BSI-KRITIS-Verordnung mit IAM umsetzen

Krankenhäuser haben ein Passwortproblem

| Autor / Redakteur: Jan-Pieter Giele / Peter Schmitz

Die BSI-KRITIS-Verordnung betrifft zahlreiche Kliniken in Deutschland: Zwei Jahre hatten Verantwortliche Zeit, die erforderlichen Sicherheitsstandards nachzuweisen. Doch es herrscht weiterhin Nachholbedarf.
Die BSI-KRITIS-Verordnung betrifft zahlreiche Kliniken in Deutschland: Zwei Jahre hatten Verantwortliche Zeit, die erforderlichen Sicherheitsstandards nachzuweisen. Doch es herrscht weiterhin Nachholbedarf. (Bild: gemeinfrei / Pixabay)

Blackout im Krankenhaus – ausgelöst durch einen professionellen Hackerangriff. Vom veralteten Virenschutz bis zum unbedachten Umgang mit Nutzerrechten gibt es viele Risiken für die IT-Sicherheit. Krankenhäuser zählen zu den sogenannten Kritischen Infrastrukturen (KRITIS), die es besonders zu schützen gilt. Zwei Jahre hatten Verantwortliche Zeit, die erforderlichen Sicherheitsstandards nachzuweisen. Nach Ablauf dieser Frist zeigt sich: Es herrscht Nachholbedarf.

Der nächste Patient wartet schon – nur noch schnell auf dem Stationsrechner einen Blick in die elektronische Akte werfen. Hat sich ein Kollege versehentlich nicht richtig ausgeloggt? Tatsächlich, da sind Daten, die der Arzt eigentlich nicht sehen dürfte!

IT-Sicherheit darf kein Glücksspiel sein: Doch wie dem Arzt beim Einblick in die Patientenakte ergeht es vielen Mitarbeitern in den unterschiedlichsten Arbeitsfeldern. Der allzu nachlässige Umgang mit Zugangsdaten stellt ein erhebliches Sicherheitsrisiko dar – insbesondere bei Organisationen, die eine wichtige Rolle für das staatliche Gemeinwesen spielen. Das Risiko eines Blackouts im Krankenhaus durch professionelle Hackerangriffe ist auch aufgrund nicht klar definierter Zugangsrechte oder leicht zu entschlüsselnder Passwörter sehr hoch. Laut einer Studie des Beratungsunternehmens Roland Berger wurden bereits zwei von drei Krankenhäusern Opfer von Cyberkriminalität. Die Regierung ist alarmiert und hat durch ihr Bundesamt für Sicherheit in der Informationstechnik (BSI) schon 2009 die KRITIS-Verordnung entwickeln lassen, die seitdem einige Male aktualisiert wurde. Elf Branchen besitzen laut BSI besonders angriffsrelevante und schützenswerte Infrastrukturen und müssen Mindeststandards an IT-Sicherheit nachweisen. Zwei Jahre hatten die betroffenen Organisationen – wie Krankenhäuser, Finanzinstitute oder Energieversorger – Zeit, um die eigene IT sicher zu machen und die Verordnung umzusetzen. Am 30. Juni endete die entsprechende Frist.

IT-Störungen sofort melden

Krankenhäuser mit mindestens 30.000 vollstationären Fällen pro Jahr sind von der BSI-KRITIS-Verordnung betroffen. Die Betreiber dieser ‚großen‘ Krankenhäuser sind nun in der Pflicht: Ihre IT-Infrastruktur hat dem geforderten Stand der Technik zu entsprechen, die Prüfstandards der Bundesbehörde müssen eingehalten werden. Zudem muss eine Kontaktstelle für die IT-Sicherheit eingerichtet werden, die rund um die Uhr erreichbar ist. IT-Störungen im Krankenhaus müssen unverzüglich dem BSI gemeldet werden. Die Betreiber kritischer Infrastrukturen müssen zudem alle zwei Jahre nachweisen, dass sie die Regeln für mehr IT-Sicherheit in ihrer Organisation befolgen. Die Umsetzung der KRITIS-Verordnung für die Gesundheitsbranche orientiert sich dabei an der internationalen Norm ISO 27001 sowie den daraus abgeleiteten branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus.

Krankenhäuser haben ein Passwortproblem

Dass bei Krankenhäusern in Sachen IT-Sicherheit Nachholbedarf herrscht, zeigt eine aktuelle Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die umfangreichen Sicherheitstests offenbarten dabei teils gravierende Sicherheitsmängel bei Kliniken. Bei rund 60 Prozent konnten E-Mail- und Passwortkombinationen im Darknet gefunden werden.

Ursachen für die Datenlücken sind struktureller Natur. Der Arzt auf der Suche nach dem korrekten Zugang zur Patientenakte ist kein Ausnahmefall. IT-Sicherheitsexperte Matthias Lohmann hat in den vergangenen Monaten zahlreiche Großkliniken untersucht und bei der Umsetzung der BSI-KRITIS-Verordnung beraten. „Ein wesentliches Risiko im Umgang mit sensiblen Daten ergibt sich aus einem unprofessionellen Zugangs- und Berechtigungsmanagement“, erklärt Lohmann. „Kritisch ist zum Beispiel die Nutzung generischer stationsweiter Passwörter, deren Weitergabe und Nutzung kaum bis gar nicht kontrolliert werden kann. Auch Unberechtigte können so leicht Zugang zu sensiblen Daten erhalten.“ Zudem wird der zeitnahen und passgenauen Vergabe von Zugangsrechten zu wenig Beachtung geschenkt:

  • Ärzte und Krankenpfleger haben keinen Zugriff auf für die Behandlung relevante Informationen.
  • Neues Krankenhauspersonal wartet häufig Wochen, bis es auf wichtige Systeme und Daten zugreifen kann.

Ein unprofessionelles Zugangs- und Berechtigungsmanagement ist auch dann kritisch, wenn Mitarbeiter die Klinik verlassen: Häufig hat der ‚Ex’ noch Monate nach seinem Ausscheiden durch aktive Passwörter Zugriff auf Systeme und Daten. „Solche strukturellen Defizite sind natürlich ein Albtraum für die Datensicherheit“, weiß der Experte.

BSI-KRITIS-Verordnung „fordert“ IAM

Das BSI definiert in ihrer KRITIS-Verordnung Risikobereiche, die sich mit Lohmanns Beobachtungen decken – wie ein möglicher Datenmissbrauch von Innentätern, menschliche Fehlhandlungen oder fehlende Rollen- oder Funktionstrennungen. Damit benennt das BSI explizit Bedrohungskriterien, die die Einführung eines professionellen Identity- und Access-Managements (IAM) geradezu fordern.

„IAM kann die effektive, transparente und sichere Lösung für das Identitäts- und Rechtemanagement in der IT-Sicherheit beispielsweise in einem Krankenhaus sein“, erläutert Lohmann. Viele vom BSI genannte Risiken können minimiert werden. So bietet IAM der Organisation Kontrolle, Sicherheit und Effizienz beim Zugriff auf IT-Systeme und Daten – beispielsweise durch ein Access Governance im IAM-Komplettsystem. Auf der Basis klarer Rollen- und Funktionstrennungen wird gewährleistet, dass Benutzer nur Zugriff auf Anwendungen und Ressourcen erhalten, die sie für ihre Arbeit benötigen. „IAM liefert quasi digitale Schlüssel und öffnet Türen immer dann, wenn der Zutritt erlaubt und gewünscht ist.“ Und das auch schnell und quasi auf Knopfdruck. So hat der Arzt gleich an seinem ersten Arbeitstag Zugriff auf seine elektronischen Patientenakten.

Gleichzeitig liefert IAM eine schnelle Übersicht über die Rechtevergabe: Welcher Nutzer Zugang zu welchen Systemen beziehungsweise Daten hat, ist klar ersichtlich und dokumentiert. Diese Informationen können wiederum genutzt werden, um Ex-Mitarbeiten den Zugriff mit dem Ausscheiden aus der Organisation zu entziehen. Auf diese Weise wird das Risiko, durch Insiderwissen Opfer von Datendiebstahl oder -manipulation zu werden, reduziert.

Sicherheitsrisiken durch generische, zu einfache oder Gruppen-Passwörter können durch IAM ausgeschlossen werden. Die Organisationsregeln für die Erstellung sicherer Passwörter werden eingehalten, Anmeldeinformationen bleiben geheim. Mit einem integrierten Self-Service-Tool haben Nutzer die Kontrolle über Passwörter. IAM hilft auch beim geforderten Reporting an die zuständigen Behörden wie dem BSI. Jede Abweichung und Anomalie wird vom System überprüft und gemeldet. Diese Informationen helfen den Verantwortlichen unter anderem ihrer Pflicht zur Meldung von IT-Störungen nachzukommen. „Ein professionelles Identitäts- und Access-Management trägt wesentlich zur IT-Sicherheit in deutschen Krankenhäusern bei. Es hilft, die neuen Sicherheitsbestimmungen zuverlässig umzusetzen und den Rückstand aufzuholen“, fasst Lohmann zusammen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46193826 / Risk Management)