IT-Sicherheit im Krankenhaus! Neuer Artikel aus dem Netwerk Medical IT Valley

IT Sicherheit im Krankenhaus

Ein IT-Profi aus einem deutschen Krankenhaus hat folgenden Artikel verfasst. Wir veröffentlichen diesen auf Wunsch des Autors anonym, um keine öffentliche Debatte mit einer Klinik auszulösen – der Kontakt kann auf Wunsch hergestellt werden:

Cyberattacken auf Krankenhäuser

Ein Jahr ist nach den Cyberattacken auf die Krankenhäuser in Neuss oder Arnsberg (und weitere, die es nicht in die Öffentlichkeit getragen haben) vergangen. Von Locky und Co. (Ramsomware) hat mittlerweile jeder gehört. Durch das Öffnen einer infizierten E-Mail-Anlage werden sämtliche Daten verschlüsselt, auf die man zugreifen kann. Schnell erkannte jeder, wie abhängig man mittlerweile von einer funktionierenden IT in sämtlichen (IT-gestützten) Prozessen ist. In den betroffenen Krankenhäusern wurden z.B. OPs verschoben und Befunde ausgedruckt und per Fax verschickt.

Was ist seit dem passiert?

Man sprach zunächst von gezielten Angriffen auf Krankenhäuser, jedes Krankenhaus könnte das nächste „Opfer“ werden. IT-Mitarbeiter wurden wachgerüttelt und sollten eine Lösung schaffen, obwohl man gerade diesen Bereich in den letzten Jahren oft keine IT-Investitionen tätigen durfte.

Die meisten Häuser versuchten mit vorhandenen Mitteln die E-Mail-Anhänge zu blockieren und verdächtige Anhänge in Quarantäne umzuleiten und dort teilweise „händisch“ von IT-Mitarbeitern prüfen zu lassen. Teilweise panisch wurden weitere Überlegungen angestellt, wie man sein Netzwerk sicherer machen konnte. Seit Jahren wurde dieser Bereich leider sehr vernachlässigt. Die Berater und Verkäufer im Umfeld der IT-Sicherheit wurden auf einmal hektisch zur Rate gezogen, und man musste mit langen Wartezeiten rechnen. Schneller und einfacher konnte man die Security-Produkte nicht an den Markt bringen.

Herausforderungen in dem Umfeld „Krankenhaus“

Krankenhäuser haben eine hohe Bedeutung in der Gesellschaft – das gilt natürlich für das gesamte Gesundheitswesen. Hier werden Leben gerettet und Patienten behandelt. Auch die verschiedenen Berufsgruppen mit Ihren unterschiedlichen Anforderungen macht es noch einmal spezieller.

Technisch gesehen sind es eher die Herausforderungen der „gewachsenen Strukturen“. Viele Netzwerke sind „in die Jahre“ gekommen. Alte Hardware, aber meist auch ein schlechtes Netzwerk-Design. So sind in einem „Zoo“ eines Krankenhaus-Netzwerkes oft eine große Artenvielfalt in einem Netz zusammen untergebracht: die Server, die PCs und Drucker, neben Medizingeräten, (tele-) radiologischen Modalitäten, Geräten zur Schrankensteuerung bei Parkhäusern, Steuergeräten von Heizungen oder Aufzügen oder Teile der Gebäudeleittechnik (GLT)

Nehmen wir mal als Beispiel die Medizingeräte. In der Vergangenheit lieferten die Hersteller ihre Gerät oft mit veralteten Betriebssystemen (z.B. an den dazugehörigen PCs mit einem Windows XP) oder offenen Schnittstellen aus. Gleichzeitig wurden die Geräte zunehmend „netzwerkfähig“ erreichbar. Dadurch sind viele Geräte über „offene Anschlüsse“ wie z.B. über USB sowie über Netzwerk angreifbar.

Dann gibt es in Krankenhäusern noch die „öffentlichen und frei zugängliche Bereiche“ in denen teilweise gepatchte Netzwerkdosen sind. Hier könnten Besucher durch „Einstecken“ teilweise in das interne Netzwerk gelangen. Und seit einigen Jahren ist auch in vielen Kliniken ein Patienten-WLAN im Einsatz. Hier muss man auch gewährleisten können, dass die Patienten / Besucher nicht an das interne Netz kommen können.

Dann sind da noch die angesprochenen verschiedenen Berufsgruppen mit Ihren unter-schiedlichen und besonderen Ansprüchen und Anforderungen beim Thema IT-Sicherheit.

Im komplexen Themenfeld „IT Sicherheit im Krankenhaus“ benötigt man sehr gut ausgebildete IT-Mitarbeiter, die das Netzwerk richtig designen könnten und entsprechende Security-Produkte bedienen kann und optimaler Weise auch noch organisatorische Strukturen und Regelungen schaffen und durchsetzen können. Das zeigt sich doch als schwierig, sind doch gerade diese Personen auf dem Arbeitsmarkt überall gesucht.

IT-Sicherheitsgesetz KRITIS

Auch zum jetzigen Zeitungpunkt ist noch keine Entscheidung gefallen, nach welchen Kriterien die Krankenhäuser bewertet werden und welche Krankenhäuser die Anforderungen aus dem IT-Sicherheitsgesetz erfüllen müssen.

Das IT-Sicherheitsgesetz schaut eigentlich auf drei grundsätzliche Bausteine. Zum einen werden die Betreiber verpflichtet ein „Mindestniveau an IT-Sicherheit“ zu erreichen bzw. sicherzustellen. Das bedeutet, dass sowohl technische und organisatorische Kriterien erfüllt werden müssen und man „up-to-date“ sein muss. (Art. 1 §8a (1))

Das Ganze muss dann auch durch externe nachgewiesen werden können. Somit ist man zu regelmäßigen Sicherheitsaudits und Zertifizierungen verpflichtet (Art. 1 §8a (3))

Sollte sich ein kritischer Vorfall im Unternehmen ereignen so muss dieser dann über eine einzurichtende Meldestelle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Gleichzeitig ist diese Kontaktstelle für den Empfang wichtiger Informationen seitens des BSI verantwortlich. (Art. 1 §8b)

Leider sind hier noch einige Fragen offen.

 

IT-Sicherheit – was braucht man wirklich zum gesunden Einstieg

Die Frage ist leider nicht einheitlich für alle Krankenhäuser zu beantworten. Auch hier muss man grundsätzlich schauen, wie viel man in den letzten Jahren in den Bereich IT-Infrastruktur investieren durfte oder welche organisatorischen Regelungen z.B. durch Einzug von Qualitäts-management schon getroffen wurden.

Höchste Priorität hat natürlich nach wie vor ein ausgereiftes Backup-Konzept – optimal wäre in dem Zusammenhang natürlich auch ein redundantes Rechenzentrum. Die Realität sieht leider nicht überall so aus. So findet man mittlerweile häufig ein hochverfügbares Storage-System mit redundanten Wegen zu den angebundenen Servern, die dann als Host für mehre „virtualisierte“ Maschinen dienen. Leider fällt der  redundante Backbone-Switch oftmals schon den Kosteneinsparungen zum Opfer, und somit findet man dort einen „Single Point of Failure“, der dann zu Ausfallzeiten führen kann. Auch wichtige und hoch-digitalisierte Bereich sollte man – falls möglich – redundant anbinden.

Im Bereich Netzwerk sollte man zunächst dringend Bestandsaufnahme machen, um die Geräte in meinem Netzwerk zu inventarisieren. Dann sollte man nach Protokollstandard IEEE 802.1x gewährleisten, dass sich unautorisierte Geräte nicht in „seinem“ Netzwerk einwählen können, sondern nur die authentifizierten Geräte. Dann sollte man das Netzwerk dringend segmentieren, d.h. verschiedene VLANs für verschiedene Netzwerkgeräte (z.B. ein eigenes Netz für Medizingeräte, für Drucker usw.) festlegen. Als nächstes kann man dann noch die die Kommunikation und den Zugriff zwischen den Netzen regulieren. Das heißt man kann z.B. festlegen, welche Geräte (mit welchen IP-Adressen) mit einander kommunizieren können. Beim Thema WLAN ist es natürlich auch erforderlich, dass z.B. das Patienten-WLAN vom Krankenhaus-Netz bzw. Krankenhaus-WLAN getrennt ist. Setzt man mobile Geräte ein, sollte man sich dringend mit dem Thema Mobile Devicemanagement auseinandersetzen, um so die Kontrolle über die mobil eingesetzten Geräte zu behalten.

Ein weiteres „unterschätztes“ Thema sind Fernwartungszugriffe… Oder wissen Sie, wer/wo/wie auf Ihre Systeme zugreifen kann? Wissen Sie, welcher Support über Fernwartungstools wie Teamviewer auf verschiedenster Geräte in Ihrem Netz zugreifen kann.

Dann gibt es natürlich die Themen der Firewall, des Virenschutzes und des Spamschutzes. Haben Sie bereits eine Next-Generation-Firewall im Einsatz, die viel mehr Möglichkeiten als die herkömmliche Firewall bietet…? Haben Sie im Bereich Endpoint-Protection den Virenschutz wirklich auf jedem Rechner aktiv, bekommen Sie eine Alarmierung wenn sich ein Vorfall ereignet und dürfen z.B. USB-Sticks in Ihrem Netzwerk einfach so eingesteckt werden? Das Thema „E-Mail-Sicherheit“ ist natürlich auch wesentlich, da die Ransomware wie Locky oft als E-Mail in die Unternehmen geschickt werden. Hier ist es natürlich elementar, dass sich die Systeme oft mit aktuellen Signaturen versorgen. Dann sollte man sich natürlich mit dem Umgang mit E-Mail-Anhängen im Unternehmen beschäftigen. Trotz aller technischer Systeme sollte man hier dringend die Anwender schulen und sensibilisieren. Viele Unternehmen haben auch hier nur Ihre geschäftlichen E-Mails im Blick. Doch was ist in Ihrem Unternehmen mit den privaten Freemailern? Sind diese erlaubt? Was könnte alles passieren, wenn aus dem privaten Postfach ein infizierter Anhang geöffnet wird…

Weiterhin sollte man schauen, welcher User mit welchen Berechtigungen auf den Servern unterwegs sind und nicht auf alle Freigaben im Netzwerk zugreifen kann. So ist es leider oft, dass durch Abteilungswechsel oder temporäre Projektarbeit, die Mitarbeiter mit „zu vielen“ Berechtigungen ausgestattet sind.

Angreifer nutzen oft bekannte Schwachstellen im Betriebssystemen oder Software-Produkten um Schaden anzurichten. Können Sie mit Sicherheit sagen, dass alle Ihre Server und Clients auf dem neuesten Stand, z.B. mit Windows-Updates versorgt sind. Wie sieht es mit anderen Software-Produkten, wie z.B. Adobe Reader oder Flash aus. Auch hier empfiehlt sich der Einsatz von Schwachstellenscanner, wie z.B. Open-Source Produkte wie Open-VAS oder Nessus. Das sind nur einige technische Punkte bei dem Thema. Die Liste könnte noch um einige Punkte erweitert werden.

Ergänzt wird das Thema IT-Sicherheit um organisatorische Fragestellungen und Mitarbeiter-schulungen bzw. – sensibilisierungen. Organisatorisch sollten Krankenhäuser dringend die Verantwortung klären, d.h. jemand muss offiziell für dieses Thema benannt und ausgebildet werden. Optimal wird diese Person ergänzt von einer Gruppe, die Entscheidungen treffen kann und die verschiedenen Berufsgruppen repräsentiert, damit direkt auch die Akzeptanz in den verschiedenen Fachbereichen erreicht werden kann und die „Usability in der Praxis“ besprochen werden kann. Gemeinsam sollte man eine unternehmensweite Informations-sicherheitsrichtlinie erarbeiten. Sollte das Krankenhaus als kritische Infrastruktur eingestuft werden, sollte man ein Information Security Management System (ISMS) also ein „Managementsystem für Informationssicherheit“ als zentrales Managementsystem für Regelungen rund um die Informationssicherheit einführen.

Ausblick:

Man muss sich leider intensiv mit dem Thema weiter beschäftigen und es sehr genau im Auge behalten. Ich glaube es ist unabhängig davon, ob man „seitens IT-Sicherheitsgesetz“ dazu aufgefordert wird oder nicht. Immerhin hängt ein Teil der Patientensicherheit auch in den IT-Systemen. Auch entstehen durch IT-Ausfälle nicht nur ein wirtschaftlicher Schaden, sondern leidet euch das Image eines Krankenhauses darunter.

Man muss davon ausgehen, dass die Angriffe nicht weniger werden und gleichzeitig noch gezielter und professioneller werden. Das Thema Ransomware / Erpressungstrojaner bleibt und die Trojaner werden immer weiter entwickelt und neue Übertragungswege bzw. Angriffstechniken werden ausprobiert. Vernetzte Geräte und das Thema Internet of Things werden zunehmen. Man sollte sich also dringend um Netzwerk-Design, gut ausgebildete IT-Mitarbeiter und Absicherung seiner wichtigsten Prozesse kümmern. Also muss man in moderne Schutzmaßnahmen investieren und organisatorische Maßnahmen vorbereiten. Das Thema Notfall-Management sollte hoffentlich nur in Test-Läufen ausprobiert werden.