Die Digitalisierung birgt für Krankenhäuser Chancen und Risiken zugleich: Automatisierte und digitalisierte Prozesse entlasten das Personal und verbessern die medizinische Versorgung der Patientinnen und Patienten. Jedoch bieten sich für Hacker mehr Einfallstore, die Gefahr von Cyberangriffen steigt – es sei denn, Kliniken erhöhen ihre Security. Elementare Bausteine sind hier eine Public-Key-Infrastruktur in Verbindung mit einem Identity-Access-Management.
Cybergriffe auf Krankenhäuser und andere Pflegeeinrichtungen haben in den vergangenen Jahren deutlich zugenommen. Denn etliche Organisationen haben sich zwar der Digitalisierung verschrieben, jedoch dem Thema Security nicht die notwendige Beachtung geschenkt. Hacker haben so recht leichtes Spiel, die Folgen ihrer Cyberattacken sind fatal: Massive Störungen im Klinikalltag, Verlust sensibler Daten, hohe Kosten für die Wiederherstellung bis hin zu lebensbedrohlichen Manipulationen von Medizingeräten.
Um gesundheitliche Risiken und finanzielle Schäden abzuwenden, müssen Kliniken deutlich mehr in ihre Security investieren und Maßnahmen gegen externe und interne Angriffe ergreifen. Hierzu empfiehlt sich die Einführung einer Public-Key-Infrastruktur (PKI) in Verbindung mit einem Identity-Access-Management.
PKI für Krankenhaus: Interne und externe Kommunikation sichern
Für die Kommunikation innerhalb von Kliniken sowie für den Austausch mit externen Systemen für Beschaffung, telemedizinische Anwendungen oder die elektronische Patientenakte stellt die PKI grundlegende Schutzmechanismen bereit. Es handelt sich hierbei um eine asymmetrische Krypto-Technologie, die als eine der sichersten Formen der Verschlüsselung gilt, weil sich mit ihr Daten und Nachrichten signieren und verschlüsseln lassen.
Für jede Verbindung zwischen den Kommunikationspartnern (zum Beispiel zwischen Ärzten und Labormitarbeitern) werden zwei Schlüssel benötigt:
Identity Access Management in Klinik: Nicht-autorisierte Zugriffe verhindern
Zusätzlich zur PKI sollte immer auch ein Identity-Access-Management (IAM) eingeführt werden, um den nicht-autorisierten Zugriff auf Geräte und Systeme zu verhindern. Das heißt: Computer und Medizingeräte dürfen nur nach vorherigem Log-In bedient werden. Im hektischen Klinikalltag jedoch muss das Log-In möglichst komfortabel sein, Passwörter sind deshalb unpraktikabel: Sie sind nicht immer leicht zu merken, Nutzerinnen und Nutzer vertippen sich in der Hektik schnell und bedeuten für die IT einen hohen Verwaltungsaufwand.
Der Trend geht daher zu Smartcards oder FIDO-Token (Fast Identity Online), weil sie die perfekte Balance zwischen Sicherheit und Komfort bieten. Durch Einstecken oder Auflegen der Hardwarekomponente in oder auf ein Gerät authentifizieren sich die jeweiligen Personen und können beispielsweise Patientendaten einsehen oder die Medikation an Medizinpumpen ändern. Ist ihre Arbeit beendet, entnehmen sie ihr Token wieder und das Gerät ist gesperrt. Ein weiterer Vorteil ist, dass einfach und transparent nachgehalten werden kann, wer wann welche Änderungen vorgenommen hat. Bei besonders schützenswerten Daten oder Einstellungen kann zudem eine Multi-Faktor-Authentisierung zum Tragen kommen: Neben dem Auflegen des Tokens ist dann beispielsweise ein biometrischer Nachweis wie der Fingerabdruck erforderlich.
Security in Krankenhaus: Lücken mit Penetrationstest aufdecken
Vor der Einführung einer PKI und eines IAM empfiehlt sich die Analyse des Status quo. Wo Einfallstore für Cyberangriffe sind und wie die Bedrohungslage ist, lässt sich mit einem Penetrationstest ermitteln. Externe IT-Sicherheitsanbieter versetzen sich hierfür in die Rolle eines Hackers und prüfen das System auf Sicherheitsmängel. Im Rahmen solcher Projekte ist oftmals auch eine Awareness-Schulung des Personals sinnvoll. Denn klar ist auch: Die Sicherheit eines Systems hängt maßgeblich von den Anwendenden ab.
Cybergriffe auf Krankenhäuser und andere Pflegeeinrichtungen haben in den vergangenen Jahren deutlich zugenommen. Denn etliche Organisationen haben sich zwar der Digitalisierung verschrieben, jedoch dem Thema Security nicht die notwendige Beachtung geschenkt. Hacker haben so recht leichtes Spiel, die Folgen ihrer Cyberattacken sind fatal: Massive Störungen im Klinikalltag, Verlust sensibler Daten, hohe Kosten für die Wiederherstellung bis hin zu lebensbedrohlichen Manipulationen von Medizingeräten.
Um gesundheitliche Risiken und finanzielle Schäden abzuwenden, müssen Kliniken deutlich mehr in ihre Security investieren und Maßnahmen gegen externe und interne Angriffe ergreifen. Hierzu empfiehlt sich die Einführung einer Public-Key-Infrastruktur (PKI) in Verbindung mit einem Identity-Access-Management.
PKI für Krankenhaus: Interne und externe Kommunikation sichern
Für die Kommunikation innerhalb von Kliniken sowie für den Austausch mit externen Systemen für Beschaffung, telemedizinische Anwendungen oder die elektronische Patientenakte stellt die PKI grundlegende Schutzmechanismen bereit. Es handelt sich hierbei um eine asymmetrische Krypto-Technologie, die als eine der sichersten Formen der Verschlüsselung gilt, weil sich mit ihr Daten und Nachrichten signieren und verschlüsseln lassen.
Für jede Verbindung zwischen den Kommunikationspartnern (zum Beispiel zwischen Ärzten und Labormitarbeitern) werden zwei Schlüssel benötigt:
- Ein öffentlicher Schlüssel für die Verschlüsselung der Daten. Die Authentizität wird mit digitalen Zertifikaten sichergestellt, die in einer Art Kette jeweils das Vorgängerzertifikat validieren. So entsteht ein sicherer Zertifizierungspfad.
- Ein privater, geheimer Schlüssel für die Entschlüsselung.
Identity Access Management in Klinik: Nicht-autorisierte Zugriffe verhindern
Zusätzlich zur PKI sollte immer auch ein Identity-Access-Management (IAM) eingeführt werden, um den nicht-autorisierten Zugriff auf Geräte und Systeme zu verhindern. Das heißt: Computer und Medizingeräte dürfen nur nach vorherigem Log-In bedient werden. Im hektischen Klinikalltag jedoch muss das Log-In möglichst komfortabel sein, Passwörter sind deshalb unpraktikabel: Sie sind nicht immer leicht zu merken, Nutzerinnen und Nutzer vertippen sich in der Hektik schnell und bedeuten für die IT einen hohen Verwaltungsaufwand.
Der Trend geht daher zu Smartcards oder FIDO-Token (Fast Identity Online), weil sie die perfekte Balance zwischen Sicherheit und Komfort bieten. Durch Einstecken oder Auflegen der Hardwarekomponente in oder auf ein Gerät authentifizieren sich die jeweiligen Personen und können beispielsweise Patientendaten einsehen oder die Medikation an Medizinpumpen ändern. Ist ihre Arbeit beendet, entnehmen sie ihr Token wieder und das Gerät ist gesperrt. Ein weiterer Vorteil ist, dass einfach und transparent nachgehalten werden kann, wer wann welche Änderungen vorgenommen hat. Bei besonders schützenswerten Daten oder Einstellungen kann zudem eine Multi-Faktor-Authentisierung zum Tragen kommen: Neben dem Auflegen des Tokens ist dann beispielsweise ein biometrischer Nachweis wie der Fingerabdruck erforderlich.
Security in Krankenhaus: Lücken mit Penetrationstest aufdecken
Vor der Einführung einer PKI und eines IAM empfiehlt sich die Analyse des Status quo. Wo Einfallstore für Cyberangriffe sind und wie die Bedrohungslage ist, lässt sich mit einem Penetrationstest ermitteln. Externe IT-Sicherheitsanbieter versetzen sich hierfür in die Rolle eines Hackers und prüfen das System auf Sicherheitsmängel. Im Rahmen solcher Projekte ist oftmals auch eine Awareness-Schulung des Personals sinnvoll. Denn klar ist auch: Die Sicherheit eines Systems hängt maßgeblich von den Anwendenden ab.
