Cybersicherheit im Gesundheitswesen: Eine Übersicht

Cybersicherheit im Gesundheitswesen

Inhalt

Die Relevanz von Cybersicherheit im Gesundheitswesen

 In der heutigen digitalen Welt sind die Cybersicherheit und der
Schutz von Informationen für das reibungslose Funktionieren
von Unternehmen im Gesundheitswesen
von entscheidender Bedeutung.

Fast alle Unternehmen des Gesundheitswesens verfügen über verschiedene Arten von informations- oder kommunikationstechnischen Anlagen und Systemen, wie zum Beispiel:

Darüber hinaus müssen Tausende von medizinischen und nicht-medizinischen Geräten, die das Internet der Dinge bilden, ebenfalls geschützt werden. Dazu gehören u. a.:

Risiken und Gefährdungen

 Welche Kommunikationswege sind in Bezug auf die Risiken und Gefährdungen
im Gesundheitswesen unter anderem zu betrachten?

1. Email

E-Mail ist ein wichtiges Kommunikationsmittel in Gesundheitseinrichtungen. Informationen aller Art werden in E-Mail-Systemen bearbeitet, erstellt, empfangen, gesendet und verwaltet. Die Speicherkapazitäten von E-Mail-Postfächern werden immer größer, da Einzelpersonen alle Arten von wertvollen Informationen dort speichern (z. B. ihr geistiges Eigentum, Finanzdaten, Patienteninformationen, etc.). Daher ist die E-Mail-Sicherheit ein sehr wichtiger Teil der Cybersicherheit im Gesundheitswesen.

2. Phishing

Phishing ist eine der größten Bedrohungen und eine bedeutende Anzahl der Sicherheitsvorfälle wird durch Phishing verursacht. Phishing-E-Mails sind äußerst effektiv, da sie den Empfänger in der Regel direkt ansprechen und zu einer Handlung auffordern, was sie dazu verleitet, vertrauliche oder geschützte Informationen preiszugeben, auf einen bösartigen Link zu klicken oder einen bösartigen Anhang zu öffnen.

Dadurch kann der Computer unwissentlich mit Malware infiziert werden und diese kann sich über Computersysteme sogar auf weitere Computer ausweiten. Dementsprechend sind regelmäßige Mitarbeiter-Schulungen zum Sicherheitsbewusstsein der Schlüssel zur Vereitelung von Phishing-Versuchen.

3. Physische Sicherheit

Unbefugter physischer Zugriff auf einen Computer oder ein Gerät kann zu dessen Gefährdung führen. Es gibt zum Beispiel physische Techniken, die zum Hacken eines Geräts verwendet werden können. Die physische Ausnutzung eines Geräts kann technische Kontrollen aushebeln, die ansonsten vorhanden sind und die Informationen schützen. Die physische Sicherung eines Geräts ist daher wichtig, um seinen Betrieb, seine ordnungsgemäße Konfiguration und seine Daten zu schützen.

Ein Beispiel ist das unbeaufsichtigte Stehenlassen eines Laptops auf Reisen oder während der Arbeit an einem fremden Ort. Unvorsichtige Handlungen können zum Diebstahl oder Verlust des Laptops führen. Ein weiteres Beispiel ist ein bösartiger Maid-Angriff, bei dem ein Gerät unbemerkt so verändert wird, dass der Cyberkriminelle zu einem späteren Zeitpunkt (und ortsunabhängig) darauf zugreifen kann. Das geschieht z. B. durch die Installation eines Keyloggers zur Aufzeichnung sensibler Informationen, wie den Anmeldedaten.

4. Veraltete Systeme

Zu Altsystemen können Anwendungen, Betriebssysteme oder andere Systeme gehören. Eine Herausforderung für die Cybersicherheit im Gesundheitswesen besteht darin, dass viele Organisationen über einen erheblichen Bestand an Altsystemen verfügen. Der Nachteil von den sogenannten Legacy-Systemen ist, dass sie in der Regel nicht mehr vom Hersteller unterstützt werden und daher keine Sicherheits-Patches und andere Updates verfügbar sind.

Der Grund für die hohe Zahl an Legacy-Systemen in Organisationen kann sein, dass sie zu teuer für ein Upgrade sind oder weil ein Upgrade nicht mehr verfügbar ist. Hersteller von Betriebssystemen könnten ihre Systeme auch auslaufen lassen, und Organisationen des Gesundheitswesens verfügen dann möglicherweise nicht über ein ausreichendes Budget, um ihre Systeme auf die derzeit unterstützten Versionen aufzurüsten.

Generell haben medizinische Geräte ältere Betriebssysteme. Legacy-Betriebssysteme können auch dazu dienen, Legacy-Anwendungen zu unterstützen, für die es keinen Ersatz gibt.

Interessengruppen im Gesundheitswesen

Um Risiken möglichst umfassend betrachtenzu können, ist es sehr sinnvoll, sich mit den
interessierten Parteien im Gesundheitswesenzu beschäftigen.

1. Patienten

Die Patienten müssen wissen, wie sie sicher mit ihren Gesundheitsdienstleistern kommunizieren können. Wenn die Kommunikation virtuell stattfindet, sei es über eine Telehealth-Plattform, Evisits, Secure Messaging oder auf andere Weise, müssen sie die Datenschutz- und Sicherheitsrichtlinien verstehen und wissen, wie sie die Daten vertraulich und sicher behandeln können.

2. Mitglieder der Belegschaft

Auch die Mitarbeiter müssen die Datenschutz- und Sicherheitsrichtlinien der Gesundheitseinrichtung verstehen. Regelmäßige Schulungen zum Sicherheitsbewusstsein sind für die Cybersicherheit im Gesundheitswesen unerlässlich, damit die Mitarbeiter die Bedrohungen kennen und wissen, …

Im Grunde genommen, können und müssen die Mitarbeiter die Augen und Ohren des Cybersicherheitsteams sein. So kann das Cybersicherheitsteam besser verstehen, was funktioniert und was nicht, um die informationstechnische Infrastruktur und die Informationen zu schützen.

3. Führungsebene

Immer mehr Unternehmen des Gesundheitswesens verfügen über einen Chief Information Security Officer (CISO), der Entscheidungen über das Cybersicherheitsprogramm trifft. CISOs arbeiten in der Regel an der Strategie, während die Mitarbeiter des Cybersicherheitsteams, die dem CISO unterstellt sind, die Strategie gemäß den Vorgaben des CISOs umsetzen. Der CISO ist eine Führungskraft, die sich idealerweise auf der gleichen Ebene befindet wie andere Führungskräfte der Leitungsebene, z. B. der Chief Financial Officer, Chief Information Officer usw. Je größer die Zustimmung der Führungsebene, desto größer ist auch die Zustimmung von oben nach unten für das Cybersicherheitsprogramm des Unternehmens.

4. Anbieter/Marktlieferanten

Bei einem großen Krankenhaus kam es zu einem schwerwiegenden Cyberangriff auf das System des Lieferanten für Heizungs-, Kühl- und Klimaanlagen (HVAC). Gestohlene Zugangsdaten des HLK-Lieferanten wurden verwendet, um in die Systeme des Krankenhauses einzudringen. Im Wesentlichen handelte es sich um einen Angriff auf die Lieferkette, da die Cyberangreifer den HLK-Lieferanten kompromittiert hatten, um im nächsten Schritt letztlich das Krankenhaus anzugreifen. So wurden die Informationssysteme des Krankenhauses über die gestohlenen Zugangsdaten der Lieferanten kompromittiert.

Einige große Unternehmen im Gesundheitswesen verfügen über recht robuste Cybersicherheitsprogramme. Viele dieser Unternehmen sind jedoch auch auf Zehntausende von Anbietern angewiesen. In dem Maße, in dem diese Anbieter laxe oder minderwertige Sicherheitsrichtlinien haben, kann dies ein Problem für die Gesundheitsorganisation darstellen. Mit anderen Worten: Gestohlene Anmeldedaten von Lieferanten oder kompromittierte Lieferantenkonten können zu einer Gefährdung der Gesundheitsorganisation führen, beispielsweise durch Phishing oder andere Mittel. Ein Anbieter kann über erhöhte Rechte für die IT-Umgebung einer Gesundheitseinrichtung verfügen, so dass die Kompromittierung eines Anbieterkontos oder kompromittierter Anmeldedaten zu einem erhöhten Zugriff auf die IT-Ressourcen einer Gesundheitseinrichtung durch einen unbefugten Dritten (einen Cyberangreifer) führen kann.

Bedrohungen verstehen

Wenn die interessierten Parteien und Systeme ermittelt und die dazu gehörigen
Risiken betrachtet wurden, ist es wichtig, sich den identifizierten Bedrohungen zu widmen.

1. Ransomware und andere Malware

Ransomware stellt eine erhebliche Bedrohung für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen dar. Wenn ein Rechner oder ein Gerät mit Ransomware infiziert wird, werden die Dateien und andere Daten in der Regel verschlüsselt, der Zugriff wird verweigert und es wird ein Lösegeld gefordert, damit die Daten wieder an den Benutzer zurückgegeben werden können. Die Daten werden also von den Cyberkriminellen als Geiseln gehalten. Die Zahlung des Lösegelds ist jedoch keine Garantie dafür, dass die Daten wiederhergestellt werden. In manchen Fällen wird zwar das Lösegeld gezahlt, aber die Daten werden trotz gegenteiliger Versprechungen nie wiederhergestellt.

Neben Ransomware gibt es noch viele andere Arten von Malware, die eine Bedrohung für Organisationen im Gesundheitswesen darstellen. Dazu gehören Credential Stealers, bei denen Benutzernamen, Passwörter und andere Token von Cyberkriminellen gestohlen werden, und Wiper, bei denen ganze Festplatten gelöscht werden können und die Daten nicht wieder herstellbar sind.

2. Phishing

Bedrohungen für Computersysteme und -geräte bestehen jedoch nicht nur aus Malware. Phishing ist in der Regel der Ausgangspunkt für erhebliche Sicherheitsvorfälle. Phishing ist besonders effektiv, da es auf den einzelnen Benutzer abzielt und ihn dazu verleiten kann, vertrauliche Informationen preiszugeben, auf einen bösartigen Link zu klicken oder einen bösartigen Anhang zu öffnen.

Phishing-E-Mails sind in der Regel die häufigste Form des Phishings, obwohl Phishing auch über Websites, soziale Medien, Textnachrichten, Sprachanrufe und Ähnliches erfolgen kann. Zu den Merkmalen von Phishing-E-Mails gehören

Bei allgemeinen Phishing-E-Mails handelt es sich um E-Mails, die nicht an bestimmte Empfänger gesendet werden und keine maßgeschneiderten Inhalte enthalten. Im Grunde genommen sind allgemeine Phishing-E-Mails eine Einheitsgröße für alle.

Spear Phishing E-Mail

Alternativ dazu kann ein Online-Betrüger eine Spear-Phishing-E-Mail an einen bestimmten Mitarbeiter innerhalb eines Unternehmens oder an eine bestimmte Abteilung oder Einheit innerhalb eines Unternehmens senden. Im Gegensatz zu allgemeinen Phishing-E-Mails sind Spear-Phishing-E-Mails auf die jeweiligen Empfänger zugeschnitten. Da Spear-Phishing-E-Mails gezielt eingesetzt werden, sind sie in der Regel effektiver als allgemeine Phishing-E-Mails. Mit anderen Worten: Spear-Phishing-E-Mails haben eine höhere Klickrate/Response-Rate als allgemeine Phishing-E-Mails.

Wie Spear-Phishing sind auch Whaling-E-Mails auf den Empfänger zugeschnitten. Whaling liegt vor, wenn ein Online-Betrüger es auf einen „großen Fisch“ abgesehen hat (d. h. eine Führungskraft wie den CEO, CFO, CIO usw.). Ein Online-Betrüger kann beispielsweise eine E-Mail an einen Finanzvorstand schicken, um ihn davon zu überzeugen, Geld auf ein Konto zu überweisen, das von dem Online-Betrüger kontrolliert wird. Wie bei anderen Arten von Phishing besteht das Ziel von Whaling darin, das Ziel zu täuschen, aber keinen Verdacht zu erwecken.

Es gibt noch andere Formen des Phishings, wie z. B. SMS-Phishing (auch SMiShing genannt), die jedoch nicht darauf beschränkt sind. Dabei bastelt der Online-Betrüger eine trügerische Nachricht an die Zielperson per SMS an ein Mobiltelefon.

Bewährte Praktiken für die Cybersicherheit im Gesundheitswesen

Die Maßnahmen die im Gesundheitswesen umgesetzt werden sollten, betreffen die
Unternehmung als Gesamteinheit, da jeder Bereich seinen Beitrag leisten muss.

1. Risikobewertungen

Risikobewertungen sind der Grundstein eines jeden Programms für Cybersicherheit im Gesundheitswesen. Bevor Maßnahmen zur Risikobewältigung ergriffen werden, muss zunächst das Risiko bewertet werden. Das Risiko wird auf Grundlage von Faktoren wie der Eintrittswahrscheinlichkeit, den Auswirkungen auf die Organisation sowie der Priorisierung des Risikos bewertet werden. Risikobewertungen sollten regelmäßig, mindestens jedoch einmal pro Jahr, durchgeführt oder überprüft werden.

2. Sicherheitskontrollen

Idealerweise sollte jede Organisation im Gesundheitswesen über grundlegende und erweiterte Sicherheitskontrollen verfügen. Auf diese Weise wird sichergestellt, dass eine Tiefenverteidigung besteht, d. h., wenn eine Kontrolle ausfällt, tritt eine andere an ihre Stelle.
Ein Beispiel: Ein Virus kann durch die Firewall einer Organisation eindringen, aber von einem Antivirenprogramm blockiert werden. Allerdings können nicht alle Sicherheitsvorfälle verhindert werden. An dieser Stelle kommen das Blockieren und Bekämpfen ins Spiel. Für die Cybersicherheit im Gesundheitswesen ist ein solider Plan für die Reaktion auf Zwischenfälle erforderlich, damit auftretende Sicherheitsvorfälle entweder blockiert oder rechtzeitig und zügig angegangen werden können.

  • Antivirenprogramm
  • Sicherung und Wiederherstellung von Dateien/Daten
  • Schutz vor Datenverlust
  • E-Mail-Gateway
  • Verschlüsselung im Ruhezustand
  • Verschlüsselung für archivierte Dateien/Daten
  • Verschlüsselung bei der Übertragung
  • Firewall
  • Plan zur Reaktion auf Vorfälle
  • System zur Erkennung und Verhinderung von Eindringlingen
  • Verwaltung mobiler Geräte
  • Richtlinien und Verfahren
  • Sichere Entsorgung
  • Schulungen zum Sicherheitsbewusstsein
  • Programm zur Verwaltung von Sicherheitslücken/Patch-Management-Programm
  • Web-Gateway
  • Anti-Diebstahl-Vorrichtungen
  • Geschäftskontinuität und Notfallwiederherstellungsplan
  • Digitale Forensik
  • Multi-Faktor-Authentifizierung
  • Netzwerksegmentierung
  • Penetrationstests
  • Austausch von Bedrohungsdaten (auch Informationsaustausch genannt)
  • Schwachstellen-Scans

Regulatorische und Gesetzliche Rahmenbedingungen

Regulatorische und Gesetzliche Rahmenbedingungen

EU-Verordnungen, EU-Richtlinien, nationale Gesetze

Die NIS Directive (The Directive on security of network and information systems) der Europäischen Union ist unter der EU-Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ bekannt.

Diese Richtlinie nennt im Anhang II explizit „Einrichtungen der medizinischen Versorgung (einschließlich Krankenhäuser und Privatkliniken)„. Die Bundesrepublik Deutschland hat sie über das BSI-Gesetz in nationales Recht überführt und mit der KRITIS Verordnung verpflichtend bestimmt.

Weiter müssen die Betreiber den Datenschutz gewährleisten. Die IT-Sicherheit ist eine notwendige, aber keine hinreichende Voraussetzung dafür. Die Datenschutzgrundverordnung bildet die Grundlage.

Nationale Gesetze und Verordnungen

Daneben gibt es nationale Vorschriften wie beispielsweise das BSI-Gesetz sowie weitere Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), die sich speziell an das Gesundheitswesen richten. Im Zuge der Nationalen Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie) wurde auch das IT-Sicherheitsgesetz in Kraft gesetzt, das das Gesundheitswesen explizit mit einschließt.

Seit dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Dies wird im „Sozialgesetzbuch (SGB) Fünftes Buch (V) – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477)“ festgelegt.

In diesem Gesetz wird geregelt, dass die expliziten Krankenhäuser, die NICHT zur kritischen Infrastruktur gehören, ihrer Informationssicherheit nachzukommen haben.

NORM X feat. B3S-Sicherheitsstandard

Wir haben hierzu die softwarebasierte NORM X Lösung für das Gesundheitswesen entwickelt. Sie basiert auf der ISO 27001 und dem branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Wir möchten gezielt auch diese Kunden optimal betreuen.