Sicherheitsarchitektur: Cloud-​Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen

In fast allen Branchen, nicht zuletzt im Gesundheitswesen, wird eine wachsende Menge an Daten in die Clouds von Amazon Web Services (AWS) und Microsoft Azure verschoben. Dies ist durchaus sinnvoll, weil beispielsweise Klinikverwaltungen sich auf die Behandlung von Patienten, anstatt die Verwaltung von Rechenzentren konzentrieren wollen.

»Die Tatsache, dass die Cloud eine kostengünstigere Option ist, trägt ebenso maßgeblich bei zum Cloud-Computing-Trend im Gesundheitswesen. Eine sorgfältig gestaltete Datensicherheitsstrategie muss aber dafür sorgen, dass vertrauliche Gesundheitsdaten auch in der Cloud geschützt bleiben«, erklärt Josip Benkovic, Regional Director Enterprise & Public bei Palo Alto Networks. »Entgegen so einiger Vorurteile ist eine sehr sichere Cloud-Nutzung durchaus möglich, wenn zentrale Punkte beachtet werden.«

Für die wachsende Bedeutung der Cloud-Sicherheit sieht Benkovic vor allem vier Gründe:

 

  1. Gesundheitsdaten sind für Cyberkriminelle extrem attraktiv.

Obwohl beispielsweise die Zahl gestohlener Gesundheitsdatensätze in den USA von 113 Millionen im Jahr 2015 auf 16 Millionen im Jahr 2016 sank, sind Daten aus dem Gesundheitswesen immer noch im Visier von Angreifern. Der Umstand, dass bei der WannaCry-Attacke Einrichtungen des britischen NHS angegriffen wurde, ist ein aktueller Beleg. Die drei primären Angriffsszenarien sehen wie folgt aus:

  1. Profit-motivierte Angreifer verwenden Malware, um Gesundheitsdaten zu stehlen und sie dann an jemanden zu verkaufen, der sie benutzt, um Identitätsdiebstahl und Versicherungsbetrug zu begehen.
  2. Profit-motivierte Angreifer verwenden Ransomware, um Gesundheitsdaten zu verschlüsseln und sie erst zu entschlüsseln, nachdem ein Lösegeld bezahlt wurde (in der Regel verlassen die Daten das Rechenzentrum).
  3. Staatlich geförderte Cybergegner stehlen Gesundheitsdaten für die Zwecke der Überwachung ausländischer Staatsbürger.

Die Cyberkriminellen wissen, dass die Daten im Gesundheitswesen in die Cloud verschoben werden, und diese drei Szenarien können – und werden – auch in einer Cloud-Umgebung relevant sein.

 

  1. Die Cloud bietet die bessere Sicherheit, wenn Sie sich die Zeit nehmen, die Sicherheitsstrategie planen.

Im Jahr 2011 wurden in den USA mit dem »HITECH Act« (Health Information Technology for Economic and Clinical Health) finanzielle Anreize geschaffen, um Patientendatensätze zu digitalisieren. Aber auch in Europa hat die Digitalisierung das Gesundheitswesen schon lange erfasst. Dies führte zu einer großen Migration hin zu elektronischen Patientenakten, wobei die Sicherheit oft auf der Strecke blieb. In ähnlicher Weise herrscht jetzt Eile, um Gesundheitsdatensätze in die Cloud zu bewegen, unter der Annahme, dass Sicherheit automatisch gegeben ist. Sicherheit kann relativ einfach in die Cloud implementiert werden, aber sie ist nur so gut wie das Engagement der Verantwortlichen in dieser Sache.

AWS und Azure machen es mittlerweile einfacher, virtuelle Server und virtuelle Netzwerkinfrastruktur auf Plattformebene zu verwalten, inklusive Sicherheitsoptionen. Die Gefahr besteht jedoch, dass seitens des Gesundheitswesens ein falsches Gefühl der Cloud-Sicherheit entwickelt wird.

Kein Cloud-Anbieter erkennt Malware-Infektionen auf der Endpunktebene. Deswegen gilt es, eine fortschrittliche Endpunktsicherheit auf eigene Faust bereitzustellen und zu verwalten. Auf der Netzwerkebene ist ebenfalls die Sicherheit konfigurierbar. Bei beiden Cloud-Providern besteht die Möglichkeit, virtuelle Next-Generation-Firewalls auszuwählen und bereitzustellen, um Bedrohungsschutz auf Netzwerkebene für datenkritische Anwendungen zu gewährleisten.

 

  1. Eine ideale Gelegenheit, um anhaltende Sicherheitsprobleme zu beheben.

Einrichtungen im Gesundheitswesen sind bei IT-Fachleuten geradezu berüchtigt für die Verwendung von veralteten Anwendungen und Betriebssystemen. Einige wurden von Anbietern entwickelt, die jahrelang nicht mehr im Geschäft sind. Diese Arten von Systemen können die am meisten gefährdeten Punkte in der IT-Umgebung sein. AWS und Azure bieten Funktionen, die es leichter machen, in solchen hochgefährdeten Anwendungen die Datensicherheit zu verwalten.

Einige Kliniken nutzen bereits software-definierte Netzwerkfunktionen in AWS und Azure. Während sie ihre Anwendungen in die Cloud migrieren, können sie zeitgleich die erforderlichen virtuellen Server einrichten. Hinter einer neuen Instanziierung einer virtuellen Next-Generation-Firewall sind sie dann besser geschützt.

Die Migration von Anwendungen in die Cloud bietet oftmals eine einmalige Gelegenheit, die Sicherheit der einzelnen Anwendungen zu bewerten und zu verbessern. Zum Beispiel ließe sich:

  • die Gelegenheit nutzen, um eine Anwendung auf die neueste Version zu aktualisieren
  • eine Anwendung in einem streng kontrollierten virtuellen Netzwerksegment bereitstellen
  • eine Bedrohungsprävention auf Netzwerkebene einführen
  • stärkere Überwachungsmaßnahmen für die zugrundeliegenden Datenbanken umsetzen
  • vor der Umstellung alle vorhandenen Schwachstellen auf Serverebene beseitigen

 

  1. Verbesserte Compliance-Fähigkeiten der Public Clouds nutzen.

Amazon und Microsoft, die beide die HIPAA-Vorgaben erfüllen, bieten die Möglichkeit, Business Associate Agreements (BAAs) zu unterzeichnen, um vertrauliche Gesundheitsinformationen zu speichern sowie HIPAA- und HITECH-konforme Anwendungen zu realisieren. Auch wenn HIPAA und HITECH – rein rechtlich gesehen – nicht relevant sind für die EU und Deutschland, bieten die sehr strengen Datensicherheitsregeln der Amerikaner eine neue Sichtweise auf die Herausforderungen hierzulande. Einige der Sicherheitsmerkmale, die die HIPAA-Compliance unterstützen, sind:

  • Dedizierte Instanzen, um sicherzustellen, dass die zugrundeliegende Hardware nicht für verschiedene Kunden freigegeben wird.
  • Tools, die es leichter machen, strenge Verschlüsselungsanforderungen durchzusetzen für Patientendaten im Ruhezustand und in Bewegung.
  • Verbesserte Zugriffskontrollen bei der Bereitstellung hinter einer virtuellen Next-Generation-Firewall, wobei die Benutzeridentifikationsfunktionen aktiviert sind.
  • Verbesserte Prozeduren für Protokollretention, Auditing und Datensicherung sowie verbesserte Disaster-Recovery-Mechanismen.

 

Eine der leistungsstärksten Funktionsmerkmale der Cloud ist, dass sie für Gesundheitseinrichtungen aller Größen eine maßgeschneiderte Sicherheitsinfrastruktur bietet. Auch kleinere klinische Netzwerke können mit einem kleinen IT-Team HIPAA-konforme Anwendungsumgebungen auf Unternehmensniveau aufbauen und bereitstellen.

»Allerdings sollte man nicht in das Denkmuster verfallen, dass es genügt, eine Anwendung in die Cloud zu verschieben, und für die Sicherheit automatisch gesorgt ist. Eine sorgfältige Planung vorausgesetzt, lassen sich die Kosteneinsparungen und die flexible Erweiterbarkeit, die die Cloud bietet, nutzen. Es gilt jedoch sicherzustellen, dass die richtige Sicherheitsarchitektur vorhanden ist, um Patientendaten effektiv zu schützen«, fasst Josip Benkovic abschließend zusammen.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche...« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an

Tatort Gesundheit: Sicherheitsanalyse zu Chancen und Risiken der Vernetzung im Gesundheitswesen

BSI untersucht Auswirkungen von IT-Sicherheitsvorfällen in Deutschland

Post-Intrusion Report – Gesundheitswesen ist bevorzugtes Ziel von Cyberattacken

Gesundheitswesen: Ärzte sind offen für die digitale Zukunft der Medizin

Cybersicherheit: Kosten bei Datenpannen in Deutschland sinken

Sicherheitshinweise zu Ransomware-Angriffen durch »WannaCrypt«

Big Data für das Gesundheitswesen – Hürden und Chancen

Gesundheitscheck: Ausblick für 2015 zur IT-Sicherheitslage im Gesundheitswesen

Fast jeder Zweite nutzt Gesundheits-Apps

IT-Sicherheitsgesetz: Kostentreiber IT-Sicherheit

10 Tipps zur sicheren Gesundheitsrecherche im Internet

Weitere Artikel zu