Smarte Herausforderung für Spitäler
Das Internet der Dinge (IoT) ist omnipräsent und aus dem Spitalalltag nicht mehr wegzudenken, birgt aber auch Risiken. Schwachstellen in Geräten sind (leider) allgegenwärtig. Spitäler brauchen einen ganzheitlichen Ansatz, um Cybersecurity in ihre IoT-Umgebung zu integrieren.
Wir steuern die Beleuchtung mit "smarten" Leuchtmitteln, überwachen unsere Wohnung online mittels Webcam oder steuern die Heizung über unser Smartphone. Digitalisierung und IoT sind fest in unseren Alltag integriert. Auch im Gesundheitsbereich hat sich dadurch viel verändert. Es bietet sich uns ein täglich wachsendes Angebot an Anwendungen wie Schrittzähler, Herzschrittmacher oder Hörgeräte. Doch die digitale Transformation geht viel weiter. Man trifft IoT-Einsatzszenarien in den unterschiedlichsten Bereichen im Spitalalltag an, etwa beim Monitoring von Vitalwerten, bei Apps für Trainings- und Übungsgeräte, Telemedizin-Anwendungen bis hinein in den Laborbereich oder Tools zur Fern-Medikation. IoT und die zunehmende Vernetzung mit anderen Leistungserbringern steigern die Effizienz, Agilität und Reaktionszeit dadurch erheblich. Was dabei häufig vergessen wird sind Aspekte wie Datenschutz und -sicherheit – und das, obschon zahlreiche Medienberichte über Cyberattacken aus dem In- und Ausland aufschrecken lassen. So hat eine Ransomware-Attacke auf mehrere Spitäler deren Betrieb tagelang lahmlegt (oder zumindest massiv beeinträchtigt).
Sicherheitsrisiko steigt durch Vernetzung
Gleichzeitig werden Spitäler immer abhängiger von IoT, wodurch die Vernetzung massiv zunimmt. Dadurch steigt aber auch die Gefahr, dass solche Systeme manipuliert werden. Wenn ein Spital etwa IoT-Geräte im internen Netzwerk eingebunden hat und diese gehackt werden, können diese Devices für einen DDoS-Angriff auf eine andere Institution oder zum Versenden von Spam-Mails missbraucht werden. Dadurch kann das Spital auf einer Blacklist landen und so den gesamten Mailverkehr des Spitals lahmlegen. Zudem können Angreifer ganz gezielt Patientendaten einer Gesundheitsapplikation verschlüsseln oder manipulieren. So kann auf einen Schlag die ganze Patientengeschichte verloren sein und eine Behandlung massiv erschweren.
Ein anderes Szenario wäre, wenn ein neues IoT-Gerät wie etwa eines zur Überwachung der Herz-Kreislauf-Funktion selbst kompromittiert ist. Dadurch kann sich die Malware beim Anschliessen des Geräts im Spitalnetzwerk einnisten und sich auf alle Systeme ausbreiten. Die Folgen für das betroffene Spital und die Patienten können verheerend sein.
Dies sind leider keine fiktiven Horrorszenarien. Diese Fälle sind wirklich geschehen – und in beiden Fällen wurden unsere Experten aus dem CSIRT (Computer Security Incident Response Team) zu Hilfe gerufen. Beide Male konnte die Ausbreitung gestoppt, die Daten wiederhergestellt und die Malware beseitigt werden. Die Beispiele verdeutlichen es: Das Haar in der Suppe bei IoT und der zunehmenden Vernetzung ist – einmal mehr – die Sicherheit.
Smart und omnipräsent – aber nicht ohne Risiken
Durch das Internet der Dinge dringt die Konnektivität in Bereiche vor, die bislang voneinander unabhängig waren. Der Spitalalltag wird durch die fortschreitende Digitalisierung transformiert. Vernetzte Systeme zur Überwachung von Vitalwerten oder zur Dossierung von Medikamenten werden oftmals im selben Netzwerk betrieben wie allgemeine Office-Anwendungen. Aber auch das elektronische Patientendossier (EPD) ist ein inzwischen selbstverständliches Element im digitalen Gesundheitswesen. Durch EPD können viele Möglichkeiten der Digitalisierung genutzt werden. Alle Leistungserbringer, von den Spitälern über die Ärzte bis hin zu Apothekern und Therapeuten, greifen auf das gleiche Dossier zu. Dies erleichtert die integrierte Versorgung; stellt aber gleichzeitig enorme Herausforderungen an die Cybersecurity und den Datenschutz.
Agieren statt reagieren
Cybersecurity sollte deshalb auf der Agenda jeder Institution im Gesundheitswesens stehen – und das nicht erst, wenn etwas schiefgegangen ist. Wer sich mit IoT beschäftigt, muss sich zwingend auch mit dem Thema Sicherheit auseinandersetzen. Es empfiehlt sich, auf einen systematischen Ansatz zu setzen und der Sicherheit das nötige Gewicht beizumessen. Internationale Standards (etwa die ISO/IEC 270xx-Familie oder das Cyber Security Framework vom NIST) bieten anerkannte Modelle für die Einrichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung auf Basis eines Informations-Sicherheits-Management-Systems (ISMS).
Technologisch liegt der Schlüssel zur Sicherheit in einer geeigneten Architektur und der entsprechenden Zonierung bei IoT-Netzwerken. Einer der wichtigsten Aspekte stellt dabei die Identität, die Authentisierung und der Schutz der Daten sowie im Back-End die optimale Segmentierung der Umgebungen, Datenströme, Betriebsprozesse und Überwachung der so geschaffenen Zonenübergänge dar. So gilt es, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen. Dabei müssen jede Zone und jeder Zonenübergang mit entsprechenden Sicherheitsmassnahmen versehen werden. Hier gilt es, sich an den bewährten "Best-Practice"-Ansätzen zu orientieren. Und auch wenn es banal klingen mag: Das regelmässige Update- und Patch-Management von IoT-Geräten darf nicht vergessen werden!
IoT als fester Bestandteil der Cybersecurity
Die Sicherheit von IoT-Netzwerken ist keine einmalige Angelegenheit. Die Risikosituation ändert sich stetig. Unternehmen im Gesundheitswesen (aber auch in allen anderen Branchen) müssen kontinuierlich die aktuelle Bedrohungslage beobachten und ihr Sicherheitsdispositiv, unter Berücksichtigung neuer Bedrohungen und Schwachstellen, optimieren und kontinuierlich verbessern.
Sicherheitsmauern – und mögen diese noch so hoch sein – reichen heutzutage nicht mehr aus. Angreifer werden immer einen Weg ins Netzwerk finden. Deshalb sind die Erkennung und rasche Reaktion auf sicherheitsrelevante Ereignisse entscheidend. Nur so können die Auswirkungen einer Cyberattacke auf ein Minimum reduziert und das eigene "Immunsystem" der Cybersecurity gestärkt werden. Sicherheit darf kein Thema sein, dem man sich irgendwann hinterher widmet – womöglich erst, wenn ein Vorfall eingetreten ist. Wer sich mit IoT beschäftigt, muss sich zwingend auch mit Cybersecurity auseinandersetzen.