:quality(80)/p7i.vogel.de/wcms/d1/4f/d14f0c11fbf6e5d56fdfeb16437e7048/0115479470.jpeg "Multi-Cloud-Management ermöglicht es Unternehmen, verschiedene Cloud-Dienste effizient zu integrieren und zu verwalten für verbesserte Flexibilität, Risikominimierung und Kosteneffizienz. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/0e/890e6d131e5e270b3929be52654aac59/0117400623.jpeg "Augmented Reality Cloud: über die reale Welt gelegter interaktiver und persistenter Digital-Layer. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/5b/e2/5be2eca51412f3d78b0247ee6583b598/0117266067.jpeg "Flüssiggekühlte Systeme gewinnen Liebhaber: In dieser Woche präsentiert MSI seine jüngsten Server, die mit Flüssigkeiten gekühlt werden. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/8b/38/8b38d0b3f3c86fecc7acf508bf0bd40f/0117275729.jpeg "Geofencing bezeichnet eine virtuelle Grenze auf einem geografischen Gebiet. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/8b/30/8b309f39c2fb3404a47453a73580adb4/0117705366.jpeg "Wer täglich mehr als 5.000 Mails versenden will, kommt ab sofort um die Implementierung neuer Verfahren gegen Spam und Phishing nicht herum. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/ee/27/ee27236a1edae9b9c07631ddf61392fc/0117218858.jpeg "Durch SAP Business ByDesign automatiseren mittelständische Unternehmen viele Prozesse. (Bild: Adobe)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867512155942a784add5cd4db6f7db4/0117586008.jpeg "Aufwendungen für Software können in vielen Fällen als Betriebskosten verbucht und über die Nutzungsdauer abgeschrieben werden. (Bild: H_Ko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/17/971780947924012d56266fe87883d226/0116978579.jpeg "Juristen können mit Noxtua u.a. Rechtstexte analysieren, prüfen und zusammenfassen. (Bild: Xayn)")
:quality(80)/p7i.vogel.de/wcms/83/a3/83a32a57c7d2f700adb7e7169ee669cb/0117143187.jpeg "Fluke Networks bietet den digitalen Leitfaden kostenlos zum Download an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/a8/67/a867d7d6bb999b389be521391938228e/0117612543.jpeg "Die Idee eines gezielten und professionellen Human Risk Management beginnt in Deutschland und Europa gerade erst, sich durchzusetzen. Auch, weil sie im datenschutzaffinen Europa häufig missverstanden wird. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/7f/ab7ffdb5815225870a8d239420e2a9ee/0117824235.jpeg "Deskcenter Advisory Connect soll tiefe Einblicke in den Bestand an Hard- und Software ermöglichen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/40/00/40003b140b3fd49c47ff032dba637a82/0117824223.jpeg "Wenn es um die Hybrid Cloud geht, werden interessierte Unternehmen oftmals von Wissenslücken ausgebremst. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/32/32/32324821b5a4e8e69c872726c13d828a/0117610599.jpeg "Cloud Bursting ist eine Technik, um IT-Ressourcen durch dynamisches Hinzufügen von Cloud-Ressourcen zu erweitern und damit unerwartete Lastspitzen zu bewältigen. (Bild: starlineart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/7e/bf7ecbbfd3a815ad7160b3fcfc4eb847/0117775397.jpeg "Eine aktuelle AWS-Studie zeigt, dass sich Cloud und KI in Unternehmen durchsetzen. Dennoch gilt es zahlreiche Hindernisse zu überwinden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/d1/0d/d10d1e1fc53b8629b65e5d86d88f4631/0117394134.jpeg "Mit der neuen Channel-Strategie und einer neu aufgestellten Mannschaft soll das Geschäft bei Fujitsu mit voller Fahrt weitergehen. (Bild: Ed - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/7b/a17be61363d2ed8c7f9772e0497a06e9/0117209665.jpeg "Neue Technologien werden schneller eingeführt, als neue Fähigkeiten erworben (oder angeworben) werden können. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/1d/5f/1d5ff604e768dc07af9d7a5e934aac13/0117587541.jpeg "Data Protection ist eine in Unternehmen oft vernachlässigte Disziplin, dabei aber unheimlich wichtig, um SaaS-Anwendungsdaten zu sichern und auch wiederherstellen zu können. (Bild: duncanandison - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/3d/303dee95ed8a8c2ffe1df16ad1b6f371/0117576672.jpeg "Copilot bietet in Microsoft 365 umfangreiche Möglichkeiten. Dazu gehören auch neue Funktionen in OneDrive, Teams und SharePoint. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/85/a7/85a7e47314bd1ff01cd0ef3dab86d088/0117440139.jpeg "Verfügen Sicherheitsteams nicht über den notwendigen Einblick in alle Daten, die ihr Netzwerk passieren, setzen sie sich einem hohen, sehr kostspieligen Sicherheitsrisiko aus. (Bild: Borin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/22/a322cb08846922fbb3ff2ff456088565/0117584477.jpeg "Viele Cloud-Speicherdienste bieten sicheres Datenspeichermanagement und den flexiblen Zugriff auf Dokumente und Dateien. (Bild: Jacky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/73/097302aa1b7e01683424de334a8a56a8/0117567518.jpeg "War die im Koalitionsvertrag verankerte Open-Source-Förderung doch nur ein Lippenbekenntnis? (Bild: Tuomas Kujansuu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/f9/4af97680066d2bdf0f21aef50ff77703/0117543337.jpeg "Um den Datenschutz zu verbessern, ist es in Nextcloud jetzt möglich, eigene Large Language Models (LLM) zu verwenden, so dass Anwender bei der Verwendung von KI-Funktionen keine Daten unbeabsichtigt ins Internet senden. (Bild: LukaszDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/45/774573a56b7778d14c6969cb1a47aa8a/0117536159.jpeg "Business Agility befähigt Unternehmen, schnell und effektiv auf sich verändernde Marktbedingungen, Kundenanforderungen und interne Herausforderungen zu reagieren, um Wettbewerbsfähigkeit, Innovation und Wachstum zu fördern. (Bild: ronstik - stock.adobe.com)")
Wertediskussion zur Digitalisierung im Gesundheitssektor Teil 2 Verletzliche Cloud
Krankenhausbetriebe mit kritischen Infrastrukturen schieben zum Großteil noch immer die Entscheidung vor sich her, ob sie ihre Anwendungen einer Cloud-Umgebung anvertrauen oder aber mit einem internen Netz arbeiten sollen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/f1/64f18cf620acb/stackit-logo.jpeg "stackit-logo (Privat)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/05/66054c7f87e44/emma-logo.png "emma-logo (emma)"){kind=logo}
In jedem Fall müssen sie die Anforderungen an IT- und Datensicherheit, die der Gesetzgeber verlangt, nachweislich erfüllen. Dabei decken sich Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, zum Großteil mit den Gefahren für Inhouse-Netze. Zudem fehlt Kliniken, allein aufgrund der Fülle an vernetzten medizinischen Geräten, der Überblick über die Anzahl der Dinge im Netz, was Angreifern Vorteile bietet. IT-Sicherheitslotse Pierre Gronau deckt acht Risiken im Zusammenhang mit Cloud-Computing auf.
1. Datendiebstahl
Auf seine Daten wie elektronische Patientendaten und Systemdaten medizinischer Apparaturen achtet jeder medizinische Betrieb, jeder Hersteller selbst. Was sich zunächst gut anhört, erweist sich im IT-Alltag oft als Dilemma. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden. Neben Aufwand für Wiederherstellung und rechtlichen Konsequenzen droht ein Vertrauensverlust der Patienten.
Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt ein Vorfall im thailändischen Gesundheitsministerium. Hier waren im Sommer dieses Jahres Gesundheits- und andere persönliche Daten wie Mobilfunknummern von mehr als 2.000 Touristen online für jeden einsehbar. Unter anderem gab das Internet Informationen zu Krebs-Erkrankungen, Herzproblemen und psychischen Leiden preis.
Eine Studie des Ponemon Institute kam zu dem Schluss, dass Unternehmen, die auf Cloud vertrauen, bei Datendiebstahl einen deutlich größeren Schaden davontragen als Unternehmen, die auf Inhouse-IT-Strukturen bauen. Zudem stellte sie fest, dass Cloud-Nutzer mit gesteigerter Wahrscheinlichkeit bestohlen werden.
613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen im eigenen Unternehmen würden den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.
2. Zugriffsmanagement auf Krücken
Datenverstöße und Cyberattacken sind oft das Resultat von vernachlässigter Passwort-Politik und schwachem Log-Management. Verantwortliche im medizinischen Umfeld müssen Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht bei zahlreichem Klinikpersonal die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Insbesondere KRITIS-Kliniken sollten für ein nachprüfbares Sicherheitsdenken auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und Smartcard- und FIDO2-Zugriffsschutz bauen.
Dieses Vorgehen beschreibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Hersteller-Empfehlung „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte “. Ein granulares Log- und Zugriffsmanagement sowie die Passwort-Vergabe nach Stand der Technik werden hier priorisiert.
Ob Medizingerät oder vernetzter Arbeitsrechner im Schwesternzimmer – wenn Zugänge und Identitäten lax gehandhabt werden, erreicht Kriminalität durch Phishing und Betrug mit Cloud-Applikationen eine neue Qualität. Das Fälschen oder Manipulieren von Daten verhindern Sicherheitsbeauftragte nur mit einem Konzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen; eine schwierige Aufgabe, die finanzielles Investment und Innovationen in der Überwachung erfordert.
3. Bedrohungen im fortgeschrittenen Stadium
Die gemeinnützige Organisation Cloud Security Alliance (CSA) bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme, um Fuß zu fassen, und exfiltrieren dann Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte bilden neben direkten Angriffen auch gezielter eMail-Betrug, sogenanntes Spear-Phishing, sowie Attacken über USB-Treiber.
Um gewappnet zu sein, müssen sich Verantwortliche von KRITIS-Kliniken stets über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme für mehr Wachsamkeit gegenüber Parasiten. Diese Aufmerksamkeit hätte sich auch der DRK-Klinikverbund Rheinland-Pfalz gewünscht, der im vergangenen Juli mit einer Schadsoftware zu kämpfen hatte. Die Hacker-Attacke hatte das komplette Netz des Verbunds aus elf Krankenhäusern und vier Senioreneinrichtungen zum Erliegen gebracht .
Währenddessen beobachten IT-Sicherheitsexperten, dass Angriffe mit Schadsoftware nach Jahren vermeintlicher Flaute, in der sich Böswillige mehr mit illegalen Krypto-Mining-Programmen beschäftigten, wieder häufiger erfolgen. Das Ziel: die Erpressung von Lösegeldern wie im Lukas-Krankenhaus Neuss 2016, als die Klinik kein Lösegeld zahlte, aber mit einem wirtschaftlichen Schaden von 900.000 Euro umgehen musste. Meist kommen die Angreifer über Phishing-eMails zum Zuge, die einen Link zu einer infizierten Website enthalten. Über den Clientrechner breitet sich der Schaden dann auf Netz und IT-Systeme aus, indem die Software Daten großflächig verschlüsselt.
4. Mangelnde Weitsicht und Sorgfaltspflicht
Hersteller von Medizingeräten, die Public-Cloud-Dienste ohne Verständnis für die damit verbundenen Risiken nutzen, nehmen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf. Sind Entwicklungsteams für Gerätesoftware von Herzschrittmachern oder Röntgenapparaten nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten.
Daher müssen Entwickler eine umfassende und vor allem branchenbezogene Risikoprüfung, eine Due Dilligence, durchführen, um die mit ihren Cloud-Services verbundenen Risiken für ihr Produkt einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.
5. Keine Datensicherung, keine Gnade
Berichte über Datenverluste aufseiten der Cloud-Provider nehmen aktuell ab, obwohl Hacker sich nach wie vor angriffslustig zeigen und Daten aus Klinikstrukturen oder Rechenzentren löschen. Mindestens tägliche Datensicherungen, besser alle acht Stunden, sind die Basis jedes IT-Sicherheitskonzeptes. Wer als Klinikbetreiber sichergehen will, trennt personenbezogene Daten und Daten, die von medizinischen Geräten erfasst werden, jeweils physisch an verschiedenen Orten oder Netzen.
6. Cloud-Services als Eintrittstor
Wer an die Hardware-Ressourcen hinter einer Cloud gelangt, dem gelingt es, eine Armada von Geräten für sich zu nutzen. Hacker führen damit nicht nur simple DDoS-Attacken aus, sondern knacken auch Verschlüsselungen oder minen Crypto-Währungen. Attacken auf derartige Ressourcen haben meist zwei Dinge im Blick: Datendiebstahl mit nachfolgender Erpressung beziehungsweise das Löschen von Patientendaten und Downtime, die Teil einer weiteren Attacke sein kann oder dem anvisierten Krankenhaus Reputationsschäden und damit auch wirtschaftliche Einbußen einbringt.
7. (D)DoS-Attacken in nächster Generation
Cyberkriminelle nutzen schon lange DDoS-Attacken, die durch Anfragenüberflutung die Server des Zieles in die Knie zwingen. Sie erlangen aber durch Cloud-Services eine neue Bedeutung, da sie nun nicht mehr nur Internetseiten, sondern ganze Dienstleistungen paralysieren.
Github, eine Cloud zum Teilen von Code, erlebte 2018 einen Rekord-Angriff. Sage und schreibe 1,35 Terabit Traffic pro Sekunde erreichten die Server und überforderten sie für mehrere Minuten. Laut Netscout, einem Anbieter für Netzleistungsmanagementprodukte, sorgen DDoS-Attacken auf dem amerikanischen Markt pro Jahr für einen Schaden von 10 Milliarden US-Dollar . Auch die Quantität der Angriffe nimmt von Jahr zu Jahr stark zu.
8. Geteilte Technologie-Schwachstellen
Schwachstellen in gemeinschaftlich genutzter Technologie, die Infrastruktur, Plattform und Anwendung umfasst und bei vernetzten medizinischen Geräten an der Tagesordnung ist, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle Ebenen und Mandanten (Kunden). Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die Cloud Security Alliance eine nachhaltige und modulare Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser dabei die wesentlichen Bausteine.
:quality(80)/images.vogel.de/vogelonline/bdb/1625900/1625934/original.jpg "Die IT-Sicherheit im Gesundheitswesen verlangt nach massiven Investitionen (adam121 – stock.adobe.com)")
Wertediskussion zur Digitalisierung im Gesundheitssektor
Hippokrates war kein Nerd
* Der Autor: Pierre Gronau ist Gründer und Inhaber der Gronau IT Cloud Computing GmbH mit Firmensitz in Berlin. Seit 20 Jahren berät er namhafte Enterprise-Unternehmen als IT-Sicherheitslotse. Sein Weitblick, gekoppelt an klare Analyse- und Lösungskompetenz, dient Wirtschaftsbranchen von Gesundheitswesen bis Automotive, von Telekommunikation bis Banken und Versicherungen als Orientierung für zukunftsgewandte, nachhaltige Unternehmensentwicklung in puncto Digitalisierungsstrategien und IT-Sicherheitskonzepte. Zu seinen Kompetenzfeldern gehören Schwachstellenanalysen, moderne Cloud- und Automationslösungen sowie Datensicherheit und Datenschutz. Pierre Gronaus Beratungserfahrung mündete 2018 im Release einer eigenentwickelten Security Suite namens SEAL Kit. Weitere Informationen zur Person unter
(ID:46171719)
:quality(80)/p7i.vogel.de/wcms/3c/0b/3c0bf5c00882712649fe3878fc588f2a/0116021950.jpeg "Mit seinem Funktionsumfang und der Option, über das Web-Interface aktiv Gegenmaßnahmen gegen Angriffe zu ergreifen, kann Trend Vision One Unternehmen beim Erhöhen des Sicherheitsniveaus helfen. (Bild: Marharyta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/cc/f8cc441e27c6a12e28de082bb5598615/0111303395.jpeg "Einer Studie zufolge sind 56 Prozent der befragten Unternehmen bereits einer Insider-Attacke zum Opfer gefallen. Dabei legen die Mitarbeitenden zumeist keinerlei kriminelle Absichten an den Tag, sondern werden Opfer von Social Engineering. (Bild: oz - stock.adobe.com)")