:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/46/8746ad52524551035eba2c7af02a913a/0117822342.jpeg "Die Malware AcidPour scheint aktiv an den aktuellen Ausfällen ukrainischer Telekommunikationsnetze beteiligt zu sein, die seit dem 13. März 2024 gemeldet werden. (Bild: stnazkul - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/c8/5cc8ba70dee12c001d983e93f24fbf82/0117782856.jpeg "Aktuell gibt es eine Sicherheitslücke beim YubiKey Manager. Updates stehen zur Verfügung. (Bild: Yubico)")
:quality(80)/p7i.vogel.de/wcms/0b/bc/0bbc4b146d9a69ccae3ccade5d294960/0117817817.jpeg "Bei Bing und Google gibt es immer wieder gefälschte Werbeanzeigen. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/ce/9bce866e740ead36b11cb93c75805eab/0116906510.jpeg "Capterra hat neue Studiendaten über den Einsatz von KI zum Schutz vor Bedrohungen eingeholt. (Bild: © – Parradee – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/ec/feec78c1b226b2d6e748f084bd33415d/0117794073.jpeg "KI sollte als leistungsstarkes Werkzeug für Unternehmen betrachtet werden. CISOs sollten in die Pflicht genommen werden, für ihre sichere und ethische Implementierung Sorge zu tragen. (Bild: Song_about_summer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c0/f9c05b73288eaa4973543291c21ed791/0117677101.jpeg "GenAI wird oft als zweischneidiges Schwert gesehen: Einerseits verhilft sie den Cyberkriminellen zu ausgefeilteren Attacken, andererseits unterstützt sie auch deren Abwehr. (Bild: KI-generiert / Midjourney)")
:quality(80)/p7i.vogel.de/wcms/84/ad/84adf462875a3e0f4e6b346612d35987/0117748218.jpeg "Microsoft bietet bald erweiterten Support für Windows 10 an, lässt sich das aber fürstlich bezahlen. (Bild: Dmitry Lobanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/ad/d9adcb87007473334c6951626b7cef60/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/a7/8aa7ba492cfcdc537043a01cd639616e/0117480440.jpeg "Stackit bietet ab sofort gemeinsam mit Edgeless Systems Confidential-Computing-Lösungen an. (Bild: STACKIT)")
:quality(80)/p7i.vogel.de/wcms/a1/2f/a12f9615db0fcc73a1cc52c499add940/0117729006.jpeg "Durch das jüngste Update zählt Wind River Studio Developer nunmehr fünf Module, die unabhängig voneinander bereitgestellt werden können. (Bild: Wind River)")
:quality(80)/p7i.vogel.de/wcms/f5/c7/f5c71ded4332e09cfacab657b1cc8510/0117818281.jpeg "Derzeit gibt es verschiedene Schwachstellen in IBM Db2, einige davon sind als „kritisch“ eingestuft. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/ec/aeecd35745832b76170bef9cbd2bb41d/0117259649.jpeg "Parallels Browser Isolation bietet Echtzeiteinblicke in die Aktivitäten von Benutzern. (Bild: Alludo)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/34/703474a9a6a782828337fcede58ab2eb/0117480451.jpeg "Google Cloud bietet ab sofort das Security Command Center Enterprise (SCC) an. (Bild: Google Cloud)")
:quality(80)/p7i.vogel.de/wcms/e8/95/e89539db1630fc72ab801c17b3d9ccf3/0117769110.jpeg "Cybersecurity mit den richtigen Tools ist kein Kostenfaktor, sondern ein Kostensenker. (Bild: ipopba – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/0e/af0e378e146fa13018876a3db90fce8f/0117793925.jpeg "Keine Zeit den Kopf in den Sand zu stecken: DORA gilt für nahezu alle Finanzinstitute und der Countdown für die Unsetzung der Anforderungen läuft ... (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/c8/67c822d9f2b8f66027e4f1ff8e7549ef/0116955915.jpeg "Die Work Recovery Time (WRT) ist eine wichtige Kenngröße eines Disaster-Recovery-Plans
und beschreibt die maximal tolerierbare Arbeitswiederherstellungszeit.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f1/30/f1300e83ecd6f8c567fc655a4ed4aa4d/0115956214.jpeg "Unter AIOps (Artificial Intelligence for IT Operations) versteht man die Nutzung künstlicher Intelligenz zur Automatisierung und Optimierung des IT-Betriebs. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
BSI-KRITIS-Verordnung mit IAM umsetzen Krankenhäuser haben ein Passwortproblem
Blackout im Krankenhaus – ausgelöst durch einen professionellen Hackerangriff. Vom veralteten Virenschutz bis zum unbedachten Umgang mit Nutzerrechten gibt es viele Risiken für die IT-Sicherheit. Krankenhäuser zählen zu den sogenannten Kritischen Infrastrukturen (KRITIS), die es besonders zu schützen gilt. Zwei Jahre hatten Verantwortliche Zeit, die erforderlichen Sicherheitsstandards nachzuweisen. Nach Ablauf dieser Frist zeigt sich: Es herrscht Nachholbedarf.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Der nächste Patient wartet schon – nur noch schnell auf dem Stationsrechner einen Blick in die elektronische Akte werfen. Hat sich ein Kollege versehentlich nicht richtig ausgeloggt? Tatsächlich, da sind Daten, die der Arzt eigentlich nicht sehen dürfte!
IT-Sicherheit darf kein Glücksspiel sein: Doch wie dem Arzt beim Einblick in die Patientenakte ergeht es vielen Mitarbeitern in den unterschiedlichsten Arbeitsfeldern. Der allzu nachlässige Umgang mit Zugangsdaten stellt ein erhebliches Sicherheitsrisiko dar – insbesondere bei Organisationen, die eine wichtige Rolle für das staatliche Gemeinwesen spielen. Das Risiko eines Blackouts im Krankenhaus durch professionelle Hackerangriffe ist auch aufgrund nicht klar definierter Zugangsrechte oder leicht zu entschlüsselnder Passwörter sehr hoch. Laut einer Studie des Beratungsunternehmens Roland Berger wurden bereits zwei von drei Krankenhäusern Opfer von Cyberkriminalität. Die Regierung ist alarmiert und hat durch ihr Bundesamt für Sicherheit in der Informationstechnik (BSI) schon 2009 die KRITIS-Verordnung entwickeln lassen, die seitdem einige Male aktualisiert wurde. Elf Branchen besitzen laut BSI besonders angriffsrelevante und schützenswerte Infrastrukturen und müssen Mindeststandards an IT-Sicherheit nachweisen. Zwei Jahre hatten die betroffenen Organisationen – wie Krankenhäuser, Finanzinstitute oder Energieversorger – Zeit, um die eigene IT sicher zu machen und die Verordnung umzusetzen. Am 30. Juni endete die entsprechende Frist.
IT-Störungen sofort melden
Krankenhäuser mit mindestens 30.000 vollstationären Fällen pro Jahr sind von der BSI-KRITIS-Verordnung betroffen. Die Betreiber dieser ‚großen‘ Krankenhäuser sind nun in der Pflicht: Ihre IT-Infrastruktur hat dem geforderten Stand der Technik zu entsprechen, die Prüfstandards der Bundesbehörde müssen eingehalten werden. Zudem muss eine Kontaktstelle für die IT-Sicherheit eingerichtet werden, die rund um die Uhr erreichbar ist. IT-Störungen im Krankenhaus müssen unverzüglich dem BSI gemeldet werden. Die Betreiber kritischer Infrastrukturen müssen zudem alle zwei Jahre nachweisen, dass sie die Regeln für mehr IT-Sicherheit in ihrer Organisation befolgen. Die Umsetzung der KRITIS-Verordnung für die Gesundheitsbranche orientiert sich dabei an der internationalen Norm ISO 27001 sowie den daraus abgeleiteten branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus.
Krankenhäuser haben ein Passwortproblem
Dass bei Krankenhäusern in Sachen IT-Sicherheit Nachholbedarf herrscht, zeigt eine aktuelle Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die umfangreichen Sicherheitstests offenbarten dabei teils gravierende Sicherheitsmängel bei Kliniken. Bei rund 60 Prozent konnten E-Mail- und Passwortkombinationen im Darknet gefunden werden.
Ursachen für die Datenlücken sind struktureller Natur. Der Arzt auf der Suche nach dem korrekten Zugang zur Patientenakte ist kein Ausnahmefall. IT-Sicherheitsexperte Matthias Lohmann hat in den vergangenen Monaten zahlreiche Großkliniken untersucht und bei der Umsetzung der BSI-KRITIS-Verordnung beraten. „Ein wesentliches Risiko im Umgang mit sensiblen Daten ergibt sich aus einem unprofessionellen Zugangs- und Berechtigungsmanagement“, erklärt Lohmann. „Kritisch ist zum Beispiel die Nutzung generischer stationsweiter Passwörter, deren Weitergabe und Nutzung kaum bis gar nicht kontrolliert werden kann. Auch Unberechtigte können so leicht Zugang zu sensiblen Daten erhalten.“ Zudem wird der zeitnahen und passgenauen Vergabe von Zugangsrechten zu wenig Beachtung geschenkt:
- Ärzte und Krankenpfleger haben keinen Zugriff auf für die Behandlung relevante Informationen.
- Neues Krankenhauspersonal wartet häufig Wochen, bis es auf wichtige Systeme und Daten zugreifen kann.
Ein unprofessionelles Zugangs- und Berechtigungsmanagement ist auch dann kritisch, wenn Mitarbeiter die Klinik verlassen: Häufig hat der ‚Ex’ noch Monate nach seinem Ausscheiden durch aktive Passwörter Zugriff auf Systeme und Daten. „Solche strukturellen Defizite sind natürlich ein Albtraum für die Datensicherheit“, weiß der Experte.
BSI-KRITIS-Verordnung „fordert“ IAM
Das BSI definiert in ihrer KRITIS-Verordnung Risikobereiche, die sich mit Lohmanns Beobachtungen decken – wie ein möglicher Datenmissbrauch von Innentätern, menschliche Fehlhandlungen oder fehlende Rollen- oder Funktionstrennungen. Damit benennt das BSI explizit Bedrohungskriterien, die die Einführung eines professionellen Identity- und Access-Managements (IAM) geradezu fordern.
„IAM kann die effektive, transparente und sichere Lösung für das Identitäts- und Rechtemanagement in der IT-Sicherheit beispielsweise in einem Krankenhaus sein“, erläutert Lohmann. Viele vom BSI genannte Risiken können minimiert werden. So bietet IAM der Organisation Kontrolle, Sicherheit und Effizienz beim Zugriff auf IT-Systeme und Daten – beispielsweise durch ein Access Governance im IAM-Komplettsystem. Auf der Basis klarer Rollen- und Funktionstrennungen wird gewährleistet, dass Benutzer nur Zugriff auf Anwendungen und Ressourcen erhalten, die sie für ihre Arbeit benötigen. „IAM liefert quasi digitale Schlüssel und öffnet Türen immer dann, wenn der Zutritt erlaubt und gewünscht ist.“ Und das auch schnell und quasi auf Knopfdruck. So hat der Arzt gleich an seinem ersten Arbeitstag Zugriff auf seine elektronischen Patientenakten.
Gleichzeitig liefert IAM eine schnelle Übersicht über die Rechtevergabe: Welcher Nutzer Zugang zu welchen Systemen beziehungsweise Daten hat, ist klar ersichtlich und dokumentiert. Diese Informationen können wiederum genutzt werden, um Ex-Mitarbeiten den Zugriff mit dem Ausscheiden aus der Organisation zu entziehen. Auf diese Weise wird das Risiko, durch Insiderwissen Opfer von Datendiebstahl oder -manipulation zu werden, reduziert.
Sicherheitsrisiken durch generische, zu einfache oder Gruppen-Passwörter können durch IAM ausgeschlossen werden. Die Organisationsregeln für die Erstellung sicherer Passwörter werden eingehalten, Anmeldeinformationen bleiben geheim. Mit einem integrierten Self-Service-Tool haben Nutzer die Kontrolle über Passwörter. IAM hilft auch beim geforderten Reporting an die zuständigen Behörden wie dem BSI. Jede Abweichung und Anomalie wird vom System überprüft und gemeldet. Diese Informationen helfen den Verantwortlichen unter anderem ihrer Pflicht zur Meldung von IT-Störungen nachzukommen. „Ein professionelles Identitäts- und Access-Management trägt wesentlich zur IT-Sicherheit in deutschen Krankenhäusern bei. Es hilft, die neuen Sicherheitsbestimmungen zuverlässig umzusetzen und den Rückstand aufzuholen“, fasst Lohmann zusammen.
(ID:46193826)
:quality(80)/p7i.vogel.de/wcms/ce/ba/ceba858c56a65ee101dbdb09d5f66256/0117769120.jpeg "Moderne Technologien, wie die Public-Key-Infrastruktur und das Identity-Access-Management bieten mehr Sicherheit für die IT in Kliniken. (©Glittering Humanity – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e734ace2b48be43a44d7af9e05da/0112616008.jpeg "Eins wurde im Zuge der fortschreitenden Digitalisierung klar: Die Systeme in Gesundheitsorganisationen sind gefährdet – und zwar sehr. Check Point analysierte die Angriffslage im Gesundheitssektor genauer und setzt hier auf Zero-Trust-Sicherheitslösungen. (Bild: Olivier Le Moal - stock.adobe.com)")