Ein Jahr DSGVO: Privatsphäre gewährleisten heißt auch, Patientendaten vor Cyberkriminellen schützen

Die seit letztem Jahr gültige DSGVO äußert sich zu vielen Dingen, aber zu einem Bereich schweigt sie sich aus: Den konkreten Sicherheitsmaßnahmen, die Einrichtungen im Gesundheitswesen ergreifen müssen, um Gesundheitsdaten zu schützen. Daher präsentieren wir heute als Gastbeitrag ein Update von Sascha Dubbel, Enterprise Sales Engineer DACH bei der IT-Sicherheitsfirma CrowdStrike, zum Thema: Welche technischen Sicherheitsmaßnahmen sind im Krankenhaus und anderen großen Einrichtungen heute Mittel der Wahl – und wie fängt man einen Eindringling?


Der weltweite Gesundheitsmarkt wächst: digitale Technologien, künstliche Intelligenz, Big Data, IoT und Robotertechnik sind längst Teil der neuen Entwicklungen in der Gesundheitsbranche. Doch durch die Vernetzung, beispielsweise über Gesundheits-Apps, Online-Terminvereinbarungen, Online-Sprechstunden oder digitale Gesundheitsberatung steigt auch das Risiko von Cyber-Angriffen. Erst kürzlich ging ein Branchenreport zur IT-Sicherheit im Gesundheitswesen im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) durch die Medien. Dieser ergab, dass Apotheken und Arztpraxen in Deutschland beim Datenschutz starken Handlungsbedarf haben. Besonders bei Passwörtern gebe es Schwächen, wie die Studie berichtet: In jeder zehnten Arztpraxis und in 60 Prozent der Kliniken würden E-Mail- und Passwortkombinationen verwendet, die bereits von Kriminellen im Darknet angeboten werden. Auch die Verschlüsselungstechnik lässt zu wünschen übrig: Nur ganze fünf von insgesamt 1200 untersuchten Arztpraxen verwendeten eine zeitgemäße Verschlüsselung für den Datenaustausch. Alle anderen nutzen veraltete und unsichere Standards. Das hat Folgen: Wenn eine E-Mail mit vertraulichen Inhalten zwischen Arzt und Patient abgefangen wird, können unberechtigte Dritte diese Informationen mitlesen.

Gesetzgeber will Patientendaten besser schützen

Nun existieren weltweit einige Initiativen und gesetzliche Regelungen, um sensible Daten von Bürgern und, in unserem Fall, von Patienten zu schützen. Zu nennen sind hier das IT-Sicherheitsgesetz, die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) und die kommende e-Privacy-Verordnung, die derzeit auf EU-Ebene diskutiert wird. In den USA besteht eine solche Regelung bereits seit den 90er Jahren: der Health Insurance Portability and Accountability Act (HIPAA). Auch die Europäische Datenschutzgrundverordnung, kurz DSGVO (im Englischen GDPR) – nun seit einem Jahr in Kraft – ist eines dieser Regelwerke, die die Sicherheit von Daten in kritischen Infrastrukturen regeln. Dazu gehört auch das Gesundheitswesen, das verstärkt ins Visier von Hackern und Cyberkriminellen gerät. Für Unternehmen im Gesundheitsbereich bedeutet dies, dass die IT-Security als Chefsache zu behandeln ist. Denn Datensätze aus dem Gesundheitswesen sind heiß begehrt.

Gesundheitsdaten sind extrem wertvoll für Cyberkriminelle

Im Darknet existiert ein riesiger Schwarzmarkt für Gesundheitsdaten. Sie enthalten Identitätsangaben wie Geburtsdatum und Versicherungsnummern oder auch Konto- und Zahlungsdaten. Alle diese Daten lassen sich zum Zweck eines Identitätsdiebstahls und ähnlichen Delikten z. B. über gezielte Phishing-Angriffe stehlen. Unter Phishing-Angriffen versteht man den Versuch, über nachgeahmte E-Mails mit gefälschten Absenderadressen an persönliche Daten beziehungsweise Zugangsdaten ihrer Opfer zu gelangen. Die oben genannte Studie hat gezeigt, dass Arztpraxen besonders anfällig für diese Art der Attacken sind. Im Rahmen eines stichprobenartigen Tests öffneten Mitarbeiter in jeder zweiten Praxis eine potenziell schadhafte Mail. 20 Prozent klickten auf einen potentiell schädlichen Link oder öffneten einen Anhang. Für die Opfer wird es zunehmend schwieriger, diese betrügerischen E-Mails zu erkennen, da sie immer personalisierter und professioneller gestaltet werden (sog. Spear-Phishing). Die wenigsten von uns reagieren auf eine E-Mail, die verspricht, bestimmte Körperteile zu vergrößern. Anders sieht es jedoch aus, wenn eine E-Mail, die angeblich von einem Patienten kommt, eine Frage zur Reha nach einer kürzlich unterzogenen OP aufgreift, oder die Ergebnisse einer jüngst durchgeführten Untersuchung erfragen will und einen entsprechend betitelten Anhang zum Öffnen beinhaltet. Eine solche Attacke kann eine Praxis schnell in die neunziger Jahre zurück katapultieren. Bis die Systeme wieder laufen, müssen Befunde per Hand geschrieben, Röntgenbilder per Boten verschickt oder Briefe mit mehreren Durchschlägen geschrieben werden.

Betroffene können betrügerische Handlungen häufig erst sehr spät feststellen, die Aufklärung ist langwierig und oftmals gibt es keinen klaren Ansprechpartner dafür.

Die Gesetzgeber in Europa und USA haben versucht, auf diese Art der Bedrohungen in ihren Direktiven eine Antwort zu finden. Ihr Motto: Prinzipienbasierte Sicherheit.

Das Prinzip Sicherheit

Ob DSGVO, NIS oder HIPAA, die Gesetzesvorgaben zu mehr Datenschutz und Schutz der Privatsphäre haben eines gemeinsam: Die technischen Sicherheitsvorgaben sind immer prinzipienbasiert. Das bedeutet, dass die Gesetzestexte zwar genau definieren, welche Datensätze geschützt werden sollen. Allerdings geben sie nicht vor, welche Technologien Unternehmen dafür einsetzen müssen. Sie sind also nicht anforderungsbasiert. Das hat seinen Sinn.

Denn die Möglichkeiten persönliche und sonstige schützenswerte Daten zu missbrauchen ändert sich schneller, als die Gesetzgebung folgen kann. Bestes Beispiel ist die DSGVO: In der Zeit zwischen dem 4. Mai 2016 und dem 25. Mai 2018 – also von dem Tag an, als der Gesetzestext verabschiedet wurde bis zu dem Tag als das Gesetz in Kraft trat – hatte sich die Bedrohungslage total verändert. In genau diesen beiden Jahren gab es Angriffswellen wie WannaCry und andere, die auf bisher ungesehenen und neuartigen Schwachstellen basierten, die man mit damals üblicher Technologie noch nicht hätte verhindern können. Hätte man sich nun in dieser Zeit darauf festgelegt, dass Organisationen spezielle Einzelmaßnahmen gegen Ransomware umsetzen müssen, wäre es den Unternehmen heute immer noch nicht möglich, sich damit wirkungsvoll z. B. gegen Cyberspionage zu verteidigen. Es muss zweifelsohne ein ganzheitlicher Ansatz verfolgt werden, um Patientendaten und deren Integrität zu schützen.

Deshalb fordern die meisten gesetzlichen Regelungen organisatorische und technische Maßnahmen, die den Stand der Technik berücksichtigen. Tun sie das nicht, kann dies schwerwiegende Folgen für ein Unternehmen, das mit sensiblen Daten umgeht, haben – sowohl personeller als auch finanzieller Natur. Mittlerweile gilt die Art, wie ein Unternehmen mit dem Thema Cybersecurity umgeht, als wichtiger Indikator für die „Organizational Maturity” – den organisatorischen Reifegrad.

Doch was ist der Stand der Technik? Wie kann man kritische Daten konkret schützen? Vor allem im Zuge immer neu auftretender Schnittstellen – medizinische Geräte, Gesundheits-Apps, digitale Sprechstunden usw., und von privaten USB-Sticks ganz zu schweigen – und neuen (Cyber-)Akteuren im Gesundheitswesen?

Interne Sicherheitsgrundlagen schaffen

Zu den selbstverständlichen Maßnahmen gehört nach wie vor, die Mitarbeiter zu sensibilisieren und zu schulen. Grundsätzlich müssen Daten verschlüsselt übertragen und gespeichert werden. Regelmäßig sind geschützte Backups zu erstellen und die Daten durch starke einmalige Passwörter zu sichern. Diese Passwörter sind natürlich an geschützten Orten zu verwahren. Und wann immer es möglich ist, sollte eine moderne Multifaktor-Authentisierung genutzt werden.

Allerdings bleibt der größte Unsicherheitsfaktor der Mensch. Unzählige Datenverluste resultieren allein daraus, dass Passwörter in Excel-Tabellen gespeichert werden. Solche eklatanten Verletzungen des Datenschutzes sind sehr schwer zu verhindern, weil es Disziplin erfordert.

Gehen Sie davon aus, dass Ihre Sicherheitsmechanismen überwunden werden

Darüber hinaus ist es unerlässlich, dass Unternehmen Sicherheitstechnologien regelmäßig neu bewerten und diese sich ändernden Gegebenheiten anpassen, um sensible Daten jederzeit zu schützen. Ratsam ist es, in diese Strategie alle Endgeräte einzubeziehen und diese effektiv zu schützen, sodass Angriffe nicht nur schnellstmöglich erkannt werden, sondern auch bekämpft werden können. Denn keine Cybersicherheitstechnologie kann hundertprozentig vor Angreifern abschirmen.

Man muss also davon ausgehen, dass irgendjemand früher oder später in ein System gelangen kann. Deshalb sollten Unternehmen, speziell im Gesundheitswesen, einen mehrstufigen IT-Sicherheitsansatz fahren. Empfehlenswert ist eine Kombination aus Next Generation Antivirus (NGAV), Endpoint Detection & Response (EDR) sowie Managed Threat Hunting (MTH).

Mehrstufiger Sicherheitsansatz

Next Generation AV ersetzt klassische signaturbasierte AV-Scanner und kann auch Malware identifizieren, die bislang noch nicht gesehen wurde (völlig neue Malware-Familien als auch Varianten). Gleichzeitig wird die Systemauslastung reduziert. Durch die weitere Kombination von Verhaltensanalytik und klassischen Blacklist und Whitelist-Ansätzen sowie Exploit-Prevention-Kontrolle über Script-Ausführungen wird die komplette Bandbreite von Malware bis hin zu modernen „File-less“ Attacks abgedeckt. File-less Attacks sind Angriffe, die im Ansatz ohne Schadcode auskommen und z.B. vorhandene Anwendungen, Interpreter und Admin-Tools wie Powershell, PSexec und Java missbrauchen.

EDR (Endpoint Detection & Response) übernimmt die Funktionalität einer digitalen Blackbox für Security-relevante Events auf einem System. Somit lässt sich zum einen Kontext zu einem Vorfall schaffen und anreichern, sodass die prozessuale Kette visualisiert werden kann und es offensichtlich wird, welcher Angreifer/Akteur welche Techniken und Taktiken nutzt, um sein Ziel zu erreichen. Gleichzeitig ergibt sich die Möglichkeit, die Verkettung von normalerweise harmlosen Kommandos und Einzelevents zu korrelieren, um das schädliche Gesamtbild überhaupt zu verstehen und automatische Reaktionen durchzuführen. Das vereinfacht die Arbeit des Analysten und Forensikers und gestaltet diese deutlich effektiver.

Managed Threat Hunting ergänzt das Team von Analysten beim Kunden mit der gezielten Jagd nach Angreifern, die es bereits geschafft haben, vorhandene Barrieren zu umgehen als auch nach solchen, die sich bereits im Netz bewegen. Somit wird der Angriffszyklus überhaupt erst komplett abgedeckt.

Zeit als kritischer Faktor

Diese moderne Schutzlösung sollte der „1-10-60”-Regel folgen: Angriffe innerhalb einer Minute erkennen, innerhalb von zehn Minuten untersuchen und verstehen, und innerhalb von 60 Minuten beheben. Die Zielsetzung, das 1-10-60 Timing einzuhalten, ist unabhängig der Unternehmensgröße gleichermaßen erstrebenswert, große Unternehmen haben hier häufig eher spezialisierte Teams, um diesem Ziel näher zu kommen, kleine Unternehmen sind i.d.R. deutlich schlechter aufgestellt und Cyberangriffe können die Existenz bedrohen.

Wenn Unternehmen fortschrittliche Sicherheitslösungen nutzen, können sie sicherstellen, dass sensible Daten auch innerhalb des Unternehmens verbleiben. Unternehmen tun gut daran, ihre Sicherheitsstrategie immer wieder neu auf den Prüfstand zu stellen und moderne Lösungen zu implementieren, um aktiv die Risiken zu minimieren.