4 Tipps für NIS-2-konforme Cyber Security im Gesundheitswesen

NIS2

Veröffentlicht 20.04.2024 10:50, Dagmar Finlayson

Die Überarbeitung der EU-Richtlinie zur Erhöhung der Cybersicherheit für kritische Infrastrukturen (NIS 2) hat das Thema IT-Sicherheit in vielen Gesundheitseinrichtungen noch stärker in den Fokus gerückt. Denn sie gelten als besonders schützenswert. Ingo Schulenberg, Head of Sales – Special Operations OT & IT Security bei Axians IT-Security, kennt vier Tipps, wie Unternehmen im Healthcare-Bereich sich NIS-2-konform gegen Cyberangriffe rüsten können.

Vertraulichkeit, Integrität und Verfügbarkeit von Daten sind im Gesundheitsbereich von zentraler Bedeutung. Denn hier werden gesamte Gesundheitsabläufe und Diagnosen inklusive Therapieplänen dokumentiert. Da jede Sicherheitslücke das Risiko birgt, dass Medikamentenpläne manipuliert werden oder Informationen in die Hände Dritter geraten, ist Cyber Security essenziell. Die sensiblen Daten sind für Kriminelle ein äußerst begehrtes Ziel, wie jüngst auch der Angriff auf ein Krankenhaus in Soest zeigte. Die Herausforderung der Branche: Durch die fortschreitende Digitalisierung sind medizinische Geräte heute immer stärker vernetzt und Daten werden zunehmend elektronisch gespeichert und übermittelt. Dadurch vergrößert sich die potenzielle Angriffsfläche für Cyberkriminelle. Diese Entwicklung adressiert der Gesetzgeber durch NIS2, indem er die Anforderungen an die Cybersecurity in Unternehmen erhöht. Ingo Schulenberg, Head of Sales – Special Operations OT & IT Security bei Axians IT-Security, gibt vier Tipps, wie von der Richtlinie betroffene Gesundheitseinrichtungen vorgehen sollten.

Tipp 1: Cyber Security Assessment als sichere Basis für eine Sicherheitsstrategie

Der Gerätebestand in Krankenhäusern ist oft über die Zeit gewachsen und zunehmend miteinander vernetzt. Um die IT-Sicherheit effizient zu erhöhen, ist ein Assessment der bereits vorhandenen Sicherheitsvorkehrungen ein optimaler Startpunkt. Hierbei prüfen Expert:innen die Sicherheit der installierten Umgebung, identifizieren Verwundbarkeiten auf vorhandenen Geräten und welche Sicherheitsanforderungen es an neue Geräte gibt. Zudem ist es entscheidend zu ermitteln, welche Bereiche im Unternehmen untereinander kommunizieren müssen. Gerade in Gesundheitseinrichtungen gibt es oft wichtige Maschinen und Geräte, die beispielsweise nicht alle im selben Netz angedockt sein sollten. Im Cyber Security Assessment arbeiten Organisationen heraus, welche Assets besonders kritisch und schützenswert sind, um sie in ihrer Security-Strategie zu priorisieren und angemessen abzusichern. Beim Security Assessment können erfahrene ICT-Dienstleister wie Axians dabei unterstützen, das Sicherheitsniveau der IT-Infrastruktur richtig einzuschätzen und im Anschluss eine ganzheitliche Sicherheitsstrategie ableiten.

Tipp 2: Mitarbeitende sensibilisieren durch regelmäßige Cyber-Security-Schulungen

Das größte Sicherheitsrisiko in der Gesundheitsbranche ist wie auch in anderen Branchen der Mensch. Er bleibt weiterhin ein beliebtes Ziel der Hacker. Durch gut gemachte Phishing-Attacken können Cyberkriminelle Angestellte etwa dazu bringen, Zugangsdaten herauszugeben oder Schadsoftware aus dem Internet herunterzuladen. Auch fehlgeleitete Hilfsbereitschaft – wenn Mitarbeitende etwa USB-Sticks mit dem Arbeits-PC verbinden, um den Besitzer herauszufinden – führen oft zu großen Schäden. Das Aufladen des privaten Handys an medizinischen Geräten mit USB-Anschluss birgt ebenfalls Gefahrenpotenzial für Gesundheitseinrichtungen durch kompromittierte Geräte. Unternehmen sollten dem vorbeugen, indem sie alle Mitarbeitenden schulen, damit sie ein besseres Gespür für Sicherheitsrisiken entwickeln können. Das ist wichtig, denn Mitarbeitende in Gesundheitseinrichtungen arbeiten oft unter Zeitdruck und haben eine hohe Arbeitsbelastung. Um im stressigen Alltag nicht Opfer von gezielten Phishing-Attacken zu werden, sind regelmäßige Sicherheitsschulungen und Awareness-Trainings daher essenziell.

Tipp 3: Cyber Security Best Practices umsetzen

Um eine wirkungsvolle Cyber Security aufzubauen, sollten Einrichtungen zunächst damit beginnen, technische Basics umzusetzen. Dazu gehören im Gesundheitswesen etwa eine Netzwerksegmentierung mit internen Firewalls. Netzwerksegmentierung ermöglicht es, Medizingeräte vom Hauptnetz abzutrennen. Denn oftmals haben Maschinen und Geräte ältere Betriebssysteme, deren Schwachstellen nicht gepatcht werden können, da sie sonst ihre Zulassung verlieren. Sind Rezertifizierungen keine Option, können diese Devices in sichere Netzsegmente gesperrt und die Kommunikation mit diesen Devices reglementiert und per IPS überwacht werden. Der Basisschutz lässt sich dann stetig nach dem Baukastenprinzip budgetkonform erweitern. Denn angesichts der immer komplexer werdenden Bedrohungslandschaft müssen die Präventionsmaßnahmen kontinuierlich nachgeschärft werden.

Tipp 4: Mit SOC und ISMS die Basics erweitern

Bedrohungen müssen rund um die Uhr und in Echtzeit identifiziert werden, um im Ernstfall sofort reagieren zu können. Aus diesem Grund empfiehlt sich für Gesundheitsinstitutionen wie Krankenhäuser, ein Security Operations Center (SOC) einzurichten. Im SOC laufen alle Fäden der Cyber Security zusammen – hier wird die IT-Sicherheitsinfrastruktur des Krankenhauses rund um die Uhr durch Spezialist:innen mit neuester Technologie überwacht, Angriffe werden zeitnah identifiziert und die Abwehr eingeleitet. Die dabei gesammelten Erfahrungen ermöglichen, die Abwehrstrategie permanent anzupassen. Gesundheitseinrichtungen müssen ein SOC nicht selbst betreiben, sondern können sich von einem Managed Service Provider unterstützen lassen.

Zusätzlich zu den Security Basics empfiehlt es sich, ein Information Security Management System (ISMS) zu etablieren. Dabei handelt es sich nicht um ein physisches System, sondern vielmehr um eine durch Richtlinien definierte Vorgehensweise, die die Informationssicherheit in einem Unternehmen dauerhaft definiert, steuert, kontrolliert, aufrechterhält und sie fortlaufend verbessert. Ein ISMS wird individuell für ein Unternehmen umgesetzt und implementiert.

Sicherheit schrittweise erhöhen

Um Unternehmen und Institutionen im Gesundheitsbereich erfolgreich gegen Cyberangriffe abzusichern, braucht es mehr als in Hardware und Software zu investieren. Ziel sollte eine umfassende Cyber-Security-Strategie sein, die sich schrittweise umsetzen lässt. So können Organisationen zunächst damit starten, Sicherheits-Audits durchzuführen, um anschließend darauf aufbauend technische Lösungen wie interne und externe Firewalls, Intrusion Prevention, Netzwerksegmentierung, ISMS und SOCs einzuführen. Gleichzeitig zahlen sich Awareness-Schulungen zur Mitarbeitersensibilisierung aus. Solange Unternehmen diesen Best Practices folgen, erhöhen sie die Sicherheit ihrer Systeme und damit der Patientendaten kontinuierlich. Die Zusammenarbeit mit externen Partnern und der Einsatz von Managed Services können dabei helfen, IT-Abteilungen in Gesundheitseinrichtungen nicht zusätzlich zu belasten.

Axians in Deutschland
Die Unternehmensgruppe Axians in Deutschland ist Teil des globalen Markennetzwerks für ICT-Lösungen von VINCI Energies. Mit einem ganzheitlichen ICT-Portfolio unterstützt die Gruppe Unternehmen, Kommunen und öffentliche Einrichtungen, Netzbetreiber sowie Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. In den vier Geschäftsbereichen Business Applications & Data Analytics, IT & Managed Services, TI Fixnet & Mobile und TI Fixnet sorgen Berater:innen, Entwickler:innen, Techniker:innen und Monteur:innen dafür, das Leben von Menschen zu verbessern – etwa durch Cloud- und Data-Center-Infrastrukturen, Cybersicherheit, Unternehmens- und Breitbandnetze, IoT-Lösungen, Managed Services sowie führende Software für Abfallwirtschaft, Schüttgutindustrie, technischen Service und die öffentliche Verwaltung.
2022: 524 Millionen Euro Umsatz // 2.340 Mitarbeitende // 33 Standorte
Zur Unternehmensgruppe gehören folgende Gesellschaften: Axians Athos // Axians Cloud & IT-Automation // Axians Digital Business Solutions // Axians eWaste // Axians GA Netztechnik // Axians hamcos // Axians IKVS // Axians Industrial Applications & Services // Axians Infoma // Axians IT Business Solutions // Axians IT Security // Axians NEO Solutions & Technology // Axians Networks & Solutions // Axians Public Consulting // Citycomp Service // CHB Elektro & Fernmeldebau // Fernmelde-Montage Gotha // FFK Kabel- und Rohrleitungstiefbau // OFM Communications // OFM Netzwerk & Systemtechnik // Rhön-Montage Fernmeldebau // VINCI Energies Deutschland ICT
www.axians.de

Über Axians
Axians unterstützt privatwirtschaftliche Unternehmen, öffentliche Einrichtungen, Netzbetreiber und Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. Ob Applikationen oder Data Analytics, Unternehmensnetze, Shared Workspace, Data Center, Cloud-Lösungen, Telekommunikationsinfrastrukturen oder Internetsicherheit – Axians ist Spezialist für alle aktuellen Informations- und Kommunikationstechnologien! Durch Beratung, Planung, Integration und eine breite Palette von Dienstleistungen erschließt Axians den vollen Mehrwert dieser Technologien in Form bedarfsgerechter Lösungen für den Kunden. Axians ist eine Marke von VINCI Energies.
2022: 3,3 Milliarden Euro Umsatz // 14.000 Mitarbeitende // 35 Länder
www.axians.com

Über VINCI Energies
In einer Welt im Wandel beschleunigt VINCI Energies die ökologische Wende durch die konkrete Mitgestaltung zweier tiefgreifender Transformationen: Digitalisierung und Energiewende. Als marktnaher Integrator maßgeschneiderter, technikübergreifender Lösungen unterstützen wir unsere Kunden bei der Implementierung von Technologien, von der Planung über Realisierung und Betrieb bis hin zur Instandhaltung. Mit unseren 1.900 regional verankerten, agilen und innovativen Business Units sind wir in die energiebezogenen Entscheidungen, die Infrastrukturen und Prozesse unserer Kunden eingebunden und sorgen jeden Tag für mehr Zuverlässigkeit, Effizienz und Nachhaltigkeit. VINCI Energies strebt eine globale Leistung an, die auf den Planeten achtet, den Menschen nützt und solidarisch mit den Bevölkerungen ist.
2022: 16,7 Milliarden Euro Umsatz // 90.000 Mitarbeitende // 1.900 Business Units // 57 Länder
www.vinci-energies.com

Foto: Ingo Schulenberg, Head of Sales – Special Operations OT & IT Security bei Axians IT-Security (Quelle: Axians)


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

NIS2, Technologie und der Faktor Mensch
IT-Sicherheit & Kritis
NIS2

Lesen Sie hier die neuesten Beiträge

Mühelosere Bewegungen von Robotern
IT-Management
Robotik
Diese Webseite verwendet Cookies.   Mehr Info.      oder