Gesponsert

Stärkung der IT-Sicherheit in Kliniken Damit unsichere Passwörter nicht zum Gesundheitsrisiko werden

Gezielte Cyberattacken zeigen, wie wichtig eine höhere IT-Sicherheit in Kliniken ist. Das Krankenhauszukunftsgesetz bietet dafür eine finanzielle Unterstützung, der Branchenspezifische Sicherheitsstandard B3S nennt die Anforderungen. Doch wie erfährt ein Krankenhaus, wie es zum Beispiel um den Schutz der Administrator- und Nutzerzugänge steht? Durch Auditierung der Passwörter.

Gesponsert von

(Bild: irwan-rbDE93-0hHs-unsplash)

IT-Sicherheit auch und gerade in kritischen Zeiten

Das Gesundheitswesen nutzt die Vorteile der zunehmenden Digitalisierung und Vernetzung. Dadurch ergeben sich aber auch Herausforderungen, die insbesondere in der aktuellen Corona-Pandemie kurzfristig und sicher gelöst werden müssen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). „Wie angespannt die Gefährdungslage für Krankenhäuser ist, haben die erfolgreichen Cyber-Angriffe der letzten Monate eindrucksvoll gezeigt“, sagte Arne Schönbohm, Präsident des BSI.

Der IT-Sicherheitsvorfall im Universitätsklinikum Düsseldorf (UKD) im September 2020 ist nur ein Beispiel. Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich im Internet zugänglich, so das BSI. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben einer Patientin oder eines Patienten haben, warnt die IT-Sicherheitsbehörde.

Der Handlungsbedarf für Krankenhäuser ist mehr als deutlich. Für das erforderliche Security-Budget gibt es zudem Unterstützung. Mit dem Krankenhauszukunftsgesetz stellt der Bund Finanzmittel bereit, damit Krankenhäuser in moderne Notfallkapazitäten, die Digitalisierung und ihre IT-Sicherheit investieren können.

Startbildschirm Specops Password Auditor
Startbildschirm Specops Password Auditor
(Bild: SpecOps Software)

Hohe Anforderungen an die IT-Sicherheit bei Kliniken

Was für die IT-Sicherheit in Krankenhäusern getan werden muss, klärt insbesondere der Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. Zudem gibt es Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, wie die Veröffentlichung des UP KRITIS Branchenarbeitskreises Medizinische Versorgung sowie Hinweise zur Cybersicherheit für Kliniken von der EU-Agentur für Cybersicherheit ENISA.

Die Anforderungen zu kennen, reicht aber den IT-Sicherheitsverantwortlichen in Krankenhäusern nicht. Sie benötigen Verfahren und Werkzeuge, um ihre Kontrollaufgaben in der IT-Sicherheit der betreuten Klinik wahrnehmen zu können. Es fehlt aber an Security-Fachkräften, die genau wie das übrige Krankenhauspersonal bereits unter voller Auslastung arbeiten.

Selbst grundlegende Fragen wie der Schutz der Zugänge zu den sensiblen Daten und kritischen Systemen und damit die Sicherheit und Stärke der genutzten Passwörter sind häufig nicht zufriedenstellend geklärt.

Breached Password Protection Set up
Breached Password Protection Set up
(Bild: SpecOps Software)

Passwortschutz in der Krankenhaus-IT überprüfen und verbessern

Wie der B3S Sicherheitsstandard für Krankenhäuser vorschreibt, ist der Zugang zu IT-Systemen und Informationen durch ein sinnvolles und risikofokussiertes Authentisierungsverfahren abzusichern. Dazu gehört es zum Beispiel, Vorgaben für Änderungsintervalle sowie zur Komplexität von Passwörtern zu erstellen und umzusetzen, ebenso Vorgaben für die Änderung temporärer Passwörter nach der ersten Anmeldung an einem Informationssystem.

Zudem müssen nach dem Ausscheiden von IT-Administratoren deren persönliche Zugänge unmittelbar gesperrt und ihm/ihr bekannte Passwörter geändert werden (z.B. für Router, Master-Kennwörter, Notfall-Kennungen), wie der Standard klarstellt.

Die ENISA-Richtlinien betonen zum Beispiel, dass die Standardpasswörter für medizinische Geräte geändert werden müssen, was in der Praxis oftmals noch nicht geschehen ist. Zu einer ähnlichen Einschätzung kommt das BSI in der Untersuchung „Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte, BSI-Projekt 392: Manipulation von Medizinprodukten (ManiMed)“.

Für Security-Verantwortliche stellt sich nun die Frage, wie sich die geforderte, höhere Passwortsicherheit zuverlässig prüfen und umsetzen lässt, mit möglichst geringem Aufwand für die Security-Administration.

Hier bietet sich der Specops Password Auditor an, der das Active Directory (AD) nach Anzeichen für schwache Passwörter durchsucht. Das Kennwortüberprüfungstool spürt kennwortbezogene Schwachstellen auf und erzeugt interaktive Berichte mit Informationen zu Abweichungen von gängigen Industriestandards und den Empfehlungen von NIST, PCI, Microsoft und SANS.

Bildergalerie

Der Auditor zeigt, ob Konten mit bereits kompromittierten beziehungsweise schwachen Passwörtern, abgelaufenen Passwörtern, identischen Passwörtern und Konten, die kein Passwort benötigen, vorhanden sind. Er bietet auch einen vollständigen Überblick über die Administratorkonten in der Domäne einer Organisation, einschließlich der gesperrten/nicht aktiven Administratorkonten. Specops Password Auditor ermöglicht es zudem, die Wirksamkeit der Passwort-Richtlinien gegen einen Brute-Force-Angriff zu messen.

Passwörter, die in Active Directory verwaltet werden, können mit Hilfe von Specops Password Sync mit anderen Unternehmenssystemen synchronisiert werden. Specops Password Sync sorgt so für eine systemübergreifende Passwortsicherheit.

Nutzen Sie jetzt den kostenlosen Specops Password Auditor, um Ihr Active Directory auf schwache und kompromittierte Passwörter zu überprüfen. Sie erhalten übersichtliche Auditberichte zu Active Directory Accounts und wertvolle Hinweise zu Abweichungen von Passwort-Standards.

Neben der Unterstützung bei Passwort-Audits gibt es auch eine Specops-Lösung, die bei den häufig vorkommenden Anfragen von Nutzern nach Zurücksetzen eines Passwortes hilft und die Security-Administratoren entlastet, durch eine Prüfung der Nutzeridentität und einem Self-Service für Reset und Neuvergabe von Passwörtern. Dies wird in dem nächsten Teil dieser Serie näher betrachtet. Wer jetzt schon schauen möchte, findet die Lösung hier.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:47267561)