Gesundheitswesen durch Cyber-Angriffe zunehmend gefährdet

Von einer erhöhten Gefährdung durch Cyberangriffe sind auch Unternehmen im Gesundheitswesen betroffen. So nehmen Cyber-Angreifer verstärkt unzureichend geschützte Endgeräte von Mitarbeitern in der Gesundheitsbranche ins Visier.

Ohne eine adäquate Endpunktsicherheitslösung, die Benutzerrechteverwaltung und Applikationskontrolle bietet, sind die Unternehmen Angreifern schutzlos ausgeliefert, meint IT-Sicherheitsexperte CyberArk.

War das Thema IT in der Vergangenheit im Gesundheitswesen noch eher eine Begleiterscheinung und vielfach auf den Bereich der Verwaltung beschränkt, ist es inzwischen auch im klinischen und Laborbereich angekommen, in Segmenten also, in denen hohe Verfügbarkeit und Sicherheit unverzichtbar sind.

Diagnosen und Therapieformen werden heute in Krankenhäusern digital gespeichert, Laborberichte über das Internet übertragen und Krankenhäuser und -kassen kommunizieren auf dem digitalen Weg. All das hat auch dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Informationen deutlich gestiegen ist.

Dass es um die IT-Sicherheit für vertrauliche Mitarbeiter- und Patientendaten nicht zum Besten bestellt ist, belegen mehrere Vorfälle der jüngsten Vergangenheit. Dabei hat sich gezeigt, dass Standard-Sicherheitsvorkehrungen mit Firewall, Antivirenschutz oder Webfilter-Techniken keinesfalls ausreichend sind.

„Betrachtet man heute das Thema Endpunktsicherheit, ist die Erkenntnis, dass der Status quo keinen umfassenden Schutz mehr bietet, offensichtlich“, erklärt Christian Götz, Director of Presales and Professional Services DACH bei CyberArk in Düsseldorf. „Benötigt werden neue Lösungen, mit denen vor allem die Herausforderungen Benutzerrechteverwaltung und Applikationskontrolle zu bewältigen sind.“

Least-Privilege-Zugriffskontrolle ist unverzichtbar

Auch normale Anwender erhalten in vielen Unternehmen Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gibt es mehrere Gründe, etwa die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig sind. Werden mehr Privilegien als nötig vergeben, entsteht aber eine grosse, unübersichtliche und häufig missbräuchlich genutzte Angriffsfläche.

Einfach und schnell lässt sie sich mit einer Lösung reduzieren, die die Umsetzung flexibler Least-Privilege-Richtlinien für Business- und administrative Anwender unterstützt. Sie muss zum einen die Einschränkung der Privilegien auf das notwendige Mindestmass und zum anderen die bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Wichtig bei der Auswahl einer Lösung ist, dass sie einen hohen Automatisierungsgrad besitzt, mit einer automatisierten Erstellung und Aktualisierung von Richtlinien.

Anwendungssteuerung ist ein Muss

Ebenso wichtig wie die Rechtevergabe und -kontrolle ist auch die Applikationsüberwachung, denn es ist durchaus denkbar, dass eine schädliche Anwendung mit Malware ohne erhöhte Berechtigung ausgeführt wird und ein Netzwerk kompromittiert. Eine Sicherheitslösung muss zunächst einmal automatisch schädliche Anwendungen blockieren. Viele Unternehmen setzen hier auf Whitelists und Blacklists. Das greift aber in aller Regel zu kurz, da dabei der immense Graubereich in der Applikationslandschaft unberücksichtigt bleibt.

Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden können – beispielsweise mit der Anwendung von Richtlinien wie einem beschränkten Zugriffsrecht oder der Unterbindung eines Zugangs zum Unternehmensnetz, bis die Applikation näher überprüft ist. Nicht zuletzt sollte die Lösung auch eine automatische Richtliniendefinition für Applikationen unterstützen, die auf vertrauenswürdigen Quellen basieren – solche Quellen sind zum Beispiel der Microsoft System Center Configuration Manager (SCCM) oder Software-Distributoren.

„Die IT im Gesundheitswesen sollte sich besser heute als morgen mit dem Problem Sicherheit auseinandersetzen, denn die Zeit wird knapp. Der Gesetzgeber verschärft kontinuierlich die Vorgaben und Sanktionen, wie das auch für den Sektor Gesundheit gültige IT-Sicherheitsgesetz zeigt“, betont Götz. „Spätestens Anfang 2017, wenn auch für den Gesundheitssektor eine Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes folgt, wird vielen klar werden, dass sie unter den Regelungsbereich des Gesetzes fallen und entsprechende Schutzmassnahmen ergreifen müssen, auch wenn sie sich heute vielleicht noch in Sicherheit wiegen.“

 

Artikel von: CyberArk Software GmbH / PR-COM GmbH
Artikelbild: © asnida – Shutterstock.com

author-profile-picture-150x150

Mehr zu belmedia Redaktion

belmedia hat als Verlag ein ganzes Portfolio digitaler Publikums- und Fachmagazine aus unterschiedlichsten Themenbereichen aufgebaut und entwickelt es kontinuierlich weiter. Getreu unserem Motto „am Puls der Zeit“ werden unsere Leserinnen und Leser mit den aktuellsten Nachrichten direkt aus unserer Redaktion versorgt. So ist die Leserschaft dank belmedia immer bestens informiert über Trends und aktuelles Geschehen.

website-24x24
jQuery(document).ready(function(){if(jQuery.fn.gslider) {jQuery('.g-22').gslider({groupid:22,speed:10000,repeat_impressions:'Y'});}});