:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/f1/b8f10a0248bc4f7be8ccef10a3a146c0/0118113768.jpeg "Im Solarwinds FTP-Server Serv-U bis Version 15.4.1.128 gibt es Sicherheitslücken, die mit 15.4.2 geschlossen werden. (Bild: Syntetic Dreams - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/fb/e5fbe31c3590ab3a005fd3af033b6bee/0118027669.jpeg "Derzeit gibt es verschiedene Schwachstellen bei Citrix Xenserver und Hypervisor. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/94/bc947fab2750cf67a80c9861a0fc7ec6/0118008324.jpeg "Seit dem Dezember-2023-Patchday gibt es ein Problem mit ICS-Dateien und Outlook; jetzt kommt endlich der Patch. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/d2/69d2de7f33a97a27055845e9d7dcb799/0117525077.jpeg "Check Point erweitert seinen generativen KI-Service um die LLMs (Large Language Models) von Microsoft. (Bild: Check Point)")
:quality(80)/p7i.vogel.de/wcms/43/46/4346dc396e249b316c29b7dab6c5ba7c/0118038905.jpeg "BurpGPT stellt im Betrieb eine Verbindung zwischen der Burp Suite und dem OpenAI-API her und nutzt dann die angebotenen Dienste, wie beispielsweise GPT-4, um die in Penetrationstests mit der Burp Suite gesammelten Daten zu analysieren. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/92/5d923b1250ffeeda6d93887bbef003e7/0117906448.jpeg "Damit Mitarbeiter nicht der Risikofaktor Nummer eins für KMU sind, müssen sie umfangreich geschult sein. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/7a/f17a79abfbf000f5ad34bfc92686aa4d/0117931419.jpeg "Lacework hat seine Enterprise-Funktionen ausgebaut und sorgt dafür, dass Sicherheitsexperten die nötigen Informationen schnell und verständlich aufbereitet erhalten. (Bild: Screenshot / Lacework)")
:quality(80)/p7i.vogel.de/wcms/85/b2/85b2d933e941860b1db2fddf8b3f6a6c/0118005341.jpeg "Microsoft blockiert Anwendungen in Windows 11 24H2. (Bild: deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/e7/2de78df0c7703fca038339b45210eaa0/0118053665.jpeg "Das BSI nimmt sich des Themas E-Mail-Sicherheit verstärkt an und gibt deutlich präzisere Empfehlungen und Richtlinien heraus. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/cd/31cda64794e57178563d6220178f5833/0117705366.jpeg "Wer täglich mehr als 5.000 Mails versenden will, kommt ab sofort um die Implementierung neuer Verfahren gegen Spam und Phishing nicht herum. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/ee/60ee486669ce44e603fb43cb10ff3744/0117615533.jpeg "Nur 27 Prozent der Frauen im Technologiesektor geben an, dass sie mit ihrer Arbeit sehr zufrieden sind. (Bild: © Angelo/peopleimages.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/b3/e5b32e348869fe4743f002bd90233d65/0118008844.jpeg "Nach mehreren Cyberattacken und Sicherheitslücken in den vergangenen Monaten, fordern US-Behörden, dass Microsoft seine Sicherheitskultur deutlich überarbeitet. (Bild: Sono Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Stärkung der IT-Sicherheit in Kliniken Damit unsichere Passwörter nicht zum Gesundheitsrisiko werden
Gezielte Cyberattacken zeigen, wie wichtig eine höhere IT-Sicherheit in Kliniken ist. Das Krankenhauszukunftsgesetz bietet dafür eine finanzielle Unterstützung, der Branchenspezifische Sicherheitsstandard B3S nennt die Anforderungen. Doch wie erfährt ein Krankenhaus, wie es zum Beispiel um den Schutz der Administrator- und Nutzerzugänge steht? Durch Auditierung der Passwörter.
Gesponsert von
IT-Sicherheit auch und gerade in kritischen Zeiten
Das Gesundheitswesen nutzt die Vorteile der zunehmenden Digitalisierung und Vernetzung. Dadurch ergeben sich aber auch Herausforderungen, die insbesondere in der aktuellen Corona-Pandemie kurzfristig und sicher gelöst werden müssen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). „Wie angespannt die Gefährdungslage für Krankenhäuser ist, haben die erfolgreichen Cyber-Angriffe der letzten Monate eindrucksvoll gezeigt“, sagte Arne Schönbohm, Präsident des BSI.
Der IT-Sicherheitsvorfall im Universitätsklinikum Düsseldorf (UKD) im September 2020 ist nur ein Beispiel. Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich im Internet zugänglich, so das BSI. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben einer Patientin oder eines Patienten haben, warnt die IT-Sicherheitsbehörde.
Der Handlungsbedarf für Krankenhäuser ist mehr als deutlich. Für das erforderliche Security-Budget gibt es zudem Unterstützung. Mit dem Krankenhauszukunftsgesetz stellt der Bund Finanzmittel bereit, damit Krankenhäuser in moderne Notfallkapazitäten, die Digitalisierung und ihre IT-Sicherheit investieren können.
Hohe Anforderungen an die IT-Sicherheit bei Kliniken
Was für die IT-Sicherheit in Krankenhäusern getan werden muss, klärt insbesondere der Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. Zudem gibt es Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, wie die Veröffentlichung des UP KRITIS Branchenarbeitskreises Medizinische Versorgung sowie Hinweise zur Cybersicherheit für Kliniken von der EU-Agentur für Cybersicherheit ENISA.
Die Anforderungen zu kennen, reicht aber den IT-Sicherheitsverantwortlichen in Krankenhäusern nicht. Sie benötigen Verfahren und Werkzeuge, um ihre Kontrollaufgaben in der IT-Sicherheit der betreuten Klinik wahrnehmen zu können. Es fehlt aber an Security-Fachkräften, die genau wie das übrige Krankenhauspersonal bereits unter voller Auslastung arbeiten.
Selbst grundlegende Fragen wie der Schutz der Zugänge zu den sensiblen Daten und kritischen Systemen und damit die Sicherheit und Stärke der genutzten Passwörter sind häufig nicht zufriedenstellend geklärt.
Passwortschutz in der Krankenhaus-IT überprüfen und verbessern
Wie der B3S Sicherheitsstandard für Krankenhäuser vorschreibt, ist der Zugang zu IT-Systemen und Informationen durch ein sinnvolles und risikofokussiertes Authentisierungsverfahren abzusichern. Dazu gehört es zum Beispiel, Vorgaben für Änderungsintervalle sowie zur Komplexität von Passwörtern zu erstellen und umzusetzen, ebenso Vorgaben für die Änderung temporärer Passwörter nach der ersten Anmeldung an einem Informationssystem.
Zudem müssen nach dem Ausscheiden von IT-Administratoren deren persönliche Zugänge unmittelbar gesperrt und ihm/ihr bekannte Passwörter geändert werden (z.B. für Router, Master-Kennwörter, Notfall-Kennungen), wie der Standard klarstellt.
Die ENISA-Richtlinien betonen zum Beispiel, dass die Standardpasswörter für medizinische Geräte geändert werden müssen, was in der Praxis oftmals noch nicht geschehen ist. Zu einer ähnlichen Einschätzung kommt das BSI in der Untersuchung „Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte, BSI-Projekt 392: Manipulation von Medizinprodukten (ManiMed)“.
Für Security-Verantwortliche stellt sich nun die Frage, wie sich die geforderte, höhere Passwortsicherheit zuverlässig prüfen und umsetzen lässt, mit möglichst geringem Aufwand für die Security-Administration.
Hier bietet sich der Specops Password Auditor an, der das Active Directory (AD) nach Anzeichen für schwache Passwörter durchsucht. Das Kennwortüberprüfungstool spürt kennwortbezogene Schwachstellen auf und erzeugt interaktive Berichte mit Informationen zu Abweichungen von gängigen Industriestandards und den Empfehlungen von NIST, PCI, Microsoft und SANS.
:quality(80)/images.vogel.de/vogelonline/bdb/1806300/1806324/original.jpg "Scannen Sie Ihr Active Directory mit einem Klick")
:quality(80)/images.vogel.de/vogelonline/bdb/1806300/1806325/original.jpg "Übersicht Suchergebnisse des Scans")
:quality(80)/images.vogel.de/vogelonline/bdb/1806300/1806326/original.jpg "Management Summary für Entscheider")
:quality(80)/images.vogel.de/vogelonline/bdb/1806300/1806327/original.jpg "Specops Password Sync – Wizard | Auswahl der Provider")
Der Auditor zeigt, ob Konten mit bereits kompromittierten beziehungsweise schwachen Passwörtern, abgelaufenen Passwörtern, identischen Passwörtern und Konten, die kein Passwort benötigen, vorhanden sind. Er bietet auch einen vollständigen Überblick über die Administratorkonten in der Domäne einer Organisation, einschließlich der gesperrten/nicht aktiven Administratorkonten. Specops Password Auditor ermöglicht es zudem, die Wirksamkeit der Passwort-Richtlinien gegen einen Brute-Force-Angriff zu messen.
Passwörter, die in Active Directory verwaltet werden, können mit Hilfe von Specops Password Sync mit anderen Unternehmenssystemen synchronisiert werden. Specops Password Sync sorgt so für eine systemübergreifende Passwortsicherheit.
Neben der Unterstützung bei Passwort-Audits gibt es auch eine Specops-Lösung, die bei den häufig vorkommenden Anfragen von Nutzern nach Zurücksetzen eines Passwortes hilft und die Security-Administratoren entlastet, durch eine Prüfung der Nutzeridentität und einem Self-Service für Reset und Neuvergabe von Passwörtern. Dies wird in dem nächsten Teil dieser Serie näher betrachtet. Wer jetzt schon schauen möchte, findet die Lösung hier.
(ID:47267561)
:quality(80)/p7i.vogel.de/wcms/e9/cc/e9cc735d56e152ad860a9a309f81acc3/0112630557.jpeg "Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung - von Technikern für Techniker! (Bild: Vogel IT-Medien / Specops)")
:quality(80)/p7i.vogel.de/wcms/0b/98/0b98fec563ee18cdeb1086102a60fd2f/0116126166.jpeg "Passwörter sind nur der erste Schritt einer mehrstufigen Verteidigungslinie. (Bild: Kris)")