FKT-Online-Seminar: Technik vernetzen? Aber sicher!
Nur Verbindungen zuzulassen, die tatsächlich notwendig und sinnvoll sind, ist eine wichtige Maßnahme für mehr Cybersicherheit. Darüber hinaus bietet das sogenannte Whitelisting, das nur vorab definierte Softwares und Prozesse zulässt, einen bedeutenden Ansatz, um Computer und vernetzte Geräte „sauber“ zu halten.
„Dass Ärzte, Pflegekräfte oder auch Techniker auf ihrem vernetzten Arbeits-PC eben auch mal eine Konzertkarte bestellen, geht gar nicht“, erklärte Jan-Tilo Kirchhoff beim FKT-Online-Seminar „Technik vernetzten? Aber sicher?“. Notfalls müssten Mitarbeitende für private Ausflüge ins Internet extra Rechner zur Verfügung gestellt bekommen. Denn: Das Haupteinfallstor für Hackerangriffe, die auch im Gesundheitswesen immer häufiger werden, sei immer noch immer der klassische Büro-PC. Nach Angaben des BSI und des BKA waren im vergangenen Jahr 144 Mio. neue Schadprogramm-Varianten im Umlauf, das entspricht einem Plus von 22 Prozent gegenüber dem Vorjahr. Neben dem Abgreifen sensibler Daten geht der Trend vor allem auch zum Lahmlegen ganzer Einrichtungen – beides mit dem Ziel Lösegelder zu erpressen – zum Teil auch mehrfach.
Technik bietet viele Angriffsflächen
In Folge eines Angriffs auf das Steuersystem des iranischen Urananreichungssystems mit der Schadstoffware Stuxnet in 2010 sei man zunächst davon ausgegangen, dass künftig verstärkt auch Technik ins Visier der Hacker gerät. Zum Glück sei dieses Szenario (noch) nicht eingetreten. Dennoch müsse auch das Internet der Dinge vor unerlaubten Zugriffen geschützt werden. Vor allem Fernwartungszugänge böten Hackern in vielen Einrichtungen das sprichwörtliche offene Scheunentor zur Technik. Zugespitzt werde die Sicherheitslage augenblicklich durch den Trend zum Arbeiten von zu Hause aus.
Die Suchmaschine Shodan ermittelt für Deutschland derzeit mehr als 6000 Steuerungssysteme, die über das Internet offen verfügbar sind, 31.243.131 offene Ports, 257 Systeme, die noch für die Schadsoftware EternalBlue und 8547, die noch für Heartbleed angreifbar sind, um nur einige Beispiele zu nennen. Die „Enthüllungssite“ zeigt: Es besteht Handlungsbedarf in puncto Sicherheit - auch und gerade bei der Technik. e-health-com ermittelt für Krankenhäuser 900 kritische Schwachstellen. Betroffen seien davon, anders als man annehmen möchte, vor allem größere KRITIS-Häuser.
Angriffsflächen böten immer wieder auch Technologien, die Betreiber selbst nicht als gefährdet wahrnehmen, die Hacker aber schlicht faszinieren. Dazu gehören, wie eine Konferenz des Computer Chaos Clubs offenbarte, auch Rohrpostanlagen. Diese oft weit verzweigten Systeme ermöglichten nicht nur ein Abgreifen von Befunden, sondern unter Umständen auch ein Umleiten und Stehlen von Medikamentenlieferungen, so Kirchhoff. Wenn man dieses Szenario weiterdenkt, werden künftig auch Automatische Warentransportsysteme besonders geschützt werden müssen.
Im Visier haben sollten IT-Sicherheitsverantwortliche außerdem, dass Zugriffe nicht nur aus dem Netz erfolgen. Als offene Häuser bieten Krankenhäuser unendliche Möglichkeiten direkt auf vernetzte Geräte zuzugreifen. Nach Möglichkeit sollten daher nur die Geräte über USB-Schnittstellen oder Laufwerke für andere Datenträger verfügen, die diese tatsächlich benötigen. „Ansonsten sollte man diese Zugänge zuverlässig verschließen oder gleich Geräte ohne Zugänge oder Laufwerke für Datenträger auswählen“, führte Kirchhoff weiter aus.
Netzwerktrennung ist das A und O
Neben der eingangs beschriebenen Grundregel, nur Schnittstellen herzustellen, die man tatsächlich benötig. Besteht eine weitere zentrale Sicherheitsmaßnahme in der Segmentierung des Netzes. Das Büronetzwerk als Hauptangriffsfläche sollte strikt von Medizinprodukten und Haustechnik getrennt sein. Auch hier gilt: Verbindungen sollten nur dort zugelassen werden, wo sie unvermeidbar sind. Fernwartungszugänge sollten nur eingerichtet werden, wenn es nicht anders geht. Das sollte auch regelmäßig überprüft und entsprechende Regeln definiert werden. Denn: „Servicekräfte legen sich zur Arbeitserleichterung auch schnell mal ungefragt einen solchen Zugang an.“
Eine weitere Sicherheitsmaßnahme bilden schließlich Perimeter Security Gateways wie Firewalls und IDS/IPS (Intrusion Detection and Prevention). Ein deutliches Plus an Sicherheit schafft darüber hinaus das eingangs schon beschriebene Whitelisting, das API-Aufrufe von Prozessen, die sich nicht auf der Whitelist befinden, von vornherein unterbindet.
Problembewusstsein entwickeln
Entscheidend sei es außerdem, Verantwortlichkeiten für das Thema IT-Sicherheit klar zu definieren und zuzuordnen, und: viel gegenseitiges Verständnis.
Dass auch die Mitarbeitenden beim Thema IT-Sicherheit mitziehen und Sensibilität für das Thema entwickeln müssen, war zentrales Thema der anschließenden Diskussion. Augenblicklich schreite die Digitalisierung schneller voran als das für den erreichten Digitalisierungsgrad erforderliche Sicherheitsbewusstsein, so der Grundtenor der Teilnehmer.
Maria Thalmayr
Hier geht es zur Präsentation
Hier geht es zur Aufzeichnung