Sicherheit

VMware sichert Ihre medizinischen Geräte

Carsten Kramschneider, Manager Healthcare Germany VMware

Laut EU hat sich der durch Cyberkriminalität entstandene wirtschaftliche Schaden im Zeitraum von 2013 bis 2017 verfünffacht. IT-Leiter stehen daher vor der Herausforderung ihre IT-Infrastruktur sinnvoll abzusichern. In diesem Blog-erfahren Sie, worauf es dabei ankommt und warum der modulare Aufbau eines Intrinsic-Security-Konzepts sich sowohl für kleinere Krankenhäuser als auch für große Uni-Kliniken eignet.

Das Thema der IT-Sicherheit im Medizinsektor treibt aktuell viele IT-Verantwortliche in Krankenhäusern um . Insbesondere Häuser, die zu den kritischen Infrastrukturen zählen (KRITIS), müssen sich derzeit um geeignete Maßnahmen zur Erhöhung der Sicherheit Gedanken machen. Dabei liefert VMware mit seinem Intrinsic-Security-Ansatz Unternehmen aus dem Gesundheitssektor in vielerlei Hinsicht die passenden Ansätze im Hinblick auf die IT-Security.

Hierfür hat VMware Handlungsempfehlungen für Krankenhäuser entwickelt, die aufgrund ihrer Größe und Bedeutung für die Gesellschaft (Maßstab sind hier 30.000 vollstationäre Behandlungsfälle im Jahr) zu den kritischen Infrastrukturen zählen. Auf Basis der „Branchenspezifischen Sicherheitsstandards (B3S) Gesundheit“ des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) wurde hier mit Hilfe des VMware-Produktportfolios für jede Herausforderung die passende Lösung erarbeitet. Relevant sind hier beispielsweise die technische Informationssicherheit, die Mikrosegmentierung, die Härtung und sichere Basiskonfiguration der Systeme und Anwendungen, der Schutz vor Schadsoftware aller Art sowie speziell die Intrusion Detection / Prevention. Außerdem achten die Prüfer auf ein sicheres Identitäts- und Rechtemanagement, eine doppelt abgesicherte Authentisierung (2FA), ordnungsgemäße Systemadministration inklusive Update- und Patch-Management sowie auf die Absicherung mobiler Geräte und Medizingeräte.

Daten der Medizingeräte besonders schützenswert

Seit Sommer vergangenen Jahres hat VMware die ersten Auditierungen bei Kunden durchgeführt. Die Erkenntnisse dieser Audits sind in Form von konkreten Handlungsempfehlungen in die jeweiligen Kundenprojekte eingeflossen. Besonderes Augenmerk wurde dabei auf eine Lösung gelegt, die speziell die Sicherheit bei Medizingeräten erhöht. Denn die Absicherung dieser fremd gemanagten Gerätegattung ist eine besondere Herausforderung. Diese wurde in der Vergangenheit an vielen Stellen vernachlässigt, obwohl Medizingeräte oftmals frei via Internet zugänglich sind – und damit deutlich angreifbarer sind als etwa PCs oder auch Mobilgeräte.

Bei Medizingeräten handelt es sich erst einmal um technische Leistungserbringer im Krankenhaus oder in Laboren, die beispielsweise als Bild gebende Devices arbeiten oder etwas messen. Diese sind keine IoT-Geräte im klassischen Sinne, müssen aber insbesondere in Hinblick auf Datenschutz mit Datenverschlüsselung arbeiten. VMware stellt hier eine Lösung zur Verfügung, die Medizingeräte eines Krankenhauses nicht nur auf der Basis von Mikrosegmentierung absichert, sondern sie zusätzlich gesichert hinter einem Router platziert.

Insbesondere für die Einrichtungen im Gesundheitswesen, die bereits auditiert wurden, läuft die Zeit. Denn sie haben im Nachgang des Audits 24 Monate Zeit, die gefundenen Schwachstellen auszubessern und ihr grundlegendes Sicherheitskonzept zu optimieren. Danach ist ein weiteres Audit zwingend vorgesehen, das überprüft, ob sämtliche Parameter und Stellschrauben wunschgemäß umgesetzt worden sind. Erst dann wird bescheinigt, dass ein zu den kritischen Infrastrukturen gehörendes Krankenhaus ausreichend abgesichert ist. Ist dies nicht der Fall, drohen im schlimmsten Fall Sanktionen wie Strafzahlungen und Regressansprüche. Der Gesetzgeber hat hier also durchaus eine Handhabe, um die Umsetzung durchzusetzen.

Modularer Aufbau der Intrinsic Security

Eine gute Nachricht für Krankenhäuser, deren IT-Infrastruktur Schwächen aufweist, ist der modulare Aufbau der Handlungsempfehlungen im Rahmen des Intrinsic-Security-Konzepts von VMware. Dabei bleibt es den IT-Verantwortlichen überlassen, die einzelnen Themen und Stellschrauben der IT-Sicherheit individuell zu gewichten und zu priorisieren. Denn die beschriebenen IT-Maßnahmen sind so aufgebaut, so dass Krankenhäuser sich beispielsweise zunächst um die gravierendsten Schwachstellen kümmern und im Laufe der Zeit weitere notwendigen Maßnahmen nachholen können. Egal ob es sich um Single-Sign-On, Mikrosegmentierung oder Absicherung der Medizingeräte oder mobilen Endgeräte handelt – das betreffende Haus kann sich aus dem Produktportfolio von VMware die passenden Lösungen aussuchen und zusammenstellen. Grundvoraussetzung ist natürlich, dass sich der Krankenhausbetreiber auf die von VMware entwickelte Strategie einlässt, die von einem der Dienstleisterberaten und begleitet wird.
Knapp ist hierbei in vielen Krankenhäusern nicht nur die Ressource Zeit, sondern auch das Geld. Denn es gibt zahlreiche Krankenhäuser, die aufgrund der Zahl von 30.000 jährlichen Operationen zwar schon unter die KRITIS-Gesetzgebung fallen, andererseits aber nicht über die finanziellen Spielräume großer Universitätskliniken verfügen. Sie sind einerseits verpflichtet, die gesetzlichen Vorgaben in der IT-Sicherheit umzusetzen, haben aber in einigen Fällen für zusätzliche Investitionen für eine zeitgemäße intrinsische IT-Sicherheit nicht die Budgets. Daher täte die Bundesregierung gut daran, zusätzliche finanzielle Mittel zur Verfügung zu stellen, mit denen die betreffenden Kliniken ihre IT-Infrastruktur auf einen zukunftssicheren Stand bringen können und somit den (sinnvollen) gesetzlichen Verpflichtungen nachkommen können.

Die Cloud als geeignete Ergänzung

Ein geeignetes Element der VMware-Strategie für Einrichtungen im Gesundheitswesen kann dabei die Cloud sein. Auch wenn im Hinblick auf gesetzliche Rahmenbedingungen, etwa dem Patientendatenschutzgesetz, noch einige datenschutzrechtliche Details zu klären sind, wird in Zukunft die Cloud auch in Krankenhäusern eine wichtigere Rolle spielen. Das heißt nicht, dass sämtliche Anwendungen und Daten vollständig in die Cloud wandern müssen, einige Anwendungen dies aber sinnvollerweise sollten. Dabei kann die Cloud auch eine gute Möglichkeit sein, die bereits geschilderten Investitionsschwierigkeiten kleinerer Häuser zu lösen – aufgrund der guten Skalierungsmöglichkeiten sowie angesichts ihrer Flexibilität und der Kostenstrukturen, bei denen ein Teil der Investitionen nicht auf einmal anfällt.

IT-Sicherheit ist eines der zentralen Themen im Medizinbereich. Insbesondere Häuser, die zu den kritischen Infrastrukturen (KRITIS) zählen, müssen geeignete Maßnahmen zur Erhöhung der Sicherheit erarbeiten. Die VMware-Handlungsempfehlung beinhaltet Lösungen für alle Herausforderungen – insbesondere zur Absicherung von Medizingeräten – und bietet damit eine umfassende Intrinsic-Security-Strategie für alle Bereiche der IT-Infrastruktur.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn & Youtube