Gesundheitswesen in der Cloud: die vier Top-Sicherheitsrisiken

Das Gesundheitswesen verfügt bereits über einige der vielfältigsten und komplexesten IT-Umgebungen aller Branchen.

Telemedizin, DNA-Sequenzierung, elektronische Gesundheitsakten (eGA), Radiologie und digitale Bildgebung sind nur einige der IT-basierten Anwendungen im Gesundheitswesen, die ständig erweitert werden.

Zusammen erzeugen diese Systeme täglich riesige Mengen an hochsensiblen Daten.

Durch die Speicherung dieser Daten in der Cloud können Techniker aus der Ferne auf Pools von Informationen zugreifen, um diese für gründliche Analysen oder bahnbrechende Forschungen zu verwenden. Zu den zahlreichen Vorteilen gehören Flexibilität und Skalierbarkeit sowie Zeit- und Kosteneinsparungen.

Gesundheitsversorger müssen sich jedoch bei ihrer Arbeit auch an strenge regulatorische Auflagen halten. Dadurch sind sie gezwungen, aufkommende Technologien wie Cloud-Dienste mit akribischer Sorgfalt zu behandeln.

Dennoch nimmt eine wachsende Anzahl von medizinischen Fachkräften diese Dienste für den Zugriff auf und den Austausch von Informationen über das Internet in Anspruch.

Unter diesen Umständen ist die Gewährleistung von Sicherheit und Datenschutz für Patientendaten von größter Bedeutung.

Unternehmenstaugliche Software für Virtual Private Networks (VPNs) verschlüsselt die gesamte Kommunikation zwischen mehreren Endpunkten und geografischen Standorten bei der Übertragung über das Internet.

Ein VPN macht die Daten für unbefugte Beobachter unverständlich. Somit sind Datenintegrität und Datenschutz gewährleistet.

Gesundes Wachstum

Die Informationstechnologie revolutioniert die Gesundheitsbranche.

Der Nutzen lässt sich an effektiveren Behandlungen, niedrigeren Betriebskosten und einer höheren Effizienz bei der Verwaltung von Patientendaten messen. 

Ein Großteil dieser Veränderung geht mit einer größeren Bereitschaft zur Einführung von Cloud-Services einher.

Eine vom Unternehmen Commvault im Jahr 2017 durchgeführte Studie ergab, dass die Mehrheit (60 Prozent) der Unternehmen im Gesundheitswesen Cloud-Dienste für Backups bzw. Disaster Recovery und etwa die Hälfte (51 Prozent) von ihnen Cloud-Services für grundlegende klinische Anwendungen und Daten nutzt.

Ein weiterer Beweis für die wachsende Bedeutung der Cloud für das Gesundheitswesen war im Januar 2018 die Ankündigung, dass der britische National Health Service (NHS) zwecks Speicherung von Patientendaten offiziell die Inanspruchnahme von US-basierten Cloud-Anbietern ausweitete.

Prognosen vom Mai 2019 zufolge wird der weltweite Markt für Cloud Computing im Gesundheitswesen bis zum Jahr 2026 ein Volumen von 40 Milliarden US-Dollar erreichen.

Top-Risiken

Daten aus elektronischen Gesundheitsakten, Abrechnungsunterlagen, klinischen Studien und experimenteller Forschung sind für Cyberkriminelle und andere Angreifer sehr wertvoll.

Im Zuge der Verbreitung von Cloud-Diensten sind die verbundenen Systeme von Gesundheitsorganisationen in etlichen Schlüsselbereichen mit Sicherheitsrisiken konfrontiert. Dies sind unter anderem folgende:

1. Ungeschützte IoT-Geräte

IoT-Geräte in Form von Smart Wearables zur Überwachung einer Vielzahl von Erkrankungen wie Krebs, Diabetes, Herzerkrankungen und Asthma finden derzeit Eingang in den Krankenhausalltag.

Noch immer verfügen viele IoT-Geräte nicht über eine integrierte Sicherheit „by design“.

Dennoch sind sie in ständigem Kontakt mit zentralen IT-Systemen wie Workstations, Netzwerkdruckern, Servern, Tablets usw.

Gesundheitsorganisationen dehnen praktisch ihre Angriffsfläche aus. Es ist damit zu rechnen, dass Cyberangreifer dadurch ermutigt werden, ihre Bemühungen im Zusammenhang mit der Suche nach Schwachstellen in der Verteidigung zu intensivieren.

Laut Berichten werden 30 Prozent der Cybersicherheitsvorfälle im Gesundheitswesen im Jahr 2019 aus Angriffen auf IoT-Geräte bestehen.

Im Jahr 2017 gab es 50.000 Angriffe. In diesem Jahr wird die Zahl auf 300.000 geschätzt – ein Anstieg von 500 Prozent.

2. Missbrauch von Insiderprivilegien

Gemäß Verizons Protected Health Information Data Breach Report (PHIDBR) von 2018 ergibt sich eines der Top-Risiken durch Insider, die ihre Systemprivilegien missbrauchen.

Die Studie führte 58 Prozent der versuchten Sicherheitsverstöße auf Insider zurück.

Eine Studie der Carnegie Mellon University aus dem Jahr 2019 stellt als die häufigsten Insider-Vorfälle das Empfangen bzw. Transferieren von Geldern (25,8 Prozent) und den Missbrauch von Systemprivilegien (24,2 Prozent) dar.

Bei derartigen Vorfällen versuchen die Akteure, ihre Spuren zu verwischen – entweder durch Ändern von Protokolldateien, durch Verwenden eines kompromittierten Accounts oder durch Erstellen eines Alias.

Unentdeckt besteht ein reales Risiko, dass diese Art von Aktivität zu neuen Sicherheitsschwachstellen führt, die von Angreifern ausgenutzt werden.

3. Unzureichende Segmentierung

Medizinische Geräte müssen regelmäßig mit Software-Updates gepatcht werden. Das ist ein logistischer Albtraum.

Am produktivsten ist dabei die Aktualisierung der Software aus der Ferne, allerdings nur mit geeigneten Sicherheitsmaßnahmen.

Branchenexperten sind sich einig, dass eine der besten Möglichkeiten zur Verbesserung der allgemeinen Sicherheit in der Trennung der unterschiedlichen IT-Infrastrukturkomponenten besteht.

Anscheinend haben Unternehmen häufig Schwierigkeiten, die Grundprinzipien der Netzwerksegmentierung zu verstehen und effektiv umzusetzen.

Nach Security-Best-Practice-Empfehlung sollte generell eine Segmentierung der IoT- und medizinischen Gerätegruppen vom Netzwerk erfolgen.

Dies verbessert die Chancen, dass ein erfolgreicher Angriff erkannt und lokal eingedämmt wird. Ohne geeignete Segmentierung könnten sich die Folgen eines solchen Angriffs ausbreiten und an anderer Stelle schweren Schaden anrichten.

4. Schwachstellen in Altsystemen

Gesundheitsunternehmen verlassen sich nach wie vor in hohem Maße auf ältere IT-Systeme. Neue Technologien mögen zwar auf lange Sicht kostengünstiger sein, doch sind sie angesichts kurzfristiger Budgetbeschränkungen und aktueller Compliance-Aspekte schwer zu rechtfertigen.

Die zusätzliche Einbindung von Cloud-Diensten bringt neue Risiken mit sich. Beispielsweise laufen Legacy-Systeme vielleicht auf veraltetem Maschinencode. Ihre Entwickler konnten durchaus nicht vorhersehen, dass sie eines Tages mit größeren Systemen verbunden werden könnten oder mit zukünftigen Generationen von Anlagen und Geräten intensiv kommunizieren würden.

Wo immer sich das Alte mit dem Neuen verbindet, entsteht eine Schwachstelle, die in vollem Umfang thematisiert und abgesichert werden muss.

Im Einklang mit den vom National Institute of Standards and Technology (NIST) verfassten Leitlinien sollten keine Patientendaten in unverschlüsselter Form gespeichert oder übertragen werden. Zum Schutz vor einem unbefugten Zugriff auf die Schlüssel für die Datenverschlüsselung sollten zudem strenge Kontrollen vorhanden sein.

Mittels unternehmenstauglicher VPN-Software können Gesundheitsunternehmen die Cloud-basierte Fernkommunikation mit Systemen und Geräten in sämtlichen Bereichen sicher verwalten.

Die verschlüsselten Verbindungen eines VPNs ermöglichen den sicheren und absolut vertraulichen Austausch sensibler Daten über das öffentliche Internet.

Fazit: Während Cloud-Dienstleistungen im Gesundheitswesen an Bedeutung gewinnen, stellt die Datenverschlüsselung einen bewährten Schutz vor den oben beschriebenen Risiken dar.

Cloud-basierte VPN-Dienste können Unternehmen der Gesundheitsbranche bei der Abwehr solcher Bedrohungen unterstützen.

VPNs ermöglichen den Unternehmen die sichere Verwaltung ihrer Remote-Verbindungen und gewährleisten den Datenschutz beim Austausch mit Kollegen, Systemen und Geräten über das Internet.