IT-Sicherheit im Gesundheitswesen: CyberArk sieht akuten Handlungsbedarf

Schutzmaßnahmen müssen Benutzerrechteverwaltung und Applikationskontrolle ermöglichen

[datensicherheit.de, 07.09.2016] Cyber-Angreifer nehmen verstärkt unzureichend geschützte Endgeräte von Mitarbeitern ins Visier – zunehmend auch in Unternehmen im Gesundheitswesen. Ohne eine adäquate Endpunkt-Sicherheitslösung mit Benutzerrechteverwaltung und Applikationskontrolle seien diese Unternehmen Angreifern schutzlos ausgeliefert, warnen IT-Sicherheitsexperten aus dem Hause CyberArk.

Standard-Sicherheitsvorkehrungen unzureichend!

War das Thema IT in der Vergangenheit im Gesundheitswesen noch eher eine Begleiterscheinung und vielfach auf den Bereich der Verwaltung beschränkt, ist es inzwischen auch im klinischen und Laborbereich angekommen, in Segmenten also, in denen hohe Verfügbarkeit und Sicherheit unverzichtbar sind – denn Diagnosen und Therapieformen werden heute in Krankenhäusern digital gespeichert, Laborberichte über das Internet übertragen und Krankenhäuser und -kassen kommunizieren auf dem digitalen Weg.
All das habe auch dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Informationen deutlich gestiegen sei, so CyberArk. Dass es um die IT-Sicherheit für vertrauliche Mitarbeiter- und Patientendaten nicht zum Besten bestellt sei, belegten mehrere Vorfälle aus jüngster Zeit. Dabei habe sich gezeigt, dass Standard-Sicherheitsvorkehrungen mit Firewall, Antivirenschutz oder Webfilter-Techniken keinesfalls ausreichend seien.

Benutzerrechteverwaltung und Applikationskontrolle

„Betrachtet man heute das Thema Endpunkt-Sicherheit, ist die Erkenntnis, dass der Status Quo keinen umfassenden Schutz mehr bietet, offensichtlich“, betont Christian Götz, „Director of Presales and Professional Services DACH“ bei CyberArk in Düsseldorf. Benötigt würden neue Lösungen, „mit denen vor allem die Herausforderungen Benutzerrechteverwaltung und Applikationskontrolle zu bewältigen sind“.
Auch normale Anwender erhielten in vielen Unternehmen Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gebe es mehrere Gründe, etwa die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig seien. Würden mehr Privilegien als nötig vergeben, entstehe aber eine große, unübersichtliche und häufig missbräuchlich genutzte Angriffsfläche. Einfach und schnell lasse sie sich mit einer Lösung reduzieren, die die Umsetzung flexibler Least-Privilege-Richtlinien für Business- und administrative Anwender unterstützt. Sie müsse zum einen die Einschränkung der Privilegien auf das notwendige Mindestmaß und zum anderen die bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Wichtig bei der Auswahl einer Lösung sei deren hoher Automatisierungsgrad – für eine automatisierte Erstellung und Aktualisierung von Richtlinien.

Sicherheitslösung sollte auch Grey-Listing unterstützen!

Ebenso wichtig wie die Rechtevergabe und -kontrolle sei auch die Applikationsüberwachung, denn es sei durchaus denkbar, dass eine schädliche Anwendung mit Malware ohne erhöhte Berechtigung ausgeführt werde und ein Netzwerk kompromittiere. Eine Sicherheitslösung müsse zunächst einmal automatisch schädliche Anwendungen blockieren. Viele Unternehmen setzten hierzu auf Whitelists und Blacklists. Das greife aber in aller Regel zu kurz, da dabei der immense Graubereich in der Applikationslandschaft unberücksichtigt bleibe. Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden könnten – beispielsweise mit der Anwendung von Richtlinien wie einem beschränkten Zugriffsrecht oder der Unterbindung eines Zugangs zum Unternehmensnetz, bis die Applikation näher überprüft ist.
Nicht zuletzt sollte die Lösung auch eine automatische Richtliniendefinition für Applikationen unterstützen, die auf vertrauenswürdigen Quellen basierten – solche Quellen seien zum Beispiel der „Microsoft System Center Configuration Manager“ (SCCM) oder Software-Distributoren.

Gesundheitssektor: Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes kommt

Die IT im Gesundheitswesen sollte sich besser heute als morgen mit dem Problem Sicherheit auseinandersetzen, denn die Zeit werde knapp, warnt Götz. Der Gesetzgeber verschärfe kontinuierlich die Vorgaben und Sanktionen, wie das auch für den Sektor Gesundheit gültige IT-Sicherheitsgesetz.
Spätestens Anfang 2017, so Götz, wenn auch für den Gesundheitssektor eine Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes folge, werde vielen klar werden, „dass sie unter den Regelungsbereich des Gesetzes fallen und entsprechende Schutzmaßnahmen ergreifen müssen, auch wenn sie sich heute vielleicht noch in Sicherheit wiegen“.