In klinischen Bereichen prallen unterschiedliche Interessen aufeinander: Das medizinische Personal fokussiert sich auf
die Patientenversorgung, während die Krankenhausleitung wirtschaftliche KPIs im Blick haben muss. Um den gesamten Betrieb am Laufen zu halten, braucht es zudem IT-Systeme, auf die man sich verlassen kann. Aufgrund des Fachkräftemangels und des Kostendrucks fehlen allerdings häufig ausreichend IT-Sicherheitsexperten. Und diese sind notwendig, um eine IT-Infrastruktur sicher zu betreiben. 

Vorgehensweise der Cyberkriminellen

Dabei erscheinen Cyberangriffe im ersten Moment teilweise harmlos, getarnt als einfache E-Mail. Diese enthält dann allerdings einen schädlichen Link oder Anhang, den der Mitarbeitende öffnen soll. Hinzu kommt, dass viele IT-Sicherheitslücken schlichtweg unbekannt und deshalb immer noch existent sind und von Angreifern als Einfallstor genutzt werden können. 

Sobald Angreifer es in ein IT-System geschafft haben, suchen sie nach weiteren Sicherheitslücken und installieren Schadsoftware, die ihnen eine vollständige Fernsteuerung von IT-Anlagen und medizinischen Geräten ermöglicht. Mit einer entsprechenden Ransomware werden Daten so verschlüsselt, dass sie unlesbar sind. IT-Systeme werden blockiert, Datenbanken manipuliert, Webseiten abgeschaltet und Medizingeräte gestört – und Patienten dadurch gefährdet. 

Das Zero-Trust-Prinzip als Basis für sichere IT-Systeme

Da es nicht nur um sensible Daten, sondern auch den Weiterbetrieb des Krankenhauses geht, haben Angreifer mit ihrer Forderung nach hohen Lösegeldsummen leider immer wieder Erfolg. Doch es geht auch anders – mit einer Kombination aus Zero-Trust-Prinzip und Edge-Computing.  Um das Risiko, von einem Cyberangriff betroffen zu sein, zu minimieren, empfiehlt sich ein Zero-Trust-Sicherheitsmodell. Das Prinzip „Vertraue niemandem“ bedeutet, dass der Zugriff auf Geräte, IT-Anwendungen und Patientendaten niemals als vollständig sicher angesehen werden sollte, selbst innerhalb getrennter Netzwerke. Es gilt: Zugang sollten nur die erhalten, die wirklich einen Zugang benötigen.

Dies gilt für Personen ebenso wie für Systeme. Im Fachjargon spricht man von „Least-Privilege-Verfahren“. Zero-Trust kann lokal oder in der Cloud implementiert werden, je nach Sicherheitsanforderung des Krankenhauses.
Für die Einrichtung eines solchen Konzepts ist jedoch Expertenwissen erforderlich. Der Prozess beginnt mit der Identifizierung aller Geräte im medizinischen IT-Netzwerk, gefolgt von der Anwendung einer Zero-Trust-Policy mit dem „Least Privilege“-Ansatz.

Eine sichere Infrastruktur durch Edge-Technologie

Eine weitere wirksame Maßnahme für den Schutz vor Cyberangriffen ist die Etablierung einer Edge-Infrastruktur, mit der sich eine managebare und skalierbare Organisation aufbauen lässt, die sichere Vernetzungsszenarien innerhalb und außerhalb einer Organisation ermöglicht. So sorgt beispielsweise Secunet Medical Connect als Edge- und Security Gateway-Plattform für einen sicheren, vertrauensvollen und ungehinderten Informationsfluss zwischen Medizingeräten und datengetriebenen Diensten – unter Berücksichtigung aller Regularien, Standards und Best Practices.

Die sichere Ausführungsumgebung des Gateways kann flexibel für fachliche Anwendungen und Gateway Applikationen genutzt werden, insbesondere RetroFit, Geräteüberwachung, Security Monitoring, Fernwartung, Protokollübersetzung, Datenvorverarbeitung und (Cloud)-Service-Schnittstellen. Der größte Vorteil, die zentral verwaltbare Edge-Gateway-Plattform, kann je Use Case und Umgebungsbedingung unterschiedlich eingesetzt und bestückt werden. So können Anwender, Service- und Solution Provider das relevante – sichere – Setup für die sichere Digitalisierung kritischer Prozesse bilden.  

Die Digitalisierung im Gesundheitswesen bringt enorme Vorteile, stellt aber auch hohe Anforderungen an die IT-Sicherheit. Mit modernen Technologien wie dem Zero-Trust-Prinzip und der Implementierung einer Edge-Infrastruktur können Krankenhäuser ihre IT sicher und effizient betreiben. Secunet unterstützt dabei, sichere und vertrauenswürdige Vernetzungsszenarien zu schaffen und die digitale Transformation erfolgreich zu gestalten.