IoT-Geräte im Gesundheitswesen: Check Point warnt vor Zunahme von Angriffen

Hacker könnten IoT-Geräte als Einfallstor missbrauchen

[datensicherheit.de, 22.06.2021] In einer aktuellen Warnung geht die Check Point® Software Technologies Ltd. auf die Beobachtung ein, dass Kriminelle vermehrt IoT-Geräte nutzten, um sich unerlaubten Zugang zu Netzwerken in Krankenhäusern zu verschaffen. „Erlangen die Hacker den Zugang zu einem Gerät, können sie sich lateral durch das System bewegen, Daten stehlen und diese verschlüsseln sowie für den Alltag kritische Funktionen sabotieren.“

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: IoT-Geräte und damit auch das Netzwerk an sich gegen Attacken zu schützen!

Bei Konzeption und Herstellung der IoT-Geräte IT-Sicherheit offenbar zumeist nachrangig

IoT-Geräte seien in Krankenhäuser sehr wichtig geworden, da sie nicht nur dabei helfen würden, Behandlungen zu vereinfachen, sondern die Überwachung von Patienten und die Dokumentation intelligent und automatisiert übernehmen könnten. Jedoch genieße in der Konzeption und bei der Herstellung der einzelnen Geräte die IT-Sicherheit selten eine hohe Priorität.
Dieser Umstand, kombiniert mit der Tatsache, dass etwa die Hälfte der angeschlossenen Geräte, wie Ultraschall- und MRT-Geräte, auf veralteten Betriebssystemen liefen, welche nicht mehr unterstützt oder gewartet würden, schaffe eine entsprechend große Angriffsfläche für Hacker.

Tipps zur Sperrung unterschiedlicher Angriffswege zu IoT-Geräten:

1. Schaffen Sie volle Transparenz!
   Ein umfassendes Konzept zum Schutz der Geräte könne erst dann entstehen, „wenn die IT-Fachkräfte über alle Geräte, die auf deren Netzwerk zugreifen, vollständig informiert sind“. Viele Unternehmen verließen sich noch darauf, Geräte manuell zu finden und zu identifizieren. „Das mag für traditionelle Server und Workstations als Umgebung funktionieren, kann aber nicht mit der Vielzahl der IoT-Geräte mithalten, da dies eine automatisierte Lösung für eine vollständige Abdeckung erfordert.“
2. Entschärfen Sie Schwachstellen!
   Patches und Echtzeit-Bedrohungsdaten seien das Herzstück eines jeden Sicherheitsprogramms, weswegen die meisten Unternehmen ein Patching-Programm eingerichtet hätten. Doch bezüglich der meisten IoT-Geräte sei es fast unmöglich, auf dem neuesten Stand der Sicherheitsforschung zu bleiben, „wenn Firmen sich nur auf Software-Updates verlassen“. So entgingen diesen oft wichtige Schwachstellen in den Geräten selbst. Eine Firmware-Upgrades liefernde Lösung biete darum die besten Erfolgsaussichten.
3. Zero-Trust-Netzwerksegmentierung!
   „Seitliche Bewegung bedeutet, dass sich Hacker, sobald sie einmal in dem Netzwerk sind, frei bewegen können und bestimmte Geräte, wie Mail-Server, ins Visier nehmen, um Schaden anzurichten oder auf wichtige Informationen zuzugreifen.“ Es brauche Programme, welche die Segmentierung des Netzwerks vereinfachten, wodurch sichere Bereiche auf der Basis von „Zero Trust“ entstünden, „die abgeschottet sind und den Zugriff nur legitimen Geschäftsanforderungen und autorisierten Personen gewähren“.

IoT-Geräte im Gesundheitswesen können über Leben und Tod entscheiden

Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei der Check Point Software Technologies GmbH prognostiziert: „Die Anzahl der IoT-Geräte, die im Gesundheitswesen eingesetzt werden, wird stark steigen – diese Geräte können in manchen Fällen über Leben und Tod entscheiden.“ Entsprechend müsse sichergestellt werden, dass sie – und damit auch das Netzwerk an sich – „gegen Attacken geschützt sind“.
Aus diesem Grund sollten Krankenhäuser auf Lösungen setzen, welche Transparenz schafften, um gezielt Sicherheitslücken schließen zu können. Gleichzeitig empfehle sich ein Zero-Trust-Ansatz für das gesamte Netzwerk, um im Falle eines Eindringlings den Schaden so gering wie möglich zu halten, so Schönigs Rat.

Weitere Informationen zum Thema:

Check Point Blog
How to Tighten IoT Security for Healthcare Organization

datensicherheit.de, 17.06.2021
TÜV Rheinland: Online-Seminar zur IT-Sicherheit im Gesundheitswesen / Gebührenfreies Angebot vom TÜV Rheinland am 12. Juli 2021

datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

datensicherheit.de, 04.11.2020
Deutschlands Gesundheitswesen nicht ausreichend gegen DDoS geschützt / 2020: Bereits mehr als 2.000 DDoS-Angriffe gemeldet