Mit der zunehmenden Digitalisierung wird die Cloud zum unverzichtbaren Bestandteil der IT-Umgebung. Viele Kliniken setzen bereits SaaS, IaaS oder PaaS ein, um Daten auszuwerten, virtuelle Services bereitzustellen und agiler zu skalieren. Die Cloud bietet große Vorteile für das Gesundheitswesen, hat aber auch besondere Anforderungen an die Absicherung. Hier kommen fünf Praxis-Tipps, worauf Sie achten sollten.
Die Digitalisierung des Gesundheitswesens schreitet voran und hat durch das Krankenhauszukunftsgesetz noch einmal einen Schub bekommen. Viele Kliniken haben bereits Prozesse wie die Patientenaufnahme oder die Vorsortierung der Medikamentenversorgung digitalisiert. Informationen wie Blutdruckwerte, Röntgenbilder oder Behandlungspläne werden digital gespeichert. Krankenhäuser, Arztpraxen, Gesundheitsdienste und Krankenkassen sind miteinander vernetzt, und moderne Anwendungen wie die elektronische Patientenakte und das E-Rezept tragen dazu bei, die Zusammenarbeit zu vereinfachen und die Gesundheitsversorgung zu verbessern. Um solche Services zu ermöglichen und das wachsende Datenaufkommen zu managen, brauchen Krankenhäuser Cloud-Technologie. Dadurch verändert sich ihre IT-Umgebung: Sie wird komplexer, weil Administratoren und Security-Verantwortliche neben den On-Premises-Systemen auch Cloud-Services managen müssen. Zum anderen bringt die neue Technologie auch ganz eigene Anforderungen mit sich. Um Cloud-Vorteile sicher zu nutzen, sollten Sie einige grundlegende Dinge beachten.
1. Klären Sie Verantwortlichkeiten
Prinzipiell ist die Cloud nicht gefährlicher, sondern häufig sogar sicherer als On-Premises-Umgebungen. Denn die großen Provider haben in der Regel viel bessere Security-Ressourcen als die meisten Unternehmen und verfügen über riesige, mehrfach redundant ausgelegte Rechenzentren. Sicherheitslücken entstehen jedoch oft dadurch, dass Anwender sich ihrer eigenen Verantwortung nicht bewusst sind. Denn in der Cloud gilt ein Shared-Responsibility-Modell. Grundsätzlich sorgt der Provider für die Absicherung seiner Cloud-Infrastruktur, also der Server, Datenbanken, Software und Hardware, auf denen der Cloud-Service ausgeführt wird. Alles, was Kunden innerhalb der Cloud betreiben, müssen sie aber selbst schützen. Je nach gewähltem Cloud-Modell fällt das Maß der Eigenverantwortung unterschiedlich groß aus: Bei SaaS (Software as a Service) ist der Kunde für die Datensicherheit zuständig, bei IaaS (Infrastructure as a Service) beispielsweise auch für seine Applikationen und das Gesamtbetriebssystem.
2. Vermeiden Sie Fehlkonfigurationen
Nicht etwa Hackerangriffe sind das größte Risiko in der Cloud, sondern Fehlkonfigurationen. Sie führen zum Beispiel dazu, dass ein Cloud-Storage öffentlich zugänglich ist und jeder über das Internet auf die dort gespeicherten, sensiblen Daten zugreifen kann. Gartner geht davon aus, dass bis im Jahr 2025 ganze 99 Prozent aller Sicherheitsvorfälle in der Cloud von den Anwendern selbst verursacht werden. Es gibt verschiedene Gründe, warum das Risiko für Konfigurationsfehler so groß ist. So bestehen Cloud-Umgebungen zum Beispiel häufig aus mehr als 100 verschiedenen Services, deren granulare Einstellungen es genau zu prüfen gilt. Häufig werden dabei auch unterschiedliche Provider kombiniert. Jeder hat seine eigenen Besonderheiten, die man im Detail kennen muss. Zudem verändern sich Cloud-Umgebungen sehr dynamisch. Die Cloud-Konfiguration manuell zu überwachen, ist kaum möglich. Da herkömmliche Security-Systeme unsichere Einstellungen nicht erkennen, empfiehlt sich der Einsatz einer Lösung für Cloud Security Posture Management. Sie scannt die gesamte Multi-Cloud-Umgebung anhand von Regularien und Best-Practices-Frameworks kontinuierlich auf Konfigurationsfehler und gibt Schritt für Schritt Anleitungen, um Einstellungen zu korrigieren. Manche Probleme kann sie sogar automatisiert lösen.
3. Denken Sie bereits vor der Migration an die Security
Risiken entstehen häufig auch dadurch, dass das Security-Team erst spät in Cloud-Projekte einbezogen wird. Um Daten vor, während und nach der Migration durchgängig zu schützen, sollten Cloud-Architekten, DevOps/CloudOps- und Security-Verantortliche bereits in der Konzeptionsphase eng zusammenarbeiten. Dabei gilt es auch, Compliance-Fragen zu klären. Welche Regularien gilt es zu erfüllen und welche Sicherheitsfunktionen müssen dafür auch in der Cloud umgesetzt werden? Der Branchenstandard B3S für das Gesundheitswesen schreibt unter anderem Malware-Schutz und Patch-Management vor. Bei der Wahl der geeigneten Security-Systeme empfiehlt sich eine Plattform-Lösung, die alle nötigen Funktionen vereint und sie einheitlich sowohl für die On-Premises- als auch die Cloud-Umgebung bereitstellt. Das vereinfacht das Security-Management erheblich und sorgt dafür, dass Daten und Applikationen immer sicher sind, egal, wo sie sich gerade befinden.
4. Beziehen Sie auch die Medizintechnik in Ihr Security-Konzept mit ein
Auch medizintechnische Geräte sind heute häufig mit der IT-Infrastruktur und Cloud-Services vernetzt. Gerade sie sind jedoch in der Regel besonders verwundbar, weil viele von ihnen mit veralteten Betriebssystemen arbeiten, die offene Schwachstellen aufweisen. Manche Geräte lassen sich gar nicht patchen, weil sie entweder bereits ihr Support-Ende überschritten haben oder sonst die Herstellergarantie erlischt. Dazu kommt, dass Server zu patchen ohnehin sehr aufwändig ist, weil man testen muss und einen Rollback-Prozess braucht. Um das Patch-Management zu optimieren und auch Legacy-Systeme zu schützen, kann Virtual Patching helfen. Diese Technologie kommt in modernen Intrusion Prevention (IPS)-Systemen zum Einsatz und schließt Schwachstellen automatisiert auf Netzwerkebene. Angreifer können die Sicherheitslücke dann nicht mehr von außen ausnutzen. Sofern ein Hersteller-Patch verfügbar ist, können Administratoren diesen später in aller Ruhe einspielen.
5. Verschaffen Sie sich einen zentralen Überblick
Ebenso wichtig wie eine gute Prävention ist eine schnelle Angriffserkennung und Reaktion. Denn auch mit den besten Schutzvorkehrungen kann es nie hundertprozentige Sicherheit geben. Es bleibt immer ein Restrisiko, dass doch einmal ein Angriff durchkommt. Was dann zählt, ist ihn schnellstmöglich einzudämmen und Schaden zu minimieren. Gerade in großen, komplexen Multi-Cloud-Umgebungen ist es jedoch schwer zu überblicken, was wo passiert. Um einen Vorfall zu erkennen, müssen Security-Verantwortliche meist viele weit verstreute Hinweise identifizieren und zusammensetzen. Einen großen Sicherheitsgewinn bringt hier eine Lösung für XDR (Extended Detection and Response). Sie sammelt die Security-Informationen aller angeschlossenen Systeme in der gesamten IT-Umgebung, analysiert sie und korreliert sie zu verwertbaren Warnungen. Security-Mitarbeiter sehen dann in einer zentralen Konsole auf einen Blick, ob und wo sie aktiv werden müssen.
Fazit
Bei ihrer Cloud-Transformation sollten sich Krankenhäuser nicht in vielen einzelnen Security-Lösungen verstricken, sondern einen integrierten Ansatz verfolgen. Indem sie möglichst viele Sicherheitsfunktionen unter einer Plattform vereinen, die sowohl die Cloud als auch On-Premises-Infrastrukturen abdeckt, können sie sich durchgängig sicherer aufstellen. Je einfacher das Security-Management und je höher die Automatisierung, umso effizienter und besser wird die Absicherung – selbst mit einem kleinen Team. Die Cloud bietet damit die große Chance, die Security ganzheitlich und richtig aufzusetzen.
Autor: Richard Werner, Business Consultant bei Trend Micro
Quelle: Trend Micro
Foto: Adobe Stock / blackboard