Krankenhäuser besser schützen mit automatisierter Cyberabwehr

Nachdem in Deutschland bereits zahlreiche Krankenhäuser Opfer von Ransomware-Attacken wurden und in Düsseldorf sogar deswegen eine Patientin starb, hat es vor kurzem auch zum ersten Mal ein Hospital in Israel getroffen. Das Hillel Yaffe Medical Center wurde Anfang Oktober Opfer einer Cyberattacke und musste auf alternative Systeme umstellen, um die Patientenversorgung sicherstellen zu können. Dies bedeutet, dass sogar das bereits fortgeschrittene digitale Gesundheitswesen in Israel verwundbar ist. Der neuerliche Fall zeigt, dass Gesundheitseinrichtungen in besonderem Fokus von Cyberkriminellen stehen, weil die Sorge keine effiziente Versorgung sicherstellen zu können und die oftmals kommunale Struktur der Einrichtungen eine schnelle Reaktion und eventuell auch Zahlung der verlangten Lösegelder auslöst. Krankenhäuser und besonders deutsche Einrichtungen müssen dringend in die Aufwertung ihrer IT-Sicherheit investieren. Doch oftmals fehlen die Mittel, vor allem, wenn es sich nicht um KRITIS-Betreiber handelt.

In Deutschland wurde mit dem Krankenhauszukunftsgesetz eine Art von Fonds aufgelegt, den Krankenhauszukunftsfonds, der mit 4,3 Milliarden Euro von Bund und Ländern finanziert wird. Bis Jahresende 2021 können deutsche Krankenhäuser, sich um eine Förderung bewerben. Ein Teil des Budgets kann unter Kapitel 3, Fördertatbestand 10 in die IT-Sicherheit investiert werden. Hier heißt es: „Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern.“ Unter den förderungswürdigen Maßnahmen werden dort das Thema Erkennung von Cyberangriffen mit Technologien wie Log-Management, SIEM etc. in einem SOC aufgelistet.

Doch selbst wenn die Mittel vorhanden sind: Eine moderne SIEM-Lösung in einem Krankenhaus einzusetzen, ist kein Selbstläufer und muss wohl geplant werden. Ein Beispiel für eine Implementierung ist das südschwedische Krankenhaus der Region Jämtland Hëjredalen. Das dort eingesetzte SIEM sammelt, kategorisiert und analysiert Protokolldaten, um potenzielle Cybersicherheitsvorfälle und -ereignisse zu identifizieren. Auf der Grundlage vordefinierter Regeln liefert es Echtzeitwarnungen und stellt dem Datensicherheitsteam Sicherheitsinformationen in Dashboards oder Berichten zur Verfügung, die in regelmäßigen Abständen auf dem Bildschirm angezeigt werden. Best Practices für vordefinierte Sicherheitsregeln und Dashboards wurden in Zusammenarbeit entwickelt. Das Krankenhaus ist dadurch in der Lage, seine IT-Infrastruktur zu überwachen, die Einhaltung des schwedischen Patientendatengesetzes zu gewährleisten und den Bürgern einen schnellen und einfachen Zugang zu Informationen darüber zu geben, wer ihre medizinischen Daten eingesehen hat. Die Lösungen ermöglichen eine schnellere Erkennung und Reaktion auf Cybersicherheitsvorfälle und tragen außerdem dazu bei, die Rechte der Patienten auf Datenschutz zu schützen. Das schwedische Sicherheitsteam kann sich nun auf Probleme konzentrieren, sobald sie auftreten, und der Zeitaufwand für die Log-Analyse wurde um ein Drittel reduziert. Darüber hinaus ist es mit einem Applied Analytics-Modul möglich, Anfragen nach Einblicken in den Zugriff auf Krankenakten auf effiziente Weise zu erfüllen.

Fazit

Die Einführung eines modernen SIEM-Systems mit verhaltensbasierter Erkennung sowie einer Orchestrierung der IT-Sicherheit entlastet die IT-Abteilung und deren Sicherheitsexperten. Die Automatisierung der Erkennung von Unregelmäßigkeiten im Netzwerk sowie der angeschlossenen IoT-Systeme verhilft Security Analysten bei der Auswertung der wirklich wichtigen Fälle, um schneller reagieren und damit auch Ransomware-Infektionen wie im Falle der betroffenen Krankenhäuser in Neuss, Düsseldorf, Wolfenbüttel und vielen anderen vorbeugen zu können.