Gesundheitsbranche im Visier
KRITIS-Betreiber weiterhin im Visier von Cyberkriminellen
Herausforderungen für die Gesundheitsbranche
Ein Beitrag von Arved Graf von Stackelberg, Managing Director DRACOON
In unserer zunehmend vernetzten Gesellschaft sind die Wirtschaft, der Staat und auch der einzelne Bürger in hohem Maße auf die Funktionalität und Verfügbarkeit der Informationstechnik angewiesen. Besonders schützenswert sind vor allem Einrichtungen, die zum Bereich der Kritischen Infrastrukturen (KRITIS) gehören, da sie eine besonders hohe Bedeutung für die Aufrechterhaltung wichtiger Funktionen haben, die z. B. auch die Gesundheit und den Schutz der Bevölkerung sicherstellen. Eine große Bedrohung, der KRITIS-Betreiber ausgesetzt sind, ist die Gefahr vor Angriffen cyberkrimineller Vereinigungen und Einzeltäter. Unternehmen aus den Sektoren Gesundheit, Energie oder dem Finanz -und Versicherungswesen etwa sind sehr lukrative Ziele für Kriminelle. Auch die Tatsache, dass die Betreiber untereinander sehr stark vernetzt sind, bedeutet ein hohes Gefährdungspotenzial in diesen Bereichen.
Verantwortliche wägen sich in Sicherheit
Wie KRITIS-Betreiber die Bedrohung selbst einschätzen, zeigte die Mitte letzten Jahres erschienene Publikation „Monitor 2.0 “ – eine Studie von VeSiKi, dem wissenschaftlichen Begleitforschungsprojekt des Förderschwerpunktes IT-Security für Kritische Infrastrukturen des Bundesministeriums für Bildung und Forschung. Hierfür wurden Betriebe in Deutschland befragt, unter anderem CISOs, CIOs, weitere Mitglieder des Managements und IT-Sicherheitsverantwortliche. Hier waren auch KRITIS-relevante Branchen wie Gesundheit, Energie, Wasserversorgung sowie IT und ITK vertreten. Der Report zeigt, dass die Betreiber dieser Sektoren einem breiten Spektrum an Angriffen ausgesetzt sind. Besonders häufig gaben die Befragten unter anderem an, Opfer von Phishing und Ransomware gewesen zu sein. Bei Ransomware ist im Vergleich zum Vorjahresbericht „Monitor 1.0“ ein Zuwachs von beunruhigenden 40 % zu erkennen. Besonders interessant ist auch die Einschätzung der Bedrohungslage durch die Entscheider – hier wurde unterschieden zwischen der Sicht auf den Wirtschaftsstandort Deutschland, die eigene Branche sowie die eigene Organisation. In diesem Zusammenhang wird deutlich, dass die Befragten im KRITIS-Sektor die Gefährdung für Deutschland insgesamt ernst nehmen, denn 25 % schätzen diese als „sehr hoch“ ein, die restlichen 75 % als „hoch“. Etwas anders sieht dies in Bezug auf die eigene Branche aus, denn hier sahen nur etwa 15 % der Teilnehmer ein sehr hohes, immerhin 70 % ein hohes, und sogar weitere 15 % ein geringes Gefahrenpotenzial. Die Studie verdeutlicht, dass die Bedrohung für die eigene Organisation durchweg am positivsten gesehen wurde – nur 10 % sehen für diese ein sehr großes, 70 % ein großes, und auch hier 20 % nur ein geringes Risiko.
Die Erhebung zeigt, dass KRITIS-Entscheider ihre eigene Sicherheit grundsätzlich nicht so sehr gefährdet sehen wie die der Bundesrepublik oder der Branche insgesamt. Doch ist diese Zuversicht berechtigt? Im aktuellsten Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) wird die Situation in Bezug auf die Cyber Security im Bereich KRITIS weiterhin insgesamt als hoch eingeschätzt, auch wenn die Ausprägung innerhalb der Branchen schwankt. Im Berichtszeitraum der Veröffentlichung erreichten das BSI 145 Meldungen aus den KRITIS-Sektoren, die meisten aus dem Bereich IT und Telekommunikation, die zweitmeisten aus dem Energiesektor.
KRITIS Verordnung – ab sofort bindend für viele Healthcare-Organisationen
In Hinblick auf diese hohe Gefährdungslage müssen Betreiber dringend reagieren und ihr internes Schutzniveau konstant hochhalten. Auch von gesetzlicher Seite gibt es hier spezielle Regelungen. Ein gesetzlicher Vorstoß, um Kritische Infrastrukturen sicherer zu gestalten, wurde mit der sogenannten BSI KRITIS-Verordnung auf den Weg gebracht. Ein erster Entwurf der Gesetzesgrundlage für die Sektoren Energie, Ernährung, und Wasser sowie teilweise IT/ITK wurde Anfang 2016 vorgelegt. Der 30. Juni dieses Jahres war schließlich der Stichtag, an dem die Verordnung für den Gesundheitssektor verbindlich in Kraft getreten ist. In diesem Zusammenhang kamen neue Regelungen auf den Healthcare-Sektor zu. Welche Organisationen das Gesetz betrifft, ist genau festgelegt anhand der KRITIS-Verordnung des BSI (auch bekannt als Korb I) und der 1. Änderungsverordnung (Korb II). Laut derzeitigem Stand gilt eine Klinik mit mehr als 30.000 vollstationären Fällen im Jahr als Betreiber einer Kritischen Infrastruktur. Dies betrifft etwa 33 % aller Krankenhäuser in Deutschland. Insgesamt gibt es vier Punkte, die seit dem Stichtag umgesetzt werden müssen. Zum einen müssen die betroffenen Kliniken einen Nachweis über geeignete Vorkehrungen zur IT-Sicherheit erbringen. Konkret heißt dies, dass die Einrichtungen durch Sicherheitsaudits, Zertifizierungen oder Prüfungen nachweisen müssen, dass sie den gesetzlichen Anforderungen durch sichere Prozesse entsprechen. Prüfstandards, die hier zugelassen sind, sind etwa die Norm ISO27001 oder der alternativ vom BSI akzeptierte Standard „B3S“ (Branchenspezifische Sicherheitsstandard).
Weiterhin müssen Organisationen innerhalb von sechs Monaten nach Inkrafttreten der Verordnung eine Kontaktstelle benennen. Dabei muss es sich um ein Funktionspostfach und nicht ein persönliches Postfach eines Mitarbeiters handeln, an den das BSI IT-Sicherheitsinformationen senden kann. Dieses Postfach muss durchgehend an 7 Tagen pro Woche und 24 Stunden täglich erreichbar sein. Außerdem muss jede meldepflichtige IT-Störung umgehend an das BSI kommuniziert werden. In diesem Zusammenhang gelten folgende Zwischenfälle als meldepflichtig: das Auftauchen neuer, bisher nicht veröffentlichter Sicherheitslücken, unbekannter Schadprogramme, Fälle von Spear-Phishing sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (z.B. nach Softwareupdates). Zuletzt gibt es seitens des BSI noch die Vorgabe, dass Betreiber dafür sorgen müssen, dass die eingesetzten Systeme in Kliniken dem aktuellen Stand der Technik entsprechen. Spätestens zwei Jahre nach dem Inkrafttreten der BSI-KRITIS-Verordnung (also bis zum Jahr 2021) müssen „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ getroffen und gegenüber der Bundesbehörde nachgewiesen werden.
Klinken müssen technisch aufrüsten und up-to-date bleiben
In Hinblick auf den letzten Punkt gilt es für Entscheider im Healthcare-Sektor, einige Aspekte zu beachten, wenn es um die Implementierung neuer Software geht. Viele Unternehmen suchen aktuell eine moderne Lösung zum Speichern, Verwalten und Versenden von Daten. Hier bietet sich eine Cloud-Lösung zum Dateiaustausch an. Gut beraten sind Organisationen, wenn sie bei der Wahl von Lösungen darauf achten, dass diese „Made and Hosted in Germany“ sind, denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und gleichzeitig auch den Anforderungen der EU-DSGVO. Auch Zertifizierungen und Auszeichnungen untermauern die Konformität in diesem Bereich, zum Beispiel die Norm ISO27001. Auch dem Thema Verschlüsselung sollten Unternehmen in diesem Bereich besondere Beachtung schenken. So stellt eine clientseitige Verschlüsselung sicher, dass die Daten bereits am Endgerät verschlüsselt werden. Auf diese Weise kann nicht einmal der Anbieter der Software auf die gespeicherten Daten zugreifen.
Wichtig für Betreiber ist es außerdem, dass autorisierte Personen jederzeit einsehen können, welche Daten wann von wem bearbeitet werden. Nur auf diese Weise lässt sich der unkontrollierte Abfluss von Daten erkennen und vermeiden. Deshalb sollten Lösungen bevorzugt werden, die über ein besonders feingranulares Berechtigungssystem verfügen. Hier kann ganz genau geregelt werden, welcher Mitarbeiter wann auf welche Daten Zugriff hat und diese bearbeiten darf.
Um auch vor der immer noch angespannten Bedrohungslage im Bereich Ransomware sicher zu sein, sollten Klinikbetreiber idealerweise auf eine Software mit integriertem Ransomware-Schutz zurückgreifen. Schließlich stellt ein Angriff durch einen Verschlüsselungstrojaner eine massive Bedrohung für den sicheren und effektiven Betrieb der Klinik dar und gefährdet somit das Wohl der Patienten. Schutzmechanismen von Computer-Netzwerken müssen deshalb zwingend darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat. Mithilfe eines technischen Schutzes vor Ransomware (wie beispielsweise einer Datenversionierung) in der neuen Lösung können geschädigte Daten schnell wiederhergestellt werden.
