NTT Security : Informationssicherheit und Risikomanagement im Krankenhaus

Herausforderungen und Best Practices

Auch im heutigen Gesundheitswesen spielt Datensicherheit eine zentrale Rolle. Hauptaufgabe ist es, sensible Informationen trotz der steigenden Komplexität und Anzahl von Sicherheitsvorfällen in Kliniken und Praxen optimal zu schützen.

Herausforderungen und Best Practices

Autor: Dr. Matthias Rosche, Director Solutions & Strategic Accounts, NTT Com Security

Auch im heutigen Gesundheitswesen spielt Datensicherheit eine zentrale Rolle. Hauptaufgabe ist es, sensible Informationen trotz der steigenden Komplexität und Anzahl von Sicherheitsvorfällen in Kliniken und Praxen optimal zu schützen. Beispielsweise erbeuteten Hacker im April und Juni2014 fast 4,5 Millionen Patientendaten wie Namen, Adressen und Telefonnummern. Ziel des Angriffs war die US-Krankenhauskette von Community Health Systems, die ihren Hauptsitz in Franklin (Tennessee) hat. Das Unternehmen ist für rund 200 Krankenhäuser in 29 verschiedenen Bundesstaaten in den USA verantwortlich. Es wird vermutet, dass die Angriffe aus China kamen. Dem Anschein nach wurden weder Kreditkarten- noch Krankenaktendaten geraubt. Von Interesse waren hauptsächlich Patienteninformationen, die Auskunft über Behandlungen der letzten fünf Jahre gaben. Ein Nutzung dieser sensiblen Informationen im Rahmen von zukünftigen personalisierten Angriffen ist hoch wahrscheinlich und zeigt wie geschäftsrelevant und schützenswert Informationen aus dem Health Care-Bereich sind.

Dass die Vielfalt der Hacker-Angriffe auch in Deutschland zunimmt, belegt die im Sommer 2014 erschienene Studie 'Global Threat Intelligence Report' der NTT Group (Link zur Studie: http://www.nttcomsecurity.com/de/kompetenzen/managed-security-services/threatintelligence/). Dieser nimmt fünf kritische Sicherheitsbereiche, darunter die Bedrohungserkennung und reaktive Fähigkeiten, unter die Lupe. Ein wesentlicher Teil der branchenübergreifenden Studie ist den Führungskräften im Geschäfts- und Sicherheitsbereich gewidmet, die Kosten und Risiken gegeneinander abwägen müssen.

Anforderungen im Health Care Security Management

Im Gesundheitswesen muss die Datensicherheit der Patienten- und Mitarbeiterinformationen an oberster Stelle stehen. Grundvoraussetzung hierfür ist die Auswahl der richtigen Verschlüsselungstechnologie. Hierbei ist zu berücksichtigen, dass sich die IT-Umgebung in Krankenhäusern maßgeblich von der IT-Landschaft in Unternehmen unterscheidet. Meist existieren in der Krankenhaus-IT eine Vielzahl von Serversystemen und medizinischer Geräte mit hochsensiblen Daten, eine Umgebung die auch als 'Big Data' bezeichnet werden kann. Dieser Begriff bezieht sich nicht nur auf generelle Informationen wie Namen, Geburtstage oder Telefonnummern, die verwaltet und ausgewertet werden, sondern auch auf Befunde, Krankheitsverläufe und Krankenversicherungsdaten. Die Herausforderung für das Health Care Security Management besteht darin, diese Systeme weniger komplex zu gestalten sowie Mängel in Standardlösungen und langwierige Server-Refresh-Zyklen zu beheben. Idealer Weise soll die IT im Health Care-Bereich skalierbar sein, so dass sich das Netzwerksystem eines Krankenhauses optimal an steigende Anforderungen wie größere Datenmengen anpassen kann. Aufgrund der vielschichtigen Anforderungen entscheiden sich viele Krankenhausbetreiber oft für eine kostspielige Investition in weitere Server-Systeme. Allerdings tragen diese Maßnahmen wenig zur Verringerung der Komplexität und zur Verbesserung der oft zu geringen Virtualisierung im Gesundheitswesen bei. Welche Methoden und Lösungen jenseits der Server-Erweiterung werden für ein erfolgreiches Health Care Security Management empfohlen? Methoden und Lösungen für ein effektives Security Management im Gesundheitswesen

1. Network-Access-Control (NAC)

Die Lösungsansätze zur Verbesserung des Security Management im Gesundheitswesen sind unterschiedlicher Natur. Zu den gängigen Methoden zählt der Einsatz von Network-Access-Control-Technologien (NAC). Diese Netzwerkzugangskontrollen unterstützen die Abwehr von Viren und Malware insbesondere beim Einsatz mobiler Endgeräte. Ebenfalls führen sie das Monitoring von Endgeräten mit Netzanschluss wie Laptops, Tablets und medizinischen Endgeräten durch und tragen entscheidend zur Authentifizierung der oft nicht verifizierten Geräte bei. Veraltete Virenscanner werden mit Hilfe der NAC-Technologien mit den erforderlichen Updates versorgt. Die unterschiedlichen Varianten der NAC-Technologien werden nach speziellen Vorgaben klassifiziert und in sogenannte 'In-Line NACs' oder 'Out-of-Band NACs' eingeteilt. 'In-Line NACs' werden an den Rändern von Netzwerken installiert, 'Out-of-Band NACs' werden einfach in ein Netz eingespeist. Allerdings birgt die Nutzung der NAC-Technologie auch Risiken. Zum einen können diese sehr komplexen Lösungen im Falle eines Programmierfehlers die Netzumgebung in Krankenhäusern gefährden. Zum anderen ist die Konfiguration dieser Systeme ein beliebtes Ziel für Hacker. Auch in puncto Datenschutz und Verfügbarkeit kann sich die fehlerhafte Implementierung einer NAC-Technologie negativ auswirken.

2. Security Information und Event Management (SIEM)

Neben der NAC-Technologie existiert noch eine andere Methode für das effektive Security Management: Der Einsatz von Security Information und Event Management-Lösungen, kurz SIEM-Lösungen. Dabei ist SIEM eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM). Diese Lösungen bieten eine in Echtzeit entwickelte Analyse von Sicherheitsvorfällen, die sowohl im Netzwerk als auch bei bestimmten Applikationen angewandt werden können. Die Kernaufgabe besteht darin, Log-Daten auszuwerten und ein umfassendes Reporting für Compliance-Zwecke zu erstellen. SIEM erfasst alle Log-Meldungen, die von den Systemen erzeugt werden. In Bezug auf die Analyse und Kategorisierung der Log-Daten registriert es jede Abweichung von der alltäglichen Norm. Der Vorteil für die IT-Verantwortlichen: Sie erhalten stets Einblick in den aktuellsten Stand des Netzwerkes. Derartige Anwendungen definieren klar, was als wirklicher Sicherheitsvorfall gilt und was nicht. Außerdem unterstützen SIEM-Lösungen das Monitoring des Security Managements und helfen, mehrstufige Angriffe von vorn herein zu erkennen. Voraussetzung für den optimalen Einsatz von SIEM ist profundes Wissen über Security Controls, Infrastruktur und Security Incident-Handling. Um eine verbesserte Bedrohungserkennungs- und Analysefunktion zu erzielen und von SIEM zu profitieren, sollten Entscheider Managed Security Services-Plattformen wählen, die ausgereifte SIEM-Fähigkeiten bereithalten und deren Know-how, Technologieprodukte und Dienstleistungen modernen Anforderungen genügen. Obwohl SIEM-Lösungen noch relativ neu sind, investieren bereits viele Unternehmen in diese Technologie. Wenngleich die hohen Kosten Entscheider des Gesundheitswesens bisher von Investitionen abgehalten haben, bietet SIEM unbestritten viele Vorteile. Denn durch die Nutzung vieler Millionen Informationen ist SIEM dazu in der Lage, Zusammenhänge von Meldungen, die von IT-Systemen stetig generiert werden, zu erkennen.

3. Organisatorische Prozesse aufsetzen

Um ein effektives Security Management im Gesundheitswesen zu gewährleisten, müssen auch nicht-technische Ansätze zur Problemlösung berücksichtigt werden. Hierzu gehört, dass sowohl Ärzte als auch Mitarbeiter über die in Krankenhäusern geltenden Compliance-Richtlinien im Umgang mit sensiblen Daten unterrichtet werden. Es ist wichtig, dass organisatorische Prozesse wie das Verwalten von Befunden oder Diagnosen bewusst erfolgen. Oftmals stellt dieser Aspekt in der Praxis eine große Gefahr für die Sicherheit von Patientendaten dar. Beispielsweise werden vertrauliche Unterlagen aus Versehen liegen gelassen und somit für jeden zugänglich. Diese Vorfälle zählen zu den möglichen Datenschutzverletzungen, die es zu verhindern gilt. Durch geschulte Mitarbeiter, die sich dieser Thematik bewusst sind, lässt sich das Risiko eindämmen. Clear Desk-Strategien und speziell verschlüsselte Ordner für sensible elektronische Daten tragen ebenfalls zur Lösung des Problems bei. Hilfreich ist ebenfalls die Auflistung aller technischen Schwierigkeiten und Herausforderungen im Umgang mit sensiblen Daten als Orientierungshilfe für die Mitarbeiter. Im Umgang mit sensiblen Informationen sollten strengste Vorschriften greifen. Diese bewusstseinsbildenden Maßnahmen tragen zu einem erfolgreichen Sicherheitsmanagement im Gesundheitswesen bei. Ebenfalls sollte versucht werden, Abläufe, die sich auf die Arbeit mit Patientendaten beziehen, zu vereinfachen und diese mit der IT-Strategie abzustimmen, ohne dabei zu sehr in bestehende Abläufe einzugreifen.

Das Motto lautet: Qualität statt Quantität

'Viel hilft viel'. Dieser Spruch trifft jedoch nicht für das Health Care Security Management zu. Ganz im Gegenteil. Effektivität und Leistungsstärke sollten zielführend kombiniert werden. Im Gesundheitswesen gilt es, die richtige Balance zwischen hochtechnisch ausgereiften Serversystemen und einer überschaubaren Komplexität zu finden. Beispielsweise erneuert die Krankenhaus-IT in Deutschland ihre Server alle drei bis vier Jahre. In anderen Ländern werden diese erst nach fünf Jahren oder sogar noch später ersetzt. Dieses zeigt, dass in Deutschland bisher noch nicht alle technologischen Möglichkeiten für ein ausgereiftes Security Management zum Einsatz kommen. Angriffen wie auf die Kette von Community Health Systems sollten Einrichtungen des Gesundheitswesens proaktiv entgegentreten und geeignete Lösungen für ein effektives Security Management jenseits der Server-Erneuerung prüfen. Aus technologischer Sicht tragen NAC und SIEM-Technologien entscheidend hierzu bei. Ebenfalls sollten Krankenhäuser und Praxen einen obligatorischen Standard für den geschützten Umgang mit sensiblen Patientendaten einführen, da diese die 'Kronjuwelen' für Gesundheitseinrichtungen darstellen. Hierbei sollte der 'Faktor Mensch' nicht als Risiko gelten, sondern vielmehr als Garant für ein Mehr an Sicherheit durch den bewussten Umgang mit geschäftskritischen Daten und Informationen. Unerlässlich sind auch in Zukunft Investitionen in eine leistungsfähige IT. Diese gewährleisten den dauerhaften Schutz vertraulicher Daten und damit die Wettbewerbsfähigkeit jeder Klinik. Denn eines steht fest: Die Angriffe auf sensible Daten werden auch in Zukunft stetig zunehmen.

Fachartikel herunterladen > KTM Krankenhaus Tachnik - Management, Ausgabe 5/15