English

IT-Security im Gesundheitsbereich

healthcare_internetofthings_s

von VPNHaus | 17.11.2016 |Data Security

Immer mehr medizinische Geräte in Arztpraxen und Krankenhäusern besitzen einen Netzwerkanschluss. Diagnosen und therapeutische Behandlungen werden heute in Krankenhäusern digital gespeichert, Laborberichte über das Internet übertragen und auch an die Krankenkassen auf digitalem Weg kommuniziert. Nachdem diese Systeme mit den intimsten persönlichen Daten der Patienten umgehen, müssen sie besonders hohe Sicherheitsvorkehrungen erfüllen. Das funktionierte schon in der Vergangenheit nicht immer, wie Vorfälle jedes Jahr belegen (1). Die finanziellen Schäden durch Ransomware-Angriffe im Gesundheitswesen, die in letzter Zeit extrem zunehmen, sind massiv. Im Februar 2016 forderten die Erpresser 5,77 Millionen US Dollar von einem Krankenhaus in Kalifornien. Intel Security listet in seinem neuesten „McAfee Labs Threats Report“ im ersten Halbjahr 2016 allein 24 gezielte Angriffe auf Unternehmen im Gesundheitsbereich, zumeist mit Ransomware. Zu den Gründen für den Anstieg von IT-Angriffen auf Krankenhäuser gehören laut Intel deren veraltete IT-Systeme, medizinische Geräte mit schwachem oder gar nicht vorhandenem Schutz, Dienste von Drittanbietern sowie der von Krankenhäusern unmittelbar benötigte Zugang zu Informationen und Daten.

IT-Sicherheitsgesetz gilt auch für das Gesundheitswesen

Neben den üblichen Sicherheitsvorkehrungen für den Schutz persönlicher Daten sind eventuell vorhandene Remote-Zugänge besonders wirksam zu schützen. Wird ein Remote-Zugang zum LAN oder zu einem Diagnosegerät nicht durch ein VPN und starke Authentisierung abgesichert, läuft der Praxis- oder Krankenhausbetreiber Gefahr, geltendes Recht und das Vertrauen der Patienten zu verletzen. Cyber-Angreifer nehmen verstärkt unzureichend geschützte Endgeräte von Mitarbeitern ins Visier, dabei wird kein Unterschied zwischen einem Kfz-Hersteller oder einer Arztpraxis gemacht. Angreifer nutzen jeden offenen Netzzugang und jede ungepatchte Sicherheitslücke aus. Welches Unternehmen dahinter steht, ist zunächst unwichtig.

Auch wenn Arztpraxen und Krankenhäuser schon seit langem mit Computersystemen ausgestattet sind, wurde das Thema IT-Sicherheit bislang häufig als Begleiterscheinung gesehen und lediglich auf den Bereich der Verwaltung beschränkt. Doch nachdem immer mehr Laborgeräte über einen Netzanschluss und häufig auch über einen direkten Fernzugang verfügen, ist es höchste Zeit hier die gleichen hohen Ansprüche an den Schutz zu stellen, wie in anderen Industriesegmenten. Das neue IT-Sicherheitsgesetz gilt auch für den Gesundheitsbereich und bis Anfang 2017 soll es eine entsprechende Rechtsverordnung zur Umsetzung geben. Spätestens dann wird es allerhöchste Zeit die bestehenden Sicherheitsmaßnahmen zu evaluieren und gegebenenfalls nachzurüsten.

Grundschutz umsetzen, Fernzugänge kritisch betrachten

Für Praxen und Krankenhäuser gelten grundsätzlich die gleichen Vorgaben wie für jedes andere Unternehmen. Vertraulichkeit, Integrität und Verfügbarkeit müssen mit den Geschäftszielen abgestimmt und technisch und organisatorisch umgesetzt werden. Dazu gehören ausreichender Schutz vor Schadsoftware, kontrollierte Rechtevergabe, Verschlüsselung bei sensiblen Daten und regelmäßige Backups. Dass gemeinsam genutzte Laufwerke im LAN nicht ohne Benutzerkennung zugänglich sein dürfen, ist ebenfalls Grundvoraussetzung. Besonders wenn es die Möglichkeit gibt, über den Router von außen auf das LAN zuzugreifen. Fernzugänge sollten zum Einen dokumentiert und zum Anderen nur durch ein VPN erreichbar sein. Selbst wenn lediglich der Hersteller eines Laborgerätes davon Gebrauch macht, muss der Kunde wissen, dass es einen solchen Zugang gibt, welche Personen ihn benutzen und im Idealfall auch, wann er benutzt wird. Das ist bei einem reinen IP-Zugang, der über den Router des Kunden durch eine Portweiterleitung oder über einen dynamischen DNS-Eintrag zugänglich ist, noch wichtiger. Technisch stellt ein VPN im Gesundheitsbereich kein Problem dar. Medizintechnik nutzt häufig Standard-PC-Technik als Steuerung. Ein VPN-Client auf dem Gerät ist mit handelsüblicher Standard-Software umsetzbar.

Handeln, bevor es der Gesetzgeber tut

Wenn im nächsten Jahr alle Rechtsverordnungen des IT-Sicherheitsgesetzes bekannt und veröffentlicht sind, dürfte in vielen Branchen hektische Betriebsamkeit einsetzen. Um Last-Minute-Aktionen zu vermeiden, und auch, weil ein abgesicherter Remote-Zugang das Sicherheitsniveau deutlich erhöht, sollten Unternehmen im Gesundheitsbereich schon heute kritisch prüfen, ob ihre extern erreichbaren Netzzugänge ausreichend geschützt sind.

(1) http://www.blossey-partner.de/showpage.php?Datenschutzvorfaelle&SiteID=663

 

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK