Cybergriffe auf Krankenhäuser und andere Pflegeeinrichtungen haben in den vergangenen Jahren deutlich zugenommen. Denn etliche Organisationen haben sich zwar der Digitalisierung verschrieben, jedoch dem Thema Security nicht die notwendige Beachtung geschenkt. Hacker haben so recht leichtes Spiel, die Folgen ihrer Cyberattacken sind fatal: Massive Störungen im Klinikalltag, Verlust sensibler Daten, hohe Kosten für die Wiederherstellung bis hin zu lebensbedrohlichen Manipulationen von Medizingeräten.
Um gesundheitliche Risiken und finanzielle Schäden abzuwenden, müssen Kliniken deutlich mehr in ihre Security investieren und Maßnahmen gegen externe und interne Angriffe ergreifen. Hierzu empfiehlt sich die Einführung einer Public-Key-Infrastruktur (PKI) in Verbindung mit einem Identity-Access-Management.
PKI für Krankenhaus: Interne und externe Kommunikation sichern
Für die Kommunikation innerhalb von Kliniken sowie für den Austausch mit externen Systemen für Beschaffung, telemedizinische Anwendungen oder die elektronische Patientenakte stellt die PKI grundlegende Schutzmechanismen bereit. Es handelt sich hierbei um eine asymmetrische Krypto-Technologie, die als eine der sichersten Formen der Verschlüsselung gilt, weil sich mit ihr Daten und Nachrichten signieren und verschlüsseln lassen.
Für jede Verbindung zwischen den Kommunikationspartnern (zum Beispiel zwischen Ärzten und Labormitarbeitern) werden zwei Schlüssel benötigt:
- Ein öffentlicher Schlüssel für die Verschlüsselung der Daten. Die Authentizität wird mit digitalen Zertifikaten sichergestellt, die in einer Art Kette jeweils das Vorgängerzertifikat validieren. So entsteht ein sicherer Zertifizierungspfad.
- Ein privater, geheimer Schlüssel für die Entschlüsselung.
In Krankenhäusern und Pflegeeinrichtungen verfügt nun jedes Medizingerät über eine eigene Device Identity, sozusagen ein Einmalzertifikat. Mit diesem authentifiziert es sich bei der Inbetriebnahme im Klinik-Netzwerk. In der Folge werden weitere Zertifikate vergeben, zum Beispiel für Updates von Hard- und Software oder für die Kommunikation mit anderen Geräten und Systemen. Die jeweiligen Kommunikationspartner tauschen ihre Zertifikate aus und können Daten und Nachrichten dann so verschlüsseln, dass nur der jeweilige Partner sie entschlüsseln kann. Ein unbefugter Zugriff und eine mögliche Manipulation der Daten wird so verhindert, Einfallstore für Cyberangriffe werden effektiv verschlossen.
Identity Access Management in Klinik: Nicht-autorisierte Zugriffe verhindern
Zusätzlich zur PKI sollte immer auch ein Identity-Access-Management (IAM) eingeführt werden, um den nicht-autorisierten Zugriff auf Geräte und Systeme zu verhindern. Das heißt: Computer und Medizingeräte dürfen nur nach vorherigem Log-In bedient werden. Im hektischen Klinikalltag jedoch muss das Log-In möglichst komfortabel sein, Passwörter sind deshalb unpraktikabel: Sie sind nicht immer leicht zu merken, Nutzerinnen und Nutzer vertippen sich in der Hektik schnell und bedeuten für die IT einen hohen Verwaltungsaufwand.
Der Trend geht daher zu Smartcards oder FIDO-Token (Fast Identity Online), weil sie die perfekte Balance zwischen Sicherheit und Komfort bieten. Durch Einstecken oder Auflegen der Hardwarekomponente in oder auf ein Gerät authentifizieren sich die jeweiligen Personen und können beispielsweise Patientendaten einsehen oder die Medikation an Medizinpumpen ändern. Ist ihre Arbeit beendet, entnehmen sie ihr Token wieder und das Gerät ist gesperrt. Ein weiterer Vorteil ist, dass einfach und transparent nachgehalten werden kann, wer wann welche Änderungen vorgenommen hat. Bei besonders schützenswerten Daten oder Einstellungen kann zudem eine Multi-Faktor-Authentisierung zum Tragen kommen: Neben dem Auflegen des Tokens ist dann beispielsweise ein biometrischer Nachweis wie der Fingerabdruck erforderlich.
Security in Krankenhaus: Lücken mit Penetrationstest aufdecken
Vor der Einführung einer PKI und eines IAM empfiehlt sich die Analyse des Status quo. Wo Einfallstore für Cyberangriffe sind und wie die Bedrohungslage ist, lässt sich mit einem Penetrationstest ermitteln. Externe IT-Sicherheitsanbieter versetzen sich hierfür in die Rolle eines Hackers und prüfen das System auf Sicherheitsmängel. Im Rahmen solcher Projekte ist oftmals auch eine Awareness-Schulung des Personals sinnvoll. Denn klar ist auch: Die Sicherheit eines Systems hängt maßgeblich von den Anwendenden ab.
"Wir machen die vernetzte Welt sicherer!"
Die achelos GmbH ist ein Systemhaus für Cybersicherheit und digitales Identitätsmanagement, gegründet im Jahr 2008 in Paderborn. Das herstellerunabhängige Unternehmen erarbeitet robuste Lösungen und bietet Servicepakete in verschiedenen Ausbaustufen für sichere Produkte und Anwendungen. Für Kunden aus den Bereichen Gesundheitswesen, Industrie, Öffentlicher Sektor, Digitale Zahlung und Telekommunikation setzt achelos Sicherheitsstandards in lauffähige Lösungen bis zur Compliance um. Sie alle profitieren von diesem ganzheitlichen Ansatz – von Beratung über Konzeption, Softwareentwicklung bis hin zu Zertifizierung und sicherem Betrieb. achelos ist nach ISO 9001, ISO 27001 und Common Criteria zertifiziert und verfügt über ein namhaftes Partnernetzwerk.
www.achelos.de
achelos GmbH
Vattmannstraße 1
33100 Paderborn
Telefon: +49 (5251) 14212-0
Telefax: +49 (5251) 14212-100
http://www.achelos.de
Public Relations & Events
Telefon: +49 5251 14212-341
Fax: +49 5251 14212-100
E-Mail: bianca.doeren@achelos.de
