Die Digitalisierung und Vernetzung eröffnen im Gesundheitswesen grossartige Möglichkeiten, bergen aber auch Risiken. Cyberkriminelle treffen allzu oft auf unzureichend geschützte Netzwerke – klassische LAN, mobile Netze WLAN und Provider Netze (4G, 5G, etc.). Die Fälle reichen von Datendiebstahl über Erpressung, Sabotage bis hin zum Versuch der gezielten Manipulation von Medizinaltechnik und Medizinaldaten. Wir zeigen Ihnen in diesem Blogbeitrag auf, was Sie dabei beachten müssen und wie Sie diese Herausforderungen meistern können.
Die Rettung von Leben und die bestmögliche Versorgung von Kranken stehen bei Leistungserbringern und Innovatoren im Gesundheitswesen an erster Stelle. Doch leider sind die Systeme, die täglich in der Medizin zum Einsatz kommen, ein äusserst attraktives Ziel für Cyberkriminelle: Immer wieder kommt es zu Angriffen auf Medizinalsysteme und Krankenhausinformationssystem (KIS).
Nicht selten sind es Ransomware-Angriffe, die die Sicherheit der Patienten gefährden und enorme finanzielle Schäden anrichten. Eine Gesundheitseinrichtung steht bei einem Ransomware-Angriff unter dem enormen Druck, ihre Systeme wiederherzustellen, da die Sicherheit der Patienten gefährdet ist. Systeme des Gesundheitswesens bieten teilweise eine reduzierte Resilienz gegen Angreifende. Zwar haben einige Angreifende öffentlich erklärt, während der COVID-19-Pandemie keine Gesundheitseinrichtungen anzugreifen, jedoch haben andere Gruppen ihre Angriffe auf genau solche Einrichtungen verstärkt – da ein Opfer, das bereits durch die Pandemie unter Druck steht, viel eher bereit ist, Lösegeld zu zahlen.
In kaum einem anderen Bereich ist Safety und Security so eng miteinander verknüpft, wie im Gesundheitswesen. Angriffe auf IT-Infrastrukturen im Gesundheitswesen sind unmittelbar auch eine Bedrohung für die Patienten. Rechnet man noch dazu, dass die im Gesundheitssektor verarbeiteten Daten sehr hohen Datenschutzanforderungen unterliegen – wird klar, welche Fülle an Herausforderungen es zu meistern gilt. So dürfen aus Security-Überlegungen nur autorisierte und sicher authentifizierte Personen auf diese Daten zugreifen. Aus der Safety-Perspektive kann der schnelle Zugriff auf medizinische Daten aber eine Frage von Leben und Tod sein. Da bleibt ggf. wenig Zeit für das Entsperren von Bildschirmen oder das Heraussuchen von Passwörtern. Aus Safety-Überlegungen absolut verständlich – aus Security-Sicht ein «No Go»! Deren Herausforderungen gibt es leider viele, die einzigartige Struktur der IT-Systeme im Gesundheitswesen kommt noch erschwerend hinzu.
Auf der einen Seite verfügen alle Gesundheitsdienstleister über Büroverwaltungssysteme für administrative Aufgaben. Hier unterscheidet sich das Gesundheitswesen nicht gross von anderen Unternehmen. Zwar gibt es auch hier offene Fragen, was den Schutz dieser Systeme angeht, aber es existieren zumindest umfangreiche Standards, wie ISO 27001, das NIST CSF oder der IKT-Minimalstandard und «Best Practice» Ansätze.
Auf der anderen Seite verfügen Gesundheitsdienstleister oft über eine Vielzahl von vernetzten medizinischen Geräten. Diese reichen von Infusionspumpen und Insulinmonitoren bis hin zu hochmodernen MRT-Scannern, die alle aus Gründen der Überwachung, erweiterten Diagnose, Datenanalyse, des Datenaustauschs und des Fernzugriffs an ein Netzwerk angeschlossen sind. Diese Geräte müssen strenge Safety-Anforderungen erfüllen, die häufig mit den grundlegenden Cyber-Security-Praktiken, wie regelmässige Software-Updates, unvereinbar sind.
Viele in medizinische Geräte integrierte Computer basieren auf Betriebssystemen, die vom Hersteller nicht mehr unterstützt werden. Da die Mitarbeitenden von ihren Büroarbeitsplätzen aus Zugriff auf medizinische Daten benötigen, ist eine vollständige Isolierung dieser unsicheren Systeme nicht möglich. Darüber hinaus haben viele Krankenhäuser und Kliniken Verträge mit spezialisierten Anbietern, wie z. B. Teleradiologie-Unternehmen, die in verschiedenen Zeitzonen arbeiten, um die Abdeckung auch ausserhalb der eigenen Arbeitszeiten zu ermöglichen.
Und schliesslich gibt es drittens ein häufig vergessenes System: das Supervisory Control and Data Acquisition (SCADA)-System, das die Facility überwacht und steuert. Das Krankenhaus oder die Klinik ist für den ordnungsgemässen Betrieb dringend auf solche Systeme angewiesen, die jedoch oft «vergessen» werden. Aber gerade ein Angriff auf die Steueranlagen kann innerhalb von wenigen Minuten lebensbedrohliche Situationen herbeiführen. Ein Albtraum für jeden Dienstleister im Gesundheitswesen.
Bei der medizinischen Versorgung von Patienten greifen Ärzte und Pflegepersonal auf unzählige elektronische Geräte und Aufzeichnungen zu, um die bestmögliche Betreuung zu gewährleisten. Dabei gilt es jederzeit die 5 entscheidenden Anforderungen im Gesundheitswesen im Blick zu behalten:
1. Geringe Latenzzeiten
Auch wenn viele Vorschriften keine Verschlüsselung elektronisch geschützter Gesundheitsdaten (ePHI) vorschreiben, ist heute die Verschlüsselung der einzige Weg, um die gesetzlichen Sicherheitsanforderungen zu erfüllen. Infolgedessen wird ein Grossteil des Netzwerk-Traffics per TLS verschlüsselt. Wichtig ist dabei, dass medizinische Einrichtungen grosse Datenmengen verschlüsselt über das Netzwerk übertragen können, ohne dass die Netzwerkleistung darunter leidet. Denn hohe Latenzzeiten wirken sich im Gesundheitswesen negativ aus – von der Produktivität der Mitarbeitenden bis hin zur Krankenversorgung.
2. Datenintegrität
Angesichts der wachsenden Integration klinischer Anwendungen, bedingt durch Interoperabilitätsanforderungen und immer mehr Marktpartnerschaften, ist die Integrität von Patientendaten während ihres gesamten Lebenszyklus von entscheidender Bedeutung. Wichtig ist auch, Forschungs- und DevOps-Umgebungen zu sichern und sie von Netzwerken für die Patientenversorgung zu trennen. Weiter müssen Gesundheitseinrichtungen bei Audits nachweisen können, dass Standards und Vorschriften zur Sicherheit und Datenschutz eingehalten werden.
3. Operative Effizienz
IoMT-Geräte, mobiler Zugriff auf Ressourcen und cloudbasierte Dienste werden im Gesundheitswesen immer häufiger eingesetzt – doch dadurch wächst auch die Angriffsfläche. Um Sicherheitslücken zu schliessen, kaufen viele Gesundheitsdienstleister bei jedem Sicherheitsproblem ein weiteres Einzelprodukt oder verwenden die Security-Tools, die ihr Public-Cloud-Anbieter bereitstellt. Da diese Tools nicht miteinander integriert sind, wird die Sicherheitsarchitektur zunehmend fragmentiert, was nicht selten zu betrieblicher Ineffizienz führt.
4. Dezentrale Standorte und externe Partner
Wie in den meisten Branchen geht der Trend auch im Gesundheitswesen zu Kooperation, Konsolidierung und Übernahmen. Dazu kommt ein komplexes Netzwerk für die Zusammenarbeit mit Partnern, Lieferanten, angeschlossenen und unabhängigen Kliniken, Krankenhäusern, Forschungsstandorten, Versicherungsträgern, etc.
All diese Stellen nutzen und übertragen electronic protected health information (ePHI), die aus dem Gesundheitssystem der Einrichtung stammen. Da die Systeme der verschiedenen Akteure meistens nicht miteinander vernetzt sind, sind Probleme mit der Transparenz, Datenkontrolle, Zugriffsprüfung und Compliance-Berichterstattung vorprogrammiert. Entsprechend schwierig ist die Umsetzung einheitlicher Sicherheitskontrollen in allen Einrichtungen.
5. Kosten
Krankenkassen zahlen für immer weniger Gesundheitsleistungen und Kürzungen sind an der Tagesordnung, insbesondere bei den Betriebskosten. Jeder Mehraufwand führt zu steigenden Kosten für die Kranken. Das bedeutet aber auch, dass Investitionen im Bereich der IT- und Cybersicherheit oftmals zurückgestellt werden müssen.
Mit fortschreitender Entwicklung von Gesundheitstechnologien wird die ohnehin schon weitläufige Infrastruktur noch komplizierter. Das Ergebnis ist eine schnell wachsende Angriffsfläche und eine steigende Anzahl von Drittnutzern, die auf Netzwerk-Ressourcen zugreifen. Während IT-Systeme im Gesundheitssektor per se schon sehr komplex sind, ist das regulatorische Umfeld, in dem sie existieren, ein wahres Labyrinth. Änderungen bei Branchenrichtlinien, dem Datenschutz und der Sicherheit sind im Gesundheitswesen an der Tagesordnung. Das liegt einerseits an der Einführung neuer Technologien, andererseits an wechselnden behördlichen Vorgaben. Dadurch wird die Einhaltung der Compliance immer schwieriger: Um mit wichtigen Entwicklungen Schritt zu halten, müssen Einrichtungen im Gesundheitswesen eine robuste und zugleich ausfallsichere Security aufbauen, die neue Tools und Komponenten in eine integrierte Architektur aufnehmen kann – ohne dass das zugrundeliegende System alle paar Jahre vollständig ausgetauscht werden muss.
Security Fabrics, beispielsweise von Extreme Networks, bietet eine robuste und flexible Basis, welche die nahtlose Integration unterschiedlicher Drittanbieter-Tools ermöglicht. Gestützt wird diese Sicherheitsstruktur durch ein offenes Eco-System und robuste API-Tools. Dank der umfassenden Integration von Sicherheitslösungen im klassischen Netzwerk (On-Premises) und in der Cloud eröffnen sich vollkommen neue Möglichkeiten. So lassen sich z.B. Security-Workflows umfassend automatisieren – von der Erkennung und Abwehr von Bedrohungen bis zu ihrer Behebung. Zudem helfen Tools für die Verwaltung, Analytik und das Event Management Security-Teams dabei, bei der Cybersicherheit eine proaktive statt eine reaktive Haltung einzunehmen.
Leider gibt es keine einfachen Lösungen oder Vorgehensweise für die IT-Sicherheit im Gesundheitswesen – daher unterstützt InfoGuard zahlreiche Schweizer Spitäler und Gesundheitsinstitutionen beim individuellen Aufbau einer zukunftssicheren Cyber Security und einer nachhaltigen Cyber Defence. Fordern auch Sie uns heraus - unsere Experten freuen sich darauf!