Cybersicherheitsrisiken im Gesundheitswesen

Forescout veröffentlicht ersten Device Cloud Report

[datensicherheit.de, 20.05.2019] Elisa Costante, Head of OT and Industrial Technology Innovation bei Forescout im Gespräch mit Carsten J. Pinnow (ds), Herausgeber und Chefredakteur von datensicherheit.de, zum Thema Cybersicherheitsrisiken im Gesundheitswesen. Forescout veröffentlicht den ersten Device Cloud Report – die Erkenntnisse, die hier publiziert wurden, sind laut Elisa Costante allerdings nur „die Spitze des Eisbergs“. Insgesamt wurden im Rahmen der Untersuchung 75 Gesundheitseinrichtungen mit über zehntausend virtuellen lokalen Netzwerken und 1,5 Millionen Geräten ausgewertet. Im Fokus standen dabei 1.500 medizinische VLANs mit über 430.000 Geräten.

Bild: Forescout

Elisa Costante, Head of OT and Industrial Technology Innovation bei Forescout

ds: Was ist die Besonderheit im Gesundheitswesen?

Costante: Gesundheitseinrichtungen habe besonders vielfältige und komplexe IT-Umgebungen, die strengen Compliance-Vorgaben unterliegen. Wenn beispielsweise ein Patch installiert wird, besteht jedes Mal die Sorge, dass dadurch Gewährleistungen erlöschen oder sogar die Sicherheit der Patienten beeinträchtig werden könnte. Es muss sich hier vor Augen geführt werden, dass Einrichtungen Geräte verwenden, die Leben retten – entsprechend sensibel sind ihre Umgebungen. Wir wollten herausfinden, wo hier die Schwachpunkte sind und wie sie beseitigt werden können.

ds: Gibt es hier eine besondere Problematik beziehungsweise Herausforderungen, die speziell im Healthcare-Bereich auftreten?

Costante: Die digitale Transformation führt zu einer steigenden Konnektivität und entsprechend nimmt auch die Zahl an Devices exponentiell zu. Umgebungen werden komplexer und schwerer zu managen und auch die Security muss hier angepasst und entsprechend aufgestellt werden.

Healthcare-Organisationen müssen sich sowohl mit IT- und IoT- als auch mit OT-Devices auseinandersetzen, die sich in ihrem Netzwerk befinden. Das Zusammenwachsen dieser Bereiche erschwert das Halten eines hohen Sicherheitsniveaus und entsprechende Kontrolle der Risiken. Obwohl die traditionelle IT hier immer noch die größte Angriffsfläche darstellt, führt die Zunahme an OT-Geräten zu einer Vergrößerung dieser.

ds: Ist somit die schnell wachsende Größe das Hauptproblem?

Costante: Nicht ganz. Was ebenfalls nicht außer Acht gelassen werden darf, ist die Diversität. IT-, OT- und IoT-Devices sind unterschiedliche Geräte mit unterschiedlichen Einsatzzwecken, -orten, -zeiten, usw. Ein Medizingerät, das zum Beispiel direkt mit dem Patienten verbunden ist und möglicherweise lebenserhaltend ist, darf während der Verwendung nicht einfach gepatched oder geupdated werden. Erst, wenn es nicht mehr im Einsatz ist, kann der IT-Verantwortliche das Gerät entsprechend verwalten. Hier gibt es aber noch ein Problem: Oftmals können Medizingeräte nicht zentral von der eigenen IT gepatched werden. Das muss dann manuell vor Ort erfolgen. Zusätzlich wird dazu oftmals eine Freigabe des Herstellers benötigt. Aus Gewährleistungsgründen kann es auch sein, dass nur ein Techniker des Herstellers das Gerät warten darf.

Hinzu kommt, dass laut den Ergebnissen 40 Prozent der untersuchten Unternehmen mehr als 20 unterschiedliche Betriebssysteme in ihrem VLANs haben. Die restlichen knapp 60 Prozent laufen mit Windows Betriebssystem, wovon 0,4 Prozent bereits nicht mehr supportet werden und 71 Prozent sich damit auseinandersetzen müssen, dass sie nur noch bis voraussichtlich zum 14. Januar 2020 (Stichwort Windows 7) unterstützt werden. Danach stellen diese Geräte ebenfalls eine große Schwachstelle im Netzwerk dar.

ds: Gibt es signifikante Beispiele, wie Unternehmen im Gesundheitswesen angegriffen werden?

Costante: Die Zunahme der Medizingeräte, die mit dem Netzwerk verbunden sind, führen auch dazu, dass die Anzahl der Angriffe steigt. Der Gesundheitsbereich ist für Cyberkriminelle sehr interessant, da sie hierüber an persönliche Informationen wie Adresse, Geburtsdatum oder auch E-Mail-Adressen und Sozialversicherungsnummern gelangen können. Besonders verbreitet sind hier Attacken über Ransomware wie WannaCry oder NotPety, Man-in-the-Middle oder Denial-of-Service-Angriffe, Fileless Malware und Device Impersonation.

ds: Das wird sich vermutlich in Zukunft auch nicht ändern, oder?

Costante: Es ist klar, dass die Anzahl der Devices, die mit den Netzwerken in Gesundheitsorganisationen verbunden sind, steigt. Die Umwelt wird komplexer, weshalb es nun notwendig ist, ein unternehmensweites Security- und Risikomanagement zu etablieren.

ds: Wie sollten sich Unternehmen also verhalten?

Costante: Visibilität und Segmentierung sind hier die Stichworte. Zuerst muss erkannt werden, welche Devices sich im Netz befinden, nur dann ist es möglich eine umfassende Security-Strategie zu verfolgen – denn geschützt werden kann nur das, was auch gesehen wird.

Zusätzlich ist eine agentenlose Erkennung zu empfehlen. Das ist vor allem im Gesundheitsbereich wichtig, da viele Medizinprodukte keine Agenten unterstützen, obwohl diese für das IT- und Sicherheitsmanagement eine enorme Entlastung bedeuten. Devices müssen bei der Erkennung außerdem direkt klassifiziert und entsprechend ihres Status eingeordnet werden.

Die Segmentierung unterstützt dabei, die Angriffsflächen im System erheblich zu reduzieren. Nutzer erhalten dann nur noch Zugriff auf Server und Geräte, die sie zum Durchführen ihrer Aufgaben auch tatsächlich benötigen. Verschiedene VLANs gliedern das Netzwerk nach Bedürfnissen und Prioritäten des Unternehmens, isolieren kritische Daten oder trennen die Devices nach Geräteart und -funktion. Zudem ist eine Zugriffsbeschränkung basierend auf den Benutzerinformationen möglich.

Eine kontinuierliche aktive oder passive Netzwerküberwachung bildet die Situation zusätzlich in Echtzeit ab. So können Gefahren schnell erkannt und die Effizienz des Sicherheitsteams gesteigert werden.

Weitere Informationen zum Thema:

Forescout
Research Report: Putting Healthcare Security Under The Microscope

datensicherheit.de, 26.02.2019
Forescout-Studie: Unternehmen spüren veränderte Sicherheitslage

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich