1

Kontakt

Wir freuen uns auf den Dialog mit Ihnen.

9 + 3 =

Rufen Sie an:

+ 49 911 180 79 60

Jetzt Kontakt aufnehmen

Systematisches Management von Risiken in der Cybersicherheit im Gesundheitswesen

von Jul 15, 2020Cybersecurity, Cyberangriffe0 Kommentare

Wie Sie Cybersicherheit auch im Gesundheitswesen schaffen

Frost & Sullivan prognostiziert, dass das Internet der medizinischen Dinge (IoMT) von geschätzten 4,5 Milliarden Geräten im Jahr 2015 auf bis zu 30 Milliarden bis zum Ende dieses Jahres anwachsen wird. Für medizinische Anbieter sind diese Geräte die Antwort auf eine effizientere und zuverlässigere Gesundheitsversorgung.

Für Cyberkriminelle ist eine schwache Sicherheit medizinischer Geräte praktisch ein Glücksfall. Aus diesem Grund war das Management von Risiken in der Cybersicherheit im Gesundheitswesen noch nie so wichtig.

Ein konsequenter und systematischer Ansatz ist unabdingbar, um sich vor Risiken zu schützen. Zu diesem Zweck bietet das Cybersecurity Framework des US-amerikanischen National Institute of Standards and Technology (NIST) eine Roadmap für die Entwicklung einer umfassenden Risikomanagementstrategie. Während das NIST Cybersecurity Framework freiwillig ist, ermöglichen seine Standards, Richtlinien und Best Practices Ihrer Gesundheitsorganisation, Bedrohungen systematisch zu minimieren.

Das Framework beschreibt fünf Schritte:

  • Identifizieren
  • Schützen
  • Erkennen
  • Antworten
  • Genesen

Mit diesen Schritten können Sie Risiken priorisieren und die Ausfallsicherheit der Infrastruktur verbessern. Es ist ein flexibler Ansatz, den Sie vollständig an die Anforderungen Ihres Unternehmens anpassen können.

Beginnen Sie mit Asset Discovery

Das Schützen dessen, was Sie nicht sehen können, ist wie das Verschreiben von Medikamenten ohne Patientendiagnose. Es funktioniert nicht – und es ist gefährlich.

Die HIMSS Cybersecurity Survey 2019 ergab jedoch, dass nur 47 Prozent der befragten Unternehmen Medizinprodukte in ihre Sicherheitsrisikobewertungen einbezogen haben. Die Herausforderung ist die mangelnde Sichtbarkeit. Um dies zu lösen, müssen Sie alle Netzwerkressourcen identifizieren. Sobald Sie die Assets entdeckt und die Angriffsfläche verstanden haben, können Sie eine effektive Korrektur implementieren.

Bewerten, priorisieren, patchen

Der nächste NIST-Rahmenschritt – Schutz – konzentriert sich auf die Prävention, indem Risiken bewertet und Schwachstellen priorisiert werden.

Zu den empfohlenen Best Practices für die Bewertung von Sicherheitslücken gehört die Verwendung von:

  • Common Vulnerability and Exposures (CVE) – Ein umfassender Katalog von Software- und Firmware-Schwachstellen, der von der internationalen Cybersecurity-Community eingereicht wurde.
  • Common Vulnerability Scoring System (CVSS) – ein offener Rahmen für die Bewertung der CVEs, um die Korrektur zu priorisieren.

Nachdem Sie Schwachstellen bewertet und priorisiert haben, ist es an der Zeit, Patch-Richtlinien zu implementieren. Compliance-Frameworks stellen häufig strenge Patch-Anforderungen. In der neuesten PCI-DSS-Version wird beispielsweise empfohlen, einen Sicherheitspatch innerhalb eines Monats nach Veröffentlichung zu installieren. Die Realität ist jedoch, dass das Erreichen eines 100-prozentigen Patch-Levels für Gesundheitsorganisationen äußerst schwierig ist.

Selbst bei konsistenten Patches rutschen Bedrohungen durch. Eine strenge Patch-Richtlinie ist aufgrund der Lücke zwischen der Entdeckung einer Sicherheitsanfälligkeit und der Patch-Version nicht narrensicher. Im Fall von WannaCrypt0r (oder WannaCry) nutzte die berüchtigte Ransomware eine Sicherheitslücke, die zwei Monate lang öffentlich bekannt war, bevor Microsoft einen Patch veröffentlichte.

Erkennen und Reagieren auf Cybersicherheitsbedrohungen im Gesundheitswesen mit 24-Stunden-Überwachung

In komplexen IT-Umgebungen im Gesundheitswesen hat das Erkennen und Reagieren auf anomale Ereignisse eine ständige Priorität. Durch die Einrichtung eines Security Operations Center (SOC) können Sie die OT- und IT-Netzwerke konsistent auf diese Bedrohungen überwachen.

Einer typischen Gesundheitsorganisation fehlen sowohl das Fachwissen als auch die Technologie für einen SOC sowie die finanziellen Ressourcen, um in beide zu investieren. Aus diesem Grund kann ein SOC-as-Service-Partner Ihr IT-Team entlasten und gleichzeitig die Kosten für den Betrieb eines SOC senken.

Wenn Sie noch Fragen zum Thema haben, können Sie sich sehr gerne an uns wenden.                                                 Wir freuen uns über Ihre Nachricht!