+49 (0) 8171/405-0 info@proSoft.de

Klinik-IT: Besuchszeit für ungebetene „Gäste“?

20.
Jul
2020
B3S, BSI, Gesundheitswesen, IT-Risikomanagement, Krankenhaus-IT, KRITIS, Lahn-Dill Kliniken, Logfile Analyse, personenbezogene Daten
​Krankenhäuser sind Einrichtungen, in denen die Verarbeitung sensibler, personenbezogener Daten an der Tagesordnung ist. Doch eine neue BSI-Studie zeigt: Die Klinik-IT und die technologischen Antworten auf aktuelle IT-Security-Bedrohungen sind in den meisten Fällen nicht auf der Höhe der Zeit.

Es gibt schlechte Nachrichten aus dem Gesundheitswesen. Und diese haben zur Abwechslung einmal gar nichts mit den Entwicklungen rund um das Corona-Virus (COVID-19) zu tun. Vielmehr geht es unter anderem um Viren und Risiken einer ganz anderen Sorte – im Blickfeld steht nämlich einmal mehr die IT-Sicherheit in Krankenhäusern. Der Hintergrund sind alarmierende Ergebnisse einer neuen Studie (zur BSI-Studie KRITIS-Sektor Gesundheit) des Bundesamts für Sicherheit in der Informationstechnik. Die Experten des BSI haben sich dabei mit der Informationssicherheit der Klinik-IT in der stationären medizinischen Versorgung auseinandergesetzt.

IT-Infrastruktur ist vielfach nicht mitgewachsen

Dabei zeigte sich grundsätzlich, dass in vielen Fällen die IT-Infrastruktur in Kliniken nicht mit den wachsenden Anforderungen technischer Natur mitgewachsen ist. Hinzu kommt in Krankenhäusern oft die Problematik von Legacy-Technologien: Altsysteme werden in einzelnen Bereichen weiterhin genutzt, aber nicht mehr gewartet oder weiterentwickelt.

Systematisches IT-Risikomanagement: Oft Fehlanzeige

Aus organisatorischer Sicht hält das BSI in seiner Studie, die bisher nur teilweise veröffentlicht wurde, fest, dass „sich ein systematisches IT-Risikomanagement in vielen Häusern noch nicht auf dem notwendigen Niveau bewegt.“ Die Planung von entsprechenden IT-Sicherheitsmaßnahmen erfolgt nicht immer risikoorientiert. Und auch die Bedrohungsanalyse in der Klinik-IT ist laut BSI häufig unvollständig. Dies berge die Gefahr, dass speziell die vor- und nachgelagerten Prozesse im Rahmen von Risikoanalysen nicht ausreichend berücksichtigt werden.

Defizite bei technischen Schutzmaßnahmen in Klinik-IT

Mit Blick auf die technischen Schutzmaßnahmen in Krankenhäusern kommen die Experten des BSI zu dem Schluss, dass Defizite zum Beispiel in Bereichen bestehen, „die eine aktive Mitwirkung der Beschäftigten erfordern“ – exemplarisch werden hier Themenfelder wie die Verschlüsselung mobiler Speichermedien und die E-Mail Verschlüsselung genannt. Auch eine klare Netztrennung, etwa zwischen dem Verwaltungs-Netz und den von Besuchern und Patienten genutzten Ressourcen, ist nicht immer vorhanden.

Logfile-Analyse häufig unzureichend

Explizit erwähnt das Bundesamt darüber hinaus, dass auf „Maßnahmen zur Detektion und Reaktion“ seitens der Betreiber bislang offenbar nur eher wenig Augenmerk gelegt wird. Neben einem zentralisierten Malware-Scan von E-Mails heben die Security-Experten dabei insbesondere auch das Netzwerk-Monitoring der Klinik-IT hervor. Und das ist durchaus nachvollziehbar, denn gerade eine systematische, kontinuierliche Logfile-Analyse kann dazu beitragen, Risiken und Sicherheitslücken einerseits frühzeitig zu erkennen, andererseits aber auch tatsächliche Vorfälle so effizient und einfach wie möglich aufzuarbeiten.


 

„Log-Management trägt dazu bei, KRITIS-Anforderungen zu erfüllen″

Gebäude Klinikum Wetzlar

Klinikum Wetzlar – Lahn-Dill-Kliniken

 

Lösungen wie beispielsweise IT@WORK-ProLog® ermöglichen es an dieser Stelle, quasi noch einen Schritt weiter zu gehen und ein echtes Log-Management zu realisieren. Dies kann in Kliniken beispielsweise auch im Rahmen gesetzlicher Vorgaben notwendig sein, um die Anforderungen an Kritische Infrastrukturen (KRITIS/B3S) zu erfüllen, bei denen auch der Protokollierung ein besonderer Stellenwert zukommt.

Ein Weg, den etwa die Lahn-Dill-Kliniken, ein kommunales Krankenhaus-Unternehmen mit mehreren Standorten im hessischen Lahn-Dill-Kreis, durch die Implementierung von IT@WORK-ProLog bereits erfolgreich beschritten haben, wie auch die Fachpublikation Krankenhaus-IT Journal berichtet.

Fazit: In Krankenhäusern ist im Hinblick auf die IT-Sicherheit noch viel zu tun. Neben organisatorischen Veränderungen, etwa im Bereich der Risikoanalyse, kann dabei aus technischer Sicht durch die Einführung eines kontinuierlichen Log-Managements ein erheblicher Sicherheitsgewinn erzielt werden. Denn nur wer weiß, was in seinen Systemen tatsächlich vor sich geht, kann Probleme erkennen und gleichzeitig eine datenschutzkonforme Protokollierung realisieren. Damit sich in der Klinik-IT nicht ungebetene Gäste einnisten!

MetaAccess Plattform NAC: Sicherer Zugriff auf Cloud-Anwendungen https://t.co/eZs4kTa2UM https://t.co/Qhhd6mPDrI
@heiseonline: Konfigurationsfehler führt zu Datenleck bei Mastodon https://t.co/EhlutSobts #Sicherheitslücke #Mastodon
@heiseonline: BKA und Zitis suchen Zero-Day-Exploits – Bundesregierung weiß nichts davon https://t.co/Kvzrr4O3Sr #ZeroDayExploit #ProjektOverclock
EU-Generalanwalt: Schufa-Profile nicht erlaubt | heise online https://t.co/HKNJCwaonW
Kritische #Sicherheitslücke CVE-2023-23397 in Microsoft #Outlook https://t.co/UjKVLapPjE
@DSAgentur: Bestelle ich immer für mich selbst? Sind Bestellungen von Medikamenten dadurch zugleich Gesundheitsdaten, die sich auf mich beziehen? https://t.co/O7j7og6FdK
Cyberkriminelle nutzen Zusammenbruch von Silicon-Valley-Bank in Betrugsmaschen | Security https://t.co/8rNNXD0llT
@heisec: Cyberkriminelle nutzen KI-generierte Youtube-Clips zum Verteilen von Malware https://t.co/P3Z5mexGY1 #AIYoutubeClips #Malware
Webbrowser: #Firefox 111 dichtet 13 #Sicherheitslücken ab | Security https://t.co/Xsy28wFI2T
Patchday: #SAP schließt 19 teils kritische #Sicherheitslücken | Security https://t.co/0HuADFk4z2 #Patchday
Kritische Sicherheitslücken: Lexmark aktualisiert Firmware für viele Drucker | Security https://t.co/QzghMWk80o
Neue IT-Grundschutz Anforderungen an die Fernwartung in IT-Umgebungen und imindustriellen Umfeld https://t.co/itvBk42aZa https://t.co/zFaZ8GIBfI
Schon wieder #Emotet Neue Variante verbreitet sich über 600 KB Zip-Dateien in legitim aussehenden E-Mails. https://t.co/9C6moDe0oE https://t.co/sRNNBG9ceW
Hochriskante Denial-of-Service-Lücke in #Cisco IOS XR | Security https://t.co/nQ8LxM0olx
Dänisches Verteidigungsministerium verbietet Tiktok auf Dienstgeräten https://t.co/4tUsoX0bua
Endpoint Detection & Response EDR & XDR vom europäischen Hersteller TEHTRIS jetzt bei ProSoft https://t.co/spExRVF3By https://t.co/DHrxWdsDWz
@heisec: Windows 11: Angreifer umgehen mit UEFI-Bootkit BlackLotus Secure Boot https://t.co/IGlnNDRPVi #BlackLotus #Patches
Sicherheitsupdates: Angreifer könnte IP-Telefone von Cisco als Root attackieren | Security https://t.co/NUODniQaHw
So schützt die OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This