Netz angedockt sein sollten. Im Cyber Security Assessment arbeiten Organisationen heraus, welche Assets besonders kritisch und schützenswert sind, um sie in ihrer Security-Strategie zu priorisieren und angemessen abzusichern. Beim Security Assessment können erfahrene ICT-Dienstleister wie Axians dabei unterstützen, das Sicherheitsniveau der IT-Infrastruktur richtig einzuschätzen und im Anschluss eine ganzheitliche Sicherheitsstrategie ableiten.
Tipp 2: Mitarbeitende sensibilisieren durch regelmäßige Cyber-Security-Schulungen
Das größte Sicherheitsrisiko in der Gesundheitsbranche ist wie auch in anderen Branchen der Mensch. Er bleibt weiterhin ein beliebtes Ziel der Hacker. Durch gut gemachte Phishing-Attacken können Cyberkriminelle Angestellte etwa dazu bringen, Zugangsdaten herauszugeben oder Schadsoftware aus dem Internet herunterzuladen. Auch fehlgeleitete Hilfsbereitschaft – wenn Mitarbeitende etwa USB-Sticks mit dem Arbeits-PC verbinden, um den Besitzer herauszufinden – führen oft zu großen Schäden. Das Aufladen des privaten Handys an medizinischen Geräten mit USB-Anschluss birgt ebenfalls Gefahrenpotenzial für Gesundheitseinrichtungen durch kompromittierte Geräte. Unternehmen sollten dem vorbeugen, indem sie alle Mitarbeitenden schulen, damit sie ein besseres Gespür für Sicherheitsrisiken entwickeln können. Das ist wichtig, denn Mitarbeitende in Gesundheitseinrichtungen arbeiten oft unter Zeitdruck und haben eine hohe Arbeitsbelastung. Um im stressigen Alltag nicht Opfer von gezielten Phishing-Attacken zu werden, sind regelmäßige Sicherheitsschulungen und Awareness-Trainings daher essenziell.
Tipp 3: Cyber Security Best Practices umsetzen
Um eine wirkungsvolle Cyber Security aufzubauen, sollten Einrichtungen zunächst damit beginnen, technische Basics umzusetzen. Dazu gehören im Gesundheitswesen etwa eine Netzwerksegmentierung mit internen Firewalls. Netzwerksegmentierung ermöglicht es, Medizingeräte vom Hauptnetz abzutrennen. Denn oftmals haben Maschinen und Geräte ältere Betriebssysteme, deren Schwachstellen nicht gepatcht werden können, da sie sonst ihre Zulassung verlieren. Sind Rezertifizierungen keine Option, können diese Devices in sichere Netzsegmente gesperrt und die Kommunikation mit diesen Devices reglementiert und per IPS überwacht werden. Der Basisschutz lässt sich dann stetig nach dem Baukastenprinzip budgetkonform erweitern. Denn angesichts der immer komplexer werdenden Bedrohungslandschaft müssen die Präventionsmaßnahmen kontinuierlich nachgeschärft werden.
Tipp 4: Mit SOC und ISMS die Basics erweitern
Bedrohungen müssen rund um die Uhr und in Echtzeit identifiziert werden, um im Ernstfall sofort reagieren zu können. Aus diesem Grund empfiehlt sich für Gesundheitsinstitutionen wie Krankenhäuser, ein Security Operations Center (SOC) einzurichten. Im SOC laufen alle Fäden der Cyber Security zusammen – hier wird die IT-Sicherheitsinfrastruktur des Krankenhauses rund um die Uhr durch Spezialist:innen mit neuester Technologie überwacht, Angriffe werden zeitnah identifiziert und die Abwehr eingeleitet. Die dabei gesammelten Erfahrungen ermöglichen, die Abwehrstrategie permanent anzupassen. Gesundheitseinrichtungen müssen ein SOC nicht selbst betreiben, sondern können sich von einem Managed Service Provider unterstützen lassen.
Zusätzlich zu den Security Basics empfiehlt es sich, ein Information Security Management System (ISMS) zu etablieren. Dabei handelt es sich nicht um ein physisches System, sondern vielmehr um eine durch Richtlinien definierte Vorgehensweise, die die Informationssicherheit in einem Unternehmen dauerhaft definiert, steuert, kontrolliert, aufrechterhält und sie fortlaufend verbessert. Ein ISMS wird individuell für ein Unternehmen umgesetzt und implementiert.
Sicherheit schrittweise erhöhen
Um Unternehmen und Institutionen im Gesundheitsbereich erfolgreich gegen Cyberangriffe abzusichern, braucht es mehr als in Hardware und Software zu investieren. Ziel sollte eine umfassende Cyber-Security-Strategie sein, die sich schrittweise umsetzen lässt. So können Organisationen zunächst damit starten, Sicherheits-Audits durchzuführen, um anschließend darauf aufbauend technische Lösungen wie interne und externe Firewalls, Intrusion Prevention, Netzwerksegmentierung, ISMS und SOCs einzuführen. Gleichzeitig zahlen sich Awareness-Schulungen zur Mitarbeitersensibilisierung aus. Solange Unternehmen diesen Best Practices folgen, erhöhen sie die Sicherheit ihrer Systeme und damit der Patientendaten kontinuierlich. Die Zusammenarbeit mit externen Partnern und der Einsatz von Managed Services können dabei helfen, IT-Abteilungen in Gesundheitseinrichtungen nicht zusätzlich zu belasten.