:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit im Gesundheitswesen Die Patientenakte als digitales Diebesgut
Nicht Kreditkartendaten, sondern Patientenakten sind die heißeste Ware auf dem Internetschwarzmarkt. Zum Schutz vor Cyberattacken muss die Gesundheitsbranche mehr tun als nur gute Vorsätze fassen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Die Feiertage liegen hinter uns, Millionen Menschen durften sich über Geschenke unter dem Weihnachtsbaum freuen – viele davon online geshoppt: Das ist bequem und wohl wieder sicherer als noch vor einiger Zeit.
Wie die IBM zum Jahresende 2015 berichtete, sind Cyber-Angriffe auf Datensätze des Einzelhandels seit 2014 um 92 Prozent zurückgegangen. Weltweit gab es 5,7 Millionen Vorfälle, bei denen etwa Kreditkarteninformationen gestohlen wurden – klingt zunächst nach viel, ist aber so wenig wie seit vier Jahren nicht.
Haben die Hacker die Nächstenliebe neu entdeckt? Bestimmt nicht! Statt auf Kreditkarten schielen Cyberkriminelle jetzt vorwiegend auf Datensätze aus dem Gesundheitssektor, darunter Patientendaten. Weltweit gerieten 2015 rund 100 Millionen davon in die Hände von digitalen Dieben, die damit auf dem Internetschwarzmarkt einen guten Preis erzielen.
Während Kreditkartennummern so gut wie nichts mehr wert sind, gehen elektronische Patientenakten für bis zu 50 US-Dollar über den virtuellen Ladentisch, wie das FBI berichtet. Seit 2014 hat die Zahl gestohlener Daten im Gesundheitssektor um 1166 Prozent zugenommen.
Haltbare Beute
Der Grund dafür ist die Haltbarkeit dieser Beute: Lässt sich eine Kreditkartennummer leicht ändern, sind zum Beispiel in Patientendaten einzigartige persönliche Informationen gespeichert, wie Geburtsdatum, Sozialversicherungsnummern oder gar ärztliche Diagnosen.
Wer glaubt, dass Deutschland hier eine Sonderrolle einnimmt, der täuscht sich. Zwar haben wir hierzulande noch keine elektronische Gesundheitsakte, wie sie jüngst in Österreich eingeführt wurde, aber auch in der Bundesrepublik ist der Schutz von Patientendaten spätestens seit der Einführung der elektronischen Gesundheitskarte ein großes Thema.
Datenschützer kritisieren seit langem den Umgang mit sensiblen Patientendaten in deutschen Arztpraxen und Kliniken sowie die heutige Art der Kommunikation zwischen den Ärzten. Prüfungen von Datenschutzaufsichtsbehörden zeigen teilweise katastrophale Zustände:
EDV-Dienstleister etwa können in Arztpraxen ungehindert auf Daten zugreifen und diese lesen, ja sogar manipulieren. Arztbriefe werden unverschlüsselt im Internet per E-Mail verschickt. In Kliniken findet keine durchgängige Abschottung sensibler Informationen statt.
Recht? Aussichtlos!
Besserung scheint auf den ersten Blick das Mitte des Jahres 2015 beschlossene IT-Sicherheitsgesetz zu versprechen. Mit dem Gesetz sollen die Betreiber „kritischer Infrastrukturen“ wie Gesundheit, Energie, Wasser oder Telekommunikation verpflichtet werden, ihre Netze besser vor Cyberangriffen zu schützen.
Das IT-Sicherheitsgesetz beantwortet jedoch nicht die Frage, welche Unternehmen konkret als kritische Infrastrukturen im Sinne des Gesetzes gelten, sondern definiert diese lediglich abstrakt: Für jede Branche sollen erst noch eigene Rechtsverordnungen zur Klärung dieser Frage erstellt werden.
Hier sind die USA mit dem Health Insurance Portability and Accountability Act (HIPAA) schon weiter. HIPAA legt in den Vereinigten Staaten einheitlich die Regeln für die Cybersicherheit im Gesundheitssektor fest. So muss der Verlust personenbezogener Informationen zwingend gemeldet werden.
Schwarze Schafe landen gar am digitalen Pranger in Form einer „List of Shame“, wo Vergehen für jedermann online einsehbar sind. Allerdings hat HIPAA auch einen gewaltigen Haken: Die Norm deckt zwar die elektronische Verarbeitung von Patientendaten ab, nicht jedoch die privater Anbieter.
Mehr als nur gute Vorsätze
Weder in den USA noch in Deutschland gewährleistet die momentane Rechtslage ausreichend Schutz für Daten im Gesundheitssektor. Die Branche muss also selbst handeln, sich eigene Ziele beim Thema Cybersicherheit stecken und diese auch entsprechend umsetzen – mit guten Vorsätzen allein ist es nicht getan.
Doch wo anfangen? Zunächst einmal gilt es bei den im Gesundheitswesen tätigen Personen ein Bewusstsein für Cybersicherheit zu schaffen. Gut ein Viertel aller Cyber-Attacken auf Organisationen gelingt durch die Arglosigkeit von Anwendern, beispielsweise durch Phising-Attacken mit personalisierten, täuschend echt aussehenden E-Mails.
Einrichtungen im Gesundheitsbereich, die etwa einen Chief Information Security Officer (CISO) in Vollzeit beschäftigen, sind da schon einen großen Schritt voraus. Solche Organisationen haben meist bereits einen Notfallplan ausgearbeitet und präventive Maßnahmen ergriffen, mit denen sie Cybergefahren strategisch begegnen.
Der CISO hat in der Regel den Überblick über die Sicherheitsinfrastruktur und die möglichen Schwachstellen bei Servern, Endgeräten oder den IT-Policies. So kann er Probleme gegenüber der Leitung einer Einrichtung gezielt adressieren und Veränderungen an höchster Ebene vorantreiben.
Verschlüsseln, verschlüsseln, verschlüsseln
Auch kleinere Organisationen, etwa Arztpraxen, die keinen CISO einstellen können, sollten zumindest jemanden benennen, der für das Thema IT-Sicherheit zuständig ist. Dieser muss sich etwa mit Verschlüsselung beschäftigen und andere darüber aufklären. Korrekt angewandte Kryptographie bietet sehr hohen Schutz und ist meist weniger aufwendig umzusetzen, als es scheint – etwa bei E-Mails, Festplatten oder Servern.
Verschlüsselung ist bestimmt nicht die einzige Säule solider Cybersicherheit. Selbst die besten Verfahren wie der Advanced Encryption Standard (AES) helfen wenig, wenn das Masterpasswort oder der private Schlüssel in falsche Hände geraten. Auch moderne IT-Sicherheitslösungen sind ein wichtiger Baustein, um Anwender und Infrastruktur vor Cyberattacken zu schützen.
Letztlich lässt sich durch Security Audits, wie sie etwa die IBM anbietet, die Sicherheit der IT im Gesundheitswesen drastisch erhöhen. Entscheidend ist, kontinuierlich am Thema dranzubleiben, damit Patientendaten nicht früher oder später zu digitalem Diebesgut werden.
* Arndt Kohler ist Associate Partner bei IBM Security Europe.
(ID:43845801)
:quality(80)/p7i.vogel.de/wcms/46/93/4693179c743a76e5621f61ebe234c176/0112115071.jpeg "HIPAA ist ein US-amerikanisches Gesetz zum Schutz von Daten des Gesundheitswesens. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e734ace2b48be43a44d7af9e05da/0112616008.jpeg "Eins wurde im Zuge der fortschreitenden Digitalisierung klar: Die Systeme in Gesundheitsorganisationen sind gefährdet – und zwar sehr. Check Point analysierte die Angriffslage im Gesundheitssektor genauer und setzt hier auf Zero-Trust-Sicherheitslösungen. (Bild: Olivier Le Moal - stock.adobe.com)")