Netzwerksicherheit verbessern

Auch einige deutsche Kliniken, wie das Lukaskrankenhaus in Neuss oder die Augusta-Kranken-Anstalt in Bochum und Hattingen, waren 2016 Ziel von Ransomware-Attacken. Locky, Petya, Mamba oder Phantom – so hießen diese Attacken, mit denen sich die IT-Sicherheitsbeauftragen, CIOs und CEOs im vergangenen Jahr beschäftigen mussten. Auch die IT- und Netzwerkteams in deutschen Krankenhäusern und Kliniken reagieren auf die jüngsten Angriffe. Laut einer aktuellen Online-Befragung der Unternehmensberatung Rochus Mummert haben 82 Prozent der befragten 380 Führungskräfte ihre IT-Sicherheit bereits überprüft oder planen es. Immerhin 28 Prozent wollen ihre IT-Abteilung personell aufstocken.

Das ist zum einen auf die vermehrten Cyberangriffe auf Krankenhäuser zurückzuführen. Zum anderen müssen Kliniken bis zum Jahr 2019 ihre IT-Systeme auf den neuesten Stand der Technik bringen. Krankenhäuser zählen zu den Kritischen Infrastrukturen (Kritis) und müssen laut dem verabschiedeten IT-Sicherheitsgesetz organisatorische und technische Maßnahmen ergreifen, um Störungen beispielsweise im Netzwerk und vernetzter Medizintechnik zu vermeiden. Im Frühjahr 2017 wird der Gesetzgeber außerdem für einige ausgewählte Krankenhäuser vorschreiben, ihre IT nach den neu geltenden BSI-Vorgaben auszurichten.

Doch welche Lösungen kommen für die Charité in Berlin oder einen Klinikverbund in Frage? Vor allem die zunehmende Vernetzung in den Krankenhäusern, IoT und Medizintechnik stellen eine neue Herausforderung bei der Umsetzung einer ganzheitlichen IT-Sicherheitslösung dar. Die Basis hierbei bildet das Netzwerk – dieses sollte im Fokus der umzusetzenden Sicherheitsmaßnahmen stehen, da es als das Einfallstor für mögliche Angriffe gilt. James Barrett, Senior Director Endace Europe beschäftigt sich seit über zehn Jahren mit dem Thema Netzwerksicherheit. Für ihn steht auch für 2017 fest: „Die Angriffe kommen – es ist nur die Frage wann.

Die größte Herausforderung im Bereich der IT-Sicherheit in Krankenhäusern und anderen Gesundheitseinrichtungen sind die Geheimhaltung und Integrität von Patientendaten. In den vergangenen Monaten gab es eine große Anzahl von öffentlich bekannt gewordenen Angriffen und Datenschutzverletzungen in Europa und in den USA. Das Vertrauen der Öffentlichkeit in das Gesundheitswesen ist gesunken. Aber viel wichtiger ist, dass solche Angriffe zu Schäden der ungeschützten Menschen führen.“ Wie lassen sich also Patientendaten schützen und das Netzwerk so absichern, ohne dass die Performance leidet? Im Prinzip lässt es sich nur besser und kostengünstiger auf Angriffe vorbereiten, indem das Sicherheits- und Netzwerkteam mehr Transparenz über den Netzwerkverkehr erhält.

Netzwerk-Rekorder oder -karten erfassen, katalogisieren und zeichnen den Datenverkehr bei Übertragungsraten von bis zu 100 Gigabit/Sekunde auf. Somit erhält das IT-Team bei einem Hackerangriff wichtige Informationen, um schnell die Ursache der Probleme zu erkennen und zu lösen. Es existieren Geräte, die sich in bestehende Infrastrukturen einfach und flexibel integrieren lassen und skalierbar sind sowie die Fähigkeit besitzen, bereits bestehende Prozesse, Werkzeuge und Infrastruktur zu verbessern. Durch die gewonnene Transparenz lassen sich Betriebskosten senken, aber auch Kosten für die Wiederherstellung eines angegriffenen Systems einsparen. Barrett: „Die Paketerfassung ist ein Teil einer umfassenden Implementierung von Sicherheitsmaßnahmen. Sie stellen die Beweise für Datenschutzverletzungen und Wiederherstellung zur Verfügung. Sie führen außerdem zu Ursachenanalysen, Sicherheitstests im Rahmen der Compliance und Strafverfolgung.”

Im Beispiel der Ransomware-Attacke auf das Lukaskrankenhaus in Neuss im vergangenen Jahr hätte die IT-Abteilung schneller agieren können, hätte sie auf Knopfdruck eine vollständige Transparenz über den Datenverkehr erhalten. Stattdessen wurden erst zwei Stunden später alle Server und Netzwerke für den ganzen Tag abgestellt. Mitarbeiter mussten eine Woche lang händisch Patienten aufnehmen. 15 Prozent aller Operationen fielen aus und auch Notfälle wurden nicht mehr aufgenommen.

Schätzungen zufolge verursachte dieser Sicherheitsvorfall Kosten im sechsstelligen oder siebenstelligen Bereich. Auch die Suche nach dem Verursacher und der Sicherheitslücke im Kliniknetz dauerte lange. Das Netzwerk-Monitoring hätte der IT-Abteilung insofern geholfen, als dass sie Verursacher und Sicherheitslücke über die vollständige, detaillierte Paketdatenquelle mit korrektem Zeitstempel schneller hätte identifizieren können. Es erlaubt den Analysten eine genaue Darstellung, was und in welchem Ausmaß passiert ist und welche Daten eventuell gestohlen worden sind, ohne dabei raten oder Theorien aufstellen zu müssen. So können Rekonstruktion und Aufklärung von Sicherheitsvorfällen wie Angriffe, Datenmissbrauch oder Netzwerkstörungen in Echtzeit analysiert und behoben werden.

Das Lukaskrankenhaus sieht für die nächsten Jahre vor, die EDV noch sicherer auszubauen und für Sicherheitsvorfälle vorzusorgen. Auch für alle anderen Kliniken gilt es, ein Bündel an Maßnahmen zur Absicherung der IT-Infrastruktur im Rahmen des IT-Sicherheitsgesetzes vorzunehmen. Dazu zählen natürlich auch organisatorische Maßnahmen, wie die Sensibilisierung von Mitarbeitern beispielsweise im Umgang von infizierten Mails. Patientendaten sind hochsensible Informationen, die einen hohen Schutz genießen müssen. In den falschen Händen, können sie große Schäden anrichten. Zudem, sind solche Daten nicht einfach zu ersetzen, wie beispielsweise ein gehackter Kunden-Account.

Die Netzwerksicherheit in Krankenhäusern stellt ein wesentlicher Bestandteil der Vorkehrungen dar, um sich vor Angreifern zu schützen. Die Aufzeichnung von Netzwerkpaketen, das heißt das Monitoring des gesamten Datenverkehrs, unterstützt die Suche nach Problemen und Ursachen bei Sicherheitsvorfällen in Echtzeit, sodass die Kosten für Ausfallzeiten der Systeme reduziert werden können.