Eine neue Studie zur Cybersicherheit im Gesundheitswesen belegt eine Zunahme von sicherheitskritischen Netzwerkaktivitäten. Diese erleichtern es Cyberangreifern, in fremde Netzwerke einzudringen und ihre eigenen Aktivitäten zu verschleiern.
Das Gesundheitswesen ist mit nie endenden Herausforderungen konfrontiert, um die Sicherheit und Durchsetzung von Richtlinien mit Benutzerfreundlichkeit und Effizienz in Einklang zu bringen. Hierbei geht es vor allem um geschützte Gesundheitsinformationen (Protected Health Information, PHI). Hierunter fallen alle Informationen in der medizinischen Akte oder in einem Datensatz, die zur Identifizierung einer Person verwendet werden können. Diese Daten können im Verlauf der geleisteten Gesundheitsdienstleistung wie Diagnose oder Behandlung erstellt, verwendet oder offengelegt worden sein.
Die Branche steht immer wieder im Visier von Cyberkriminellen
Dass sensible Daten und die Patientenversorgung gefährdet sind, zeigen immer wieder Fälle von Datenklau oder Ransomware-Angriffen. Immerhin können Kliniken in Deutschland im Großen und Ganzen einen soliden Schutz vor Cyberangriffen und Ausfällen ihrer kritischen Dienste vorweisen, so eine aktuelle Studie des BSI. Bei organisatorischen IT-Sicherheitsmaßnahmen besteht jedoch Nachholbedarf. So haben viele Kliniken ein systematisches IT-Risikomanagement derzeit noch nicht in erforderlichem Maße umgesetzt.
Die COVID-19-Pandemie hat zugleich eine beschleunigte weltweite Einführung von Cloud-Diensten ausgelöst, auch im Gesundheitswesen. Die Branche, die mit ihren sehr eingeschränkten IT-Ressourcen eine ohnehin überlastete Infrastruktur betreiben muss, stand vor der Herausforderung, innerhalb kürzester Zeit Remote-Work- und Collaboration-Kapazitäten zu schaffen. Die intensivere Vernetzung und die verstärkte Cloud-Nutzung vergrößerten die Cyberangriffsfläche.
Studie analysiert Netzwerkhalten und Risiken
Der jüngste Spotlight-Report zur Cybersicherheit im Gesundheitswesen analysierte das Verhalten von Netzwerken hinsichtlich typischer Bedrohungen über den gesamten Angriffszyklus hinweg: Botnet-Monetarisierung, Command-and-Control, interne Aufklärung, laterale Bewegung und Datenexfiltration. Die Studie belegt eine Zunahme von Netzwerkaktivitäten, die es Cyberkriminellen einfach machen, einzudringen und ihre eigenen Aktivitäten zu verschleiern. Zugleich widerlegt sie populäre Behauptungen, wonach vor allem externe Bedrohungen zu einem erhöhten Sicherheitsrisiko führen würden. Bei näherer Betrachtung kamen die Forscher zum Schluss, dass dieses Verhalten auf die zunehmende Cloud-Migration und nicht auf Cyberangreifer zurückzuführen ist.
Die Forscher gelangten unter anderem zu den folgenden Ergebnissen:
- Eine Zunahme von C&C-Vorgängen (Command-and-Control) von Januar bis Mai 2020 um 38 Prozent, was auf einen Fernzugriff der Remote-Belegschaft auf interne Systeme hinweist.
- Die Verdoppelung des Datenexfiltration zeigt an, dass viel mehr Daten aus internen Netzwerken an externe Ziele wie Cloud-Dienste übergeben wurden.
- Die EMEA-Region und Nordamerika verzeichneten einen Anstieg des Volumens externer Datenbewegungen, als Exfiltration bezeichnet. Dies steht im Einklang mit der Cloud-Migration.
- Das Smash-and-Grab-Verhalten hat erheblich zugenommen. Dies kann bei einem medizinischen Gerät auftreten, das sofort große Datenmengen an eine gehostete Cloud-Site sendet.
- Sogenannte Data-Smuggler-Aktivitäten haben stark zugenommen. Diese können auftreten, wenn Patientenakten in den Cloud-Speicher übertragen werden.
Cloud-Sicherheit richtig angehen
Das branchenübergreifende Wachstum von Cloud-Computing bedeutet, dass immer mehr Unternehmen immer mehr Daten und Anwendungen online stellen. Dies lockt Bedrohungsakteure und Cyberkriminelle an, um den Klinikbetrieb zu sabotieren oder leichtes Geld zu verdienen. Die größte Hürde für die Einführung der Cloud im Gesundheitswesen ist das damit möglicherweise verbundene Sicherheitsrisiko. Die Privatsphäre der Patientendaten muss geschützt werden, und Cloud-gehostete Gesundheitsdaten müssen vor externen Bedrohungen geschützt werden.
Public-Cloud-Dienste mögen zwar HIPAA-konform und sicher konzipiert sein, die Verantwortung für einen angemessenen Datenschutz liegt jedoch beim Kunden und nicht beim Cloud-Anbieter. Dies ist ein wichtiger Unterschied bei der Speicherung von Daten in der Cloud. Als äußerst wertvolle Assets, die durch gesetzliche Vorschriften geschützt sind, müssen medizinische Patientendaten sicher an die richtigen Ziele übertragen werden, wobei eine angemessene Überwachung und Kontrolle der Datenverwaltung gewährleistet sein muss. Das Fehlerpotenzial bei der Übertragung von Krankenakten ist besonders hoch. Viele Kliniken automatisieren und validieren große, routinemäßige Datenübertragungen, um Fehler zu reduzieren.
Ganzheitliche Sichtbarkeit erforderlich
Kliniken benötigen zudem Tools, die erkennen, welche Daten in die Cloud verschoben werden und wie sie genutzt und geteilt werden. Viele Anbieter im Gesundheitswesen glaubten, dass diese Verlagerung in Richtung Cloud und Collaboration erst in der Zukunft stattfinden würde, aber sie ist jetzt schon aktuell, auch wenn es vielleicht noch keine robusten Sicherheitsrichtlinien gibt. Die Sicherheitsverantwortlichen werden sich noch eine ganze Weile mit der Frage auseinandersetzen müssen, wo Gesundheitsdaten existieren und wie sie unter Kontrolle gebracht werden können. Dazu ist unternehmensweite Sichtbarkeit erforderlich, die die Cloud und die Infrastruktur vor Ort integriert. Erst dadurch ist eine wirklich umfassende Erkennung und Reaktion auf Bedrohungen realisierbar.