Gesundheitswesen "remote"
Schwachstelle Gesundheitswesen: Patientendaten besser schützen
Kritische Apps, die EMR-Daten speichern und verarbeiten, sind normalerweise nicht mit dem Internet verbunden, und wenn, dann nur unter strengen Sicherheitsauflagen
Von Hagen Reiche, Securonix
Die Covid-19-Pandemie hat Gesundheitsdienstleister weltweit vor große Herausforderungen gestellt. Zeitgleich meldet Interpol eine alarmierende Zunahme von Cyberattacken auf Krankenhäuser. Im Zeitraum von Februar bis März 2020 der Behörde zufolge die Zahl der gefährlichen Webadressen, die Stichwörter wie "Coronavirus" oder "Covid" enthalten um 569 Prozent. Dabei sind Datenschutzverletzungen und Cybersicherheit für den gesamten Gesundheitssektor ohnehin ein Dauerthema. Trotzdem sind die meisten Organisationen immer noch anfällig für dieselben Angriffe, mit denen die sie seit Jahren kämpfen. Dazu zählen Insider-Bedrohungen und externe Angreifer, die versuchen, unautorisiert auf Patientenakten zuzugreifen. Cyberangriffe machen dabei mehr als die Hälfte der Datenschutzverletzungen aus. Die Motivation der Cyberkriminellen ist breit gefächert und reicht von Wirtschafts- oder Unternehmensspionage bis hin zu geopolitisch motivierten Angriffen auf die chronisch unsicheren Server im Gesundheitswesen.
Die meisten Angriffe nutzen Ransomware, die sich gegen anfällige medizintechnische Geräte richtet und deren Betrieb unterbricht. Die Folgen sind weitreichend, ob finanziell oder für Leib und Leben von Patienten. Unabhängig von der Ursache einer Datenschutzverletzung sind die vielerorts eingesetzten Tools, kaum in der Lage, Verstöße rechtzeitig zu erkennen und mit der Menge von Richtlinienanforderungen wie HIPAA, HITRUST und DSGVO Schritt zu halten. Viele Unternehmen im Gesundheitswesen verlassen sich trotzdem auf manuelle Prüfmethoden oder simple, regelbasierte Protokollierung von Events. Darüber hinaus kämpfen die meisten Organisationen im Gesundheitswesen mit großen Mengen komplexer Datensätze aus heterogenen Systemen.
Gesundheitswesen "remote"
Die meisten etablierten Organisationen im Gesundheitswesen verfügen zwar bereits über einige taugliche Prozesse und Kontrollen. Die plötzliche Umstellung auf Remote-Medizin und die Änderung der Berichtspflichten stellt aber auch sie vor neue Herausforderungen. Schnelle Lösungen wird es nicht geben, aber durchaus eine Reihe von empfehlenswerten Vorgehensweisen:
Einrichten von Remote-Zugriff: Um Shelter in Place-Richtlinien einzuhalten, brauchen große Teile der Belegschaft Remote-Zugriff. Es ist unerlässlich, Mitarbeitern Zugriff auf unverzichtbare Ressourcen zu gewähren. Trotzdem sollte jeder einzelne Benutzer nur die Informationen bekommen, die er für seinen Arbeitsbereich braucht.
Schulung: Einrichtungen im Gesundheitswesen sollten ihren Mitarbeitern kontinuierlich Schulungen anbieten und das Bewusstsein für Datenschutz und Sicherheit fördern. Aktuelle Untersuchungen haben gezeigt, dass Cyberkriminelle die aktuelle Situation fast sofort für sich ausgenutzt und mit Phishing-Angriffen besonders die Remote Worker sensibler Branchen ins Visier genommen haben.
Kritische Apps: Kritische Apps, die EMR-Daten speichern und verarbeiten, sind normalerweise nicht mit dem Internet verbunden, und wenn, dann nur unter strengen Sicherheitsauflagen. Der Zwang zum Remote Working hat diese Norm aufgeweicht. Kritische Anwendungen sind eine wahre Fundgrube an personenbezogenen Daten und auch ein beliebtes Ziel für Ransomware-Angriffe. In vielen Fällen haben Krankenhäuser und Gesundheitseinrichtungen keine andere Wahl als das Lösegeld zu zahlen. Wer kritische Anwendungen über sichere Passwörter und mittels Verschlüsselung schützt, der senkt das Risiko schwerwiegender Datenschutzverletzungen.
Verwendung privater Geräte: Im Rahmen entsprechender Unternehmensrichtlinien dürfen Mitarbeiter oftmals private Geräte verwenden. Mobile Endgeräte haben inzwischen stationäre Rechner überholt, was die Zahl der Angriffe und die verwendeten Angriffsvektoren anbelangt. Entscheidungsträger sollten sicherstellen, dass die Mitarbeiter mit gesicherten Geräten arbeiten oder ein VPN nutzen.
Benutzerüberwachung: Aktivitätsmuster von Mitarbeitern haben sich genau wie die potenziellen Angriffsvektoren in jüngster Zeit radikal verändert. Tools, die verdächtigte Aktivitäten überwachen und kontrollieren, müssen anpassungsfähiger denn je sein. Im Idealfall erkennen sie neuartige oder verdächtige Muster, analysieren und isolieren sie und helfen, Schwachstellen oder potenzielle Angriffe zu prognostizieren.
Der richtige Partner – MSSP im Gesundheitswesen
Viele Probleme lassen sich mithilfe externer Spezialisten oder Managed Security Service Provider (MSSP) besser in den Griff bekommen. Dabei sollte man sich auf zwei Schlüsselbereiche konzentrieren: die Mitarbeiter, die auf eine Patientenakte zugreifen, und den Patienten, auf dessen Akte zugegriffen wird. Um verdächtige Muster zu erkennen, sollte man Ereignisse innerhalb der gesamten IT-Infrastruktur überwachen, analysieren und korrelieren. Kern solcher Big-Data-Plattformen ist beispielsweise eine Machine-Learning-Engine, die Ausgangswerte für ein normales Entitätsverhalten definiert und verdächtige Verhaltensausreißer markiert.
Eine Analyse-Engine nutzt eine Vielzahl von Quellen wie etwa Sicherheitsprotokolle auch aus anderen, im Gesundheitswesen gebräuchlichen Systemen wie Epic, Cerner, Medicity, All Scripts oder Meditech. Tritt eine Datenschutzverletzung auf, trägt diese Art der Überwachung zur Schadensbegrenzung bei. Denn sie zeigt auf, welche Informationen überhaupt geleakt wurden. Dadurch lässt sich zumindest das Ausmaß begrenzen. Die Überwachung ist zudem aus regulatorischer Sicht hilfreich, da sie den Ursprung der Sicherheitsverletzung isoliert. Das kann sich bei der Meldung an den Datenschutzbeauftragten als nützlich erweisen.
Die Isolierung verdächtiger Muster trägt dazu bei, Unsicherheiten aufgrund interner Bedrohungen einzugrenzen, wie z. B. den unbefugten Zugriff auf Patientendaten durch Mitarbeiter, das Ausspähen von Patientendaten, Laborbefunden, klinischen Ereignisabfragen oder Ransomware-Anomalien. Darüber hinaus isoliert das richtige System ungewöhnliche Zugriffe auf Datensätze, etwa von unüblichen oder verschiedenen Orten aus. Solche Systeme erkennen Daten-Snooping durch Angehörige, andere Vertrauenspersonen oder den Patienten selbst, Mitarbeiter oder ungewöhnliche VIP-Zugriffe wie fehlgeschlagene Anmeldeversuche von hochrangigen Mitarbeitern oder Download-Spitzen zu ungewöhnlichen Zeiten oder von unüblichen Standorten aus. Dabei helfen vor allem kontextbezogene Informationen wie Geo-Koordinaten, soziale Profile, Alter und Geschlecht, aber auch Peer-Gruppen-Vergleiche oder eine Kombination aus privaten und öffentlichen Informationen. Schließlich kann das richtige Sicherheitsprotokoll den Zugriff auf Patientenakten einschränken und dafür sorgen, dass Datenschutzbestimmungen eingehalten werden, sowohl solche für die Gesundheitsbranche im speziellen (z.B. HIPAA oder HITRUST) als auch allgemeine Rahmenbedingungen (z.B. DSGVO).
Fazit
Cybersicherheit im Gesundheitswesen mag angesichts von Zahl und Umfang der Angriffe wie die eine Sisyphusarbeit erscheinen. Big-Data-Analysen leisten aber einiges, um Snooping, Datendiebstahl und Betrug frühzeitig zu erkennen. UEBA, also die Analyse von Benutzer- und Entitätsverhalten und maschinelles Lernen erkennen solche Bedrohungen heute nahezu in Echtzeit und automatisiert. Die Branche wird früher oder später in umfassende und vertrauenswürdige Sicherheitssysteme investieren müssen. Das generiert zwar kurzfristig Kosten, sorgt aber langfristig für Patientensicherheit und spart Folgekosten bei einem Datenschutzvorfall.
Eine Partnerschaft mit dem richtigen MSSP senkt die Wahrscheinlichkeit, dass personen-bezogene Daten in die falschen Hände geraten, und Sicherheitsdienstleister sind in der Regel deutlich besser gegen Cyberkriminelle gewappnet, die das herrschende Klima der Verunsicherung für sich ausnutzen. (Securonix: ra)
eingetragen: 01.09.20
Newsletterlauf: 04.11.20
Securonix: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.