Medizin 4.0
Versteckte Risiken im medical IoT
Die Hürden für IT-Angreifer sind in der Medizin meist nicht besonders hoch
Grundsätzlich müssen alle Kommunikationsprozesse im Healthcare-Umfeld die Datenschutzanforderungen einhalten, die auf EU-Seite in den DSGVO-Bestimmungen festgelegt werden. Vor allem personenbezogene Daten unterliegen strengen Sicherheitsvorgaben, was im medizinischen Umfeld beim Umgang mit besonders schützenswerten Informationen wie Untersuchungstermine, Infos über den behandelnden Arzt oder Behandlungen die tägliche Regel ist.
Da ist es verheerend, wenn die Öffentlichkeit durch ein weltweites Datenleck aufgeschreckt wird. Sensible Informationen tauchten Ende 2019 im Internet auf und hätten in die Hände Dritter gelangen können. In Deutschland waren mehr als 13.000 Datensätze von Patienten betroffen, in der Hälfte der Fälle inklusive Bildmaterial — weltweit sollen 16 Millionen Datensätze offen im Netz gewesen sein. Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) waren die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden.
Privileged Access Threat Report 2019
Wie wichtig Datensicherheit ist, zeigt auch der Privileged Access Threat Report 2019. Das schriftliche Notieren von Passwörtern wird von 60 Prozent der befragten Organisationen als Problem benannt. Auch die Weitergabe von Kennwörtern an Kollegen ist bei 58 Prozent ein häufiger notierter Missstand. In jedem Fall zeigen die ermittelten Zahlen, dass die Absicherung von Zugangsdaten und Passwörtern weit oben auf der Aufgabenliste von Sicherheits- und IT-Experten steht.
Im Internet der Dinge treten diese Gefahren noch schneller zutage. Zwar sorgt die Digitalisierung bei medizinischen Geräten, Medikamenten und der Patientenüberwachung für produktive Arbeitsabläufe, Kosten- und Effizienzgewinne. Allerdings mangelt es häufig an der Visibilität auf Logins von IoT-Geräten. Ein Viertel der befragten Organisationen war unsicher, wie viele IoT-Geräte mit den eigenen IT-Systemen vernetzt sind. Jede fünfte Einrichtung konnte nicht detailliert nachvollziehen, welche Einwahlvorgänge durchgeführt werden. Sechs von zehn Verantwortlichen konzedierten, dass im Internet of Things gespeicherte Standardpasswörter eine mittlere oder erhebliche Bedrohung darstellen. Die gleiche Anzahl von Befragten befürchtet, dass Passwörter von IoT-Geräten als Klartext gespeichert werden.
Und die Herausforderungen werden größer: Im ersten Halbjahr 2019 gab es weltweit rund 105 Millionen Angriffsversuche auf Geräte innerhalb des Internet of Things (IoT) — neun Mal so viele Cyberattacken als im Vergleichszeitraum des Vorjahres. Ein Großteil der Attacken zielt darauf, Standardzugangsdaten und administrative Zugriffswege auszunutzen. Die rasante wachsemde Gefahr bedingt, dass immer mehr vernetzte IoT-Geräte nach Sicherheitsaspekten überprüft werden müssen.
Privilegierter Zugriffsrechte kontrollieren
Wichtige Medizingeräte, auf denen sensible Daten lagern, werden häufig von Drittanbietern gewartet. Der Umfrage zufolge sind bei jedem zweiten Unternehmen mehr als 100 Service-Dienstleister, die sich auf unterschiedliche IT-Systeme wöchentlich aus der Ferne einloggen. Je größer die Zahl der Techniker mit Zugriffsrechten, desto schwieriger wird deren Kontrolle und umso größer ist auch die Gefahr, dass personenbezogene Daten abfließen.
Hinzu kommt, dass viele Wartungsarbeiten mit Administrationsrechten durchgeführt werden (müssen). Bei einer unkontrollierten Ver- und Weitergabe privilegierter Zugangsdaten geraten Anmeldedaten schnell aus dem Blickfeld. Geraten sie in die falschen Hände, haben Hacker leichtes Spiel, um sich Zugang zu weiteren Netzwerkbereichen zu verschaffen. Unter Sicherheitsgesichtspunkten ist es daher sinnvoll, dass alle Nutzer nur über diejenigen Lese-, Schreib- und Zugriffsrechte verfügen, die sie auch wirklich in ihrem jeweiligen Aufgabenbereich benötigen.
Für die Kontrolle privilegierter Zugriffsrechte gibt es Best-Practice-Empfehlungen, um Gefahren abzuwehren. Als erste Maßnahme werden alle privilegierten Nutzerkonten erfasst: Auf welche IT-Systeme muss welcher Mitarbeiter zeitlich begrenzten Zugriff haben — und wer eben nicht? Im zweiten Schritt werden identische Einwahldaten aussortiert, denn bei gleichen Login-Daten für mehrere Benutzer lassen sich Konfigurationsänderungen nicht den verantwortlichen Technikern zuordnen. Besser ist es, allen Technikern individuelle Einwahldaten zuzuteilen, die per Zwei-Wege-Authentifizierung verifiziert werden.
Entscheidend ist, dass alle Admin-Aktivitäten protokolliert und die Sitzungsdaten durch Verschlüsselung geschützt werden. Mit den Informationen über Bildschirmfreigaben, Dateiübermittlungen und Shell-Vorgänge lassen sich auch zu einem späteren Zeitpunkt verdächtige Aktivitäten im Netzwerk zielgerichtet nachverfolgen und auswerten. Automatisch generierte Meldungen sowie Echtzeitinformationen über laufende Sitzungen erlauben dabei jederzeit ein situationsbezogenes Eingreifen des IT-Admin-Teams.
Privileged Access Management
Wirksame Sicherheitsvorkehrungen hängen aber auch von ihrer Benutzerfreundlichkeit ab. Security-Tools müssen so alltagstauglich sein, dass sie unkompliziert in der Handhabung sind. Ansonsten kommen sie nicht zum Einsatz und die Gefahr ist groß, dass sensible Daten der Einfachheit halber auf mobile Speichermedien kopiert werden, um sie später zu bearbeiten. Aus diesem Grund haben sich Privileged-Access-Management-Lösungen (PAM, Privileged Access Management) für die Durchsetzung mehrstufiger Sicherheitsvorkehrungen durchgesetzt.
PAM-Lösungen weisen Zugriffsberechtigungen nur für autorisierte Aufgaben zu, protokollieren und überwachen ihren Einsatz. Sie helfen Organisationen bei der Absicherung von privilegierten Benutzerkonten und Zugangsdaten, indem sie eine granulare Kontrolle und Überwachung der Systemzugriffe und Benutzeraktivitäten ermöglichen. So lassen sich höchste Sicherheits- und Produktivitätskriterien für Zugangsdaten durchsetzen, Schwachstellen aufspüren und Cyberbedrohungen bis auf Desktop-Ebene abwehren.
Links
- Der Privileged Access Threat Report 2019 steht ihnen unter folgendem Link zum Download zur Verfügung
Autor
Roland Schäfer ist Senior Solutions Engineer and Regional Sales Manager bei Beyond Trust
Quellen
[1] R. Schäfer (2020): IoT-Geräte sind gefährliche Angriffsvektoren. medical design 1/2020. S. 48 – 49
Lesen Sie mehr zum Thema
