Production Perig - stock.adobe.c
Die Security-Herausforderungen im Gesundheitswesen meistern
Das Gesundheitswesen ist besonders häufig Cyberangriffen ausgesetzt. Dort ist der Umgang mit hochsensiblen Daten Alltag. Kombiniert mit ganz besonderen digitalen Anforderungen.
Das Gesundheitswesen gerät zunehmend in das Visier von Hackern und deren Angriffe verursachen häufig enormen Schaden. Laut dem Ponemon/IBM-Bericht Cost of a Data Breach kosteten Angriffe im Gesundheitswesen während der COVID-19-Pandemie durchschnittlich 9,2 Millionen Dollar, ein Anstieg von 2,3 Millionen Dollar gegenüber dem Vorjahr. Im August 2021 entdeckten Forscher von McAfee Enterprise mehrere Schwachstellen in der Software von Infusionspumpen, die ein geschickter Hacker dazu nutzen könnte, die Medikamentendosis von Patienten zu verändern.
Es gibt einen einfachen Grund, warum Angriffe in dieser Branche so häufig vorkommen: Das Gesundheitswesen hat komplizierte digitale Anforderungen, und obwohl der Schutz von Daten wichtig ist, ist er niemals so wichtig wie die Gesundheit von Menschen.
Organisationen des Gesundheitswesens nutzen eine Vielzahl von Netzwerkverbindungen mit einzigartigen Anforderungen an die Betriebszeit und Zuverlässigkeit der verwendeten Systeme. Von medizinischen Fachkräften, über Verwaltungsmitarbeitern, bis hin zu Drittanbietern und externen Organisationen – sie alle benötigen jederzeit Zugriff auf Gesundheitsdaten mit personenbezogenen Daten und auf moderne, mit dem Internet der Dinge verbundene medizinische Geräte.
Herausforderungen im Gesundheitswesen diagnostizieren
Das Gesundheitswesen ist kontinuierlich mit der Bewältigung zahlreicher, voneinander abhängiger Herausforderungen beschäftigt – sie alle unter Kontrolle zu halten, ist ein ständiger Kampf.
Obwohl Datendisziplin für jedes Unternehmen unverzichtbar ist, ist es im Gesundheitswesen noch wichtiger, den Zugriff auf Anwendungen sowie auf vertrauliche Patientendaten und -aufzeichnungen zu kontrollieren und zu sichern. Diese Daten müssen vor Ort gesichert werden, Mitarbeitern und Auftragnehmern muss dazu auch der Fernzugriff – und Zugriffsebenen für Anwendungen – gewährt werden, damit sie ihre Aufgaben effektiv ausführen.
Eine weitere Herausforderung besteht in der Verwaltung einer Vielzahl von Geräten im Netzwerk (von denen einige nur über begrenzte Sicherheitsfunktionen verfügen). Eine Windows 10- oder macOS-Workstation lässt sich beispielsweise leicht verwalten und Schwachstellen per Software-Patches schließen, auf medizinischen Geräten läuft aber häufig benutzerdefinierte Software, die für Akkulaufzeit und Echtzeitdaten optimiert ist. Dies macht eine weitere Sicherheitsebene unmöglich.
Hochentwickelte Geräte wie MRTs oder Röntgengeräte können nicht ohne Weiteres vom Netz genommen werden und arbeiten oft mit Software, die für den ordnungsgemäßen Betrieb spezielle Betriebssystem-Updates erfordert. Aktualisierungen sind so schwer plan- und umsetzbar, es sei denn, ein Hersteller zertifiziert die Aktualisierung, was wiederum das Gerät manchmal anfällig für einen Malware-Angriff macht.
Eine weitere Komplexität für IT-Teams besteht darin, einen Angriff zu erkennen, Geräte automatisch unter Quarantäne zu stellen oder vom Netz zu trennen und gleichzeitig zu verhindern, dass sich Malware über eine Dateifreigabe oder eine Sicherheitslücke ausbreitet.
„Die Sicherheit muss für die Endnutzer unsichtbar sein, von den IT-Teams effizient gewartet werden und einen wirksamen Schutz vor Bedrohungen bieten.“
Laurence Pitt, Juniper Networks
Die Herausforderung ist groß, vor allem, wenn man die vier Aspekte – sicherer Zugang, vielfältige Geräteverwaltung, regelmäßige Betriebssystemaktualisierungen und das Vermeiden von Angriffen – mit der Einhaltung internationaler, nationaler oder sogar regionaler Vorschriften kombiniert.
Die Suche nach dem Gegenmittel
Organisationen des Gesundheitswesens müssen Daten, Anwendungen und Geräte schützen, wenn sie sich mit dem Netzwerk verbinden, um das Netzwerk so zu segmentieren, dass die Kontrolle über die angeschlossenen Gerätetypen erhalten bleibt und gleichzeitig die Konnektivität und Leistung gewährleistet ist. Diese Art von Netzwerk schützt Benutzer, Anwendungen und Infrastruktur, indem es die Sicherheit auf jeden Verbindungspunkt ausdehnt, vom Client bis zur Cloud und über das gesamte Netzwerk.
Die Sicherheit muss für die Endnutzer unsichtbar sein, von den IT-Teams effizient gewartet werden und einen wirksamen Schutz vor Bedrohungen bieten. Dies geht nur, wenn die Sicherheit in dieselbe Netzwerkinfrastruktur integriert ist, die auch die Konnektivität bereitstellt, und sich auf jeden Verbindungspunkt erstreckt.
Gesundheitsdienstleister sollten in ein bedrohungsbewusstes Zero-Trust-Netzwerk investieren, bei dem keine Verbindung, kein Gerät und kein Benutzer standardmäßig als vertrauenswürdig eingestuft wird, unabhängig davon, ob sie von innerhalb oder außerhalb des Netzwerks stammen. Für jede Verbindung ist eine Authentifizierung erforderlich, und die Sicherheitslage wird jedes Mal neu analysiert. Dieses Modell bietet das Beste von beidem in Bezug auf den Schutz der Umgebung durch die Konvergenz von Netzwerk und Sicherheit und ermöglicht so einen risiko- und absichtsbasierten Zugriff.
Das Netzwerk als präventives Heilmittel
Abgesehen von den Sicherheitsbedenken müssen Gesundheitsorganisationen ihre IT-Netzwerkinfrastruktur auch modernisieren, um zukünftig in einem Gesundheitswesen, das zunehmend von der Qualität der Benutzererfahrung bestimmt wird, zu überleben und erfolgreich zu sein. Veraltete Infrastrukturen halten mit den neuen Anforderungen und Trends sowie der dynamischen Bedrohungslandschaft nicht mehr Schritt.
Für Gesundheitsdienstleister ist es daher an der Zeit, die betriebliche Effizienz zu verbessern und Daten und Anwendungen vor Cybersecurity-Bedrohungen zu schützen. Durch die Modernisierung des Netzwerks, das sowohl Konnektivität als auch Sicherheit bietet, ist es Gesundheitsdienstleistern möglich, ihre Abläufe zukunftssicher zu gestalten und so für mehr Sicherheit und ein besseres Patientenerlebnis zu sorgen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.