Drei Säulen zum Schutz

So sichern Sie Ihr Krankenhaus-Netzwerk

| Autor / Redakteur: Patrick Mathy* / Susanne Ehneß

Sind die Sicherheitszonen des Netzwerks durch eine Firewall voneinander getrennt, lassen sich Cyber-Attacken eindämmen
Sind die Sicherheitszonen des Netzwerks durch eine Firewall voneinander getrennt, lassen sich Cyber-Attacken eindämmen (Bild: Prego Services)

Auch Krankenhäuser werden immer häufiger von Hackern ins ­Visier genommen. Um ihre IT-Netzwerke umfassend zu schützen, sollten sie einen mehrschichtigen Sicherheitsansatz verfolgen, wie ihn das „Defence in Depth“-Prinzip verlangt.

Cyber-Kriminelle machen selbst vor Gesundheitseinrichtungen nicht halt. Das haben jüngst auch das Lukaskrankenhaus Neuss und das Klinikum Arnsberg schmerzlich erfahren. Beide Einrichtungen wurden Opfer von Computerviren und mussten ihre IT-Netzwerke für mehrere Tage komplett herunterfahren, um die Gefahr zu beseitigen. Mit ihren Angriffen auf Krankenhäuser verursachen Hacker nicht nur Schäden finanzieller Art und an der Reputation der betroffenen Einrichtungen. Im schlimmsten Fall kann der Ausfall von IT-Systemen die medizinische Versorgung der Patienten gefährden. Das neue IT-Sicherheitsgesetz stuft die IT-Netzwerke von Krankenhäusern darum auch als kritische Infrastrukturen ein, die ein Mindestmaß an Informationssicherheit gewährleisten müssen.

Mit einzelnen Maßnahmen lässt sich das nicht erreichen. Um Cyber-Attacken abwehren oder im Extremfall zumindest eindämmen zu können, sollten Krankenhäuser deshalb das so genannte „Defence in Depth“-Prinzip umsetzen. Das Credo dieses Prinzips: Sicherheitsrisiken werden durch die Implementierung gestaffelter Sicherheitsmaßnahmen minimiert, die auf mehreren Ebenen ansetzen und sich gegenseitig ergänzen. Solch ein mehrschichtiges Sicherheitskonzept lässt sich mit Hilfe von drei zentralen Säulen realisieren: einem von Haus aus sicher konzipierten Netzwerk, einem Information Security Management System und einem Security and Information Event Management.

Sicherheitszonen für Netzwerke

Das A und O für Cyber-Security ist ein IT-Netzwerk, das von Grund auf sicher konzipiert ist. Dazu sollte es in einzelne Sicherheitszonen aufgeteilt werden, die durch Firewalls voneinander getrennt sind. Abhängig von ihrer Wichtigkeit werden die Zonen von den Firewalls gezielt geschützt.

Das IT-Netzwerk eines Krankenhauses könnte dabei beispiels­weise in folgende vier Zonen aufgespalten werden:

  • Zone 1 bilden die Fileserver mit den hochkritischen Patientendaten,
  • Zone 2 die ebenfalls hochkritischen Operationsmonitore,
  • Zone 3 die unkritischen Mail- und Webserver und
  • Zone 4 die ­unkritischen gewöhnlichen PC-­Arbeitsplätze.

Die Kommunikation zwischen ­diesen Zonen sollte komplett über eine Firewall laufen, die nach dem „Whitelisting“-Prinzip agiert. Das heißt: Sie lässt ausschließlich ­Zugriffe von einer Zone auf die andere zu, die explizit als genehmigt definiert sind.

Auf diese Weise kann für jede ­Zone gezielt das passende Schutzniveau geschaffen werden. Die Kommunikation von den gewöhnlichen PC-Arbeitsplätzen in Richtung der Server mit den hochkritischen ­Patientendaten etwa lässt sich per Whitelisting so steuern, dass sie generell unterbunden wird oder nur stark eingeschränkt erlaubt ist, sodass beispielsweise ­keinerlei ­Dateiübertragungen möglich sind. Schafft es eine Schadsoftware, die in einem eMail-Anhang versteckt ist, vom Virenscanner unerkannt auf einen PC-Arbeitsplatz, ist ihr von dort aus der Weg zu den Patientendaten versperrt.

Dieses Beispiel zeigt den Kernnutzen der Sicherheitszonen: Viele ­Cyber-Angriffe können eingedämmt werden. Die Schadsoftware gelangt lediglich in die unkritischen Zonen, kann sich aber von dort aus nicht in die hochkritischen Zonen verbreiten. Natürlich muss ein befallener PC-Arbeitsplatz von einem Virus befreit werden. Aber um die Gefahr zu beseitigen, ist es nicht nötig, das komplette IT-Netzwerk herunterzufahren, und die Gesundheitseinrichtung kann ihre wichtigsten Aufgaben uneingeschränkt weiter erfüllen.

Lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44412690 / Netzwerk-Security-Devices)