Healthcare Security Assessment

Gesundheitseinrichtungen und Patientendaten schützen

Healthcare Security Assessment

Ist Ihre Einrichtung angemessen auf potenzielle Vorfälle vorbereitet, um die Sicherheit von Patientinnen und Patienten sowie das Funktionieren im Ernstfall zu gewährleisten?


Wir stehen Ihnen mit unserem Fachwissen zur Seite.


KONTAKTIEREN SIE UNS

Gesundheitseinrichtungen und Patientendaten schützen

Die voranschreitende Digitalisierung und Vernetzung im Gesundheitswesen konfrontiert nicht nur Einrichtungen wie Krankenhäuser und Arztpraxen, sondern auch deren Patienten mit neuen Herausforderungen im Bereich Security.

Der zunehmende Einsatz von digitalen vernetzten Geräten in Laboren, Behandlungsräumen und bei der Verwaltung von Patientendaten schafft eine Vielzahl neuer Einfallstore für Angreifer. Hinzu kommen mögliche Einfallsvektoren über Online-Dienste, Patientenportale und mobile sowie internetfähige Medizingeräte.

Herausforderungen

Gesundheitsorganisationen stehen vor der Aufgabe, wirksame Maßnahmen zur Prävention von Cyberbedrohungen umzusetzen, ohne die Effizienz und Zugänglichkeit der Gesundheitsdienste zu beeinträchtigen.

Interne und externe Vernetzung

Moderne Kliniken verfügen über komplexe interne Netzwerke. Diese erfordern neben dem Betreiben von Standarddiensten, wie Server- und Speicherinfrastruktur, die Integration von heterogenen Systemen wie medizinischen Geräten (Geräte für bildgebende Verfahren, Patientenüberwachungssysteme, telemedizinische Geräte, etc.) und diversen Kommunikationssystemen (z.B. Telefoniesysteme). 

Essenziell für einen reibungslosen Betrieb eines Krankenhauses ist aber auch der Datenaustausch mit externen Partnern und Dienstleistern, unter anderem:

  • Dienste zur Patientenversorgung (z.B. Essensversorgung)
  • Dienste der Telematik-Infrastruktur (z.B. Zugriff auf e-Akte)
  • Apothekendienste
  • Laborinformationssysteme
  • Anbindung an das Organspende-Register
Gesetzliche Anforderungen (NIS2)

Da es sich bei Gesundheitseinrichtungen um kritische Infrastrukturen handelt, gelten besondere Schutzanforderungen. Im Falle eines erfolgreichen Angriffs sind personenbezogene Daten mit besonderem Schutzbedarf (gem. DSGVO Artikel 9) gefährdet. Weiterhin unterliegen Krankenhäuser als Teil der kritischen Infrastruktur zusätzlichen gesetzlichen Anforderungen durch Einführung der EU NIS2 Richtlinie.

Zunehmende Anzahl an Cyber Incidents

In den letzten Jahren hat die Anzahl der Cyberangriffe auf Krankenhäuser und Gesundheitseinrichtungen stark zugenommen. Diese Angriffe haben nicht nur das Potenzial, sensible Gesundheitsdaten zu gefährden, sondern können auch lebenswichtige medizinische Geräte und Systeme beeinträchtigen, was eine direkte Gefahr für die Patientinnen und Patienten darstellt. Aufgrund dessen geraten medizinische Einrichtungen immer häufiger in das Visier von Erpressern und Ransomware-Angriffen.

IT-Budget und Fachkräftemangel

Den besonderen Herausforderungen an die IT im Healthcare-Bereich steht ein Fachkräftemangel und eine zu niedrige Budgetierung der IT gegenüber, was die Situation zusätzlich verschärft. Aufgrund begrenzter Ressourcen können Krankenhäuser nicht immer die erforderlichen Investitionen in Cybersicherheitsmaßnahmen tätigen und stehen somit einem erhöhten Risiko von Cyberangriffen gegenüber. Der Mangel an qualifizierten IT-Fachkräften erschwert zudem die Umsetzung und Überwachung effektiver Sicherheitsmaßnahmen, was die Anfälligkeit für potenzielle Bedrohungen weiter erhöht.

Unser Angebot für Sie

Mit unserer Expertise unterstützen wir Sie bei der Lösung der genannten Herausforderungen. Wir sind in der Lage Ihre komplexe Systemlandschaft umfassend zu prüfen, potenzielle Einfallstore zu identifizieren und Sie bei der Gestaltung Ihrer Systeme gemäß den gesetzlichen Anforderungen zu unterstützen. Unser Leistungsspektrum umfasst:

Patientenportale und Online-Dienste

Ob Online-Terminvergabe, digitale Assistenz oder Zugriff auf Krankenakten, Patientenportale und Online-Dienste im Healthcare-Bereich haben unterschiedliche Funktionen. Fast immer aber werden sensible Daten verarbeitet, die besonders schützenswert sind. Umso wichtiger ist es, sicherzustellen, dass diese Systeme geschützt sind und nicht von Dritten missbraucht werden können.

Im Rahmen unserer Sicherheitstests bieten wird Ihnen eine umfassende Prüfung dieser Systeme an, beispielsweise:

  • Prüfung von Webanwendungen
  • Prüfung auf sichere Implementierung von APIs
  • Prüfung zugehöriger mobiler Applikation auf Schwachstellen

Von außen erreichbare Systeme, z.B. externe Server und Wartungszugriffe

Vom Internetauftritt über die Mailing-Lösung bis zum VPN-Zugang, Kliniken verfügen über eine Vielzahl von IT-Systemen, welche im Internet erreichbar sind. Erhält ein Angreifer Zugriff auf ein solches System, können nicht nur vertrauliche Daten, wie zum Beispiel E-Mails, in falsche Hände geraten. Ein Angreifer kann das kompromittierte System auch als Ausgangspunkt für weitere Angriffe im Netzwerk verwenden und tiefer in dieses eindringen.

Um das Sicherheitsniveau dieser und weiterer Systeme zu bestimmten, bieten wir Ihnen ein umfangreiches Portfolio an Sicherheitstests an. Unter anderem prüfen wir:

  • Perimeter-Systeme (z.B. Firewalls, VPN-Gateways)
  • Extern erreichbare Dienste (z.B. Mailserver, Webserver, Schnittstellen zu Lieferanten wie Apotheken und Essensversorgern)
  • Cloud-Umgebungen

Lokale IT-Systeme, z.B. Wi-Fi-Netzwerk, lokales Netzwerk, Terminals, Drucker, Netzwerksegmentierung

Kliniken und Arztpraxen verfügen häufig über komplexe lokale Netzwerke mit einer Vielzahl an Geräten. Hierzu zählen beispielsweise diverse Arbeitsplatzsysteme, Datenspeicher, aber auch mobile Endgeräte sowie spezielles Medizinequipment, welches Zugang zum Netzwerk benötigt.

Nicht immer ist der Zugriff auf diese Netzwerke ausreichend geschützt. So kann es sein, dass ein Angreifer aufgrund einer mangelhaften Netzwerksegmentierung über einen Wi-Fi-Gastzugang Zugriff auf interne Systeme erlangt. Ein weiteres Bedrohungsszenario ist die unzureichende Absicherung von Netzwerkdosen in einem Krankenzimmer gegen das Anschließen von Fremdgeräten wie Notebooks. 

Im Rahmen unserer Sicherheitsanalysen prüfen wir daher ihre lokale IT umfassend, unter anderem bieten wir folgende Leistungen an:

  • Penetrationstests des lokale Netzwerks, samt eingehender Analyse von Geräten wie Druckern, Telefonen usw.
  • Überprüfung der sicheren Umsetzung der Netzwerksegmentierung 
  • Test der Konfiguration von Wi-Fi Access Points auf mögliche Angriffspunkte

Ergänzend zu den Analysen bieten wir entsprechende Beratungsleistungen an, unter anderem zu folgenden Fragestellungen:

  • Was ist bei der Konzeption einer sicheren Netzwerkarchitektur zu berücksichtigen? (z.B. Netzwerksegmentierung, Absicherung von Fernzugriffen und das Thema Cloud-Migration)
  • Wie kann ich meine Anwendungen und Infrastrukturkomponenten sicher betreiben? (z.B. sichere Konfiguration von Anwendungen, Servern und Diensten sowie ein geeignetes Versions- und Patchmanagement)
  • Wie kann ich sensible Daten angemessen schützen? (z.B. Absicherung gegen Brute-Force-Angriffe, Passwortmanagement, Multi-Faktor-Authentifizierung)

Besichtigung und Begutachtung der IT-Sicherheitsmaßnahmen am Standort

Die Minimierung von Angriffsvektoren über Netzwerke ist nur ein Teil einer umfassenden Sicherheitsstrategie. Gelingt es einem Angreifer zum Beispiel aufgrund fehlender Zutrittskontrollen Zugang zu einem Pfleger-Zimmer zu erlangen und einen maliziösen USB-Stick an den Computer eines Klinik-Mitarbeiters anzustecken, so kann er sich darüber Zugriff auf das interne Netzwerk verschaffen.

Im Rahmen einer umfassenden Analyse wird daher die Sicherheit des Standortes geprüft. Dabei betrachten wir unter anderem die folgenden Teilaspekte:

  • Physische Sicherheit (z.B. Überwachungssysteme, Zutrittssicherung)
  • Zugangskontrollen (z.B. Richtlinien für Besucher, Lieferanten und IT-Personal)
  • Netzwerksicherheit (z.B. Netzwerksegmentierung, Network Access Protection)
  • Sensibilisierung des Personals für IT-Sicherheit
  • Software- und Systemmanagement (z.B. Patch-Management, Zugriff auf administrative Konten)
  • Einhaltung gesetzlicher und branchenspezifischer Vorgaben

Mobile Endgeräte, z.B. Tablets für das Personal

Smartphones und Tablets sind aus dem Alltag kaum mehr wegzudenken und haben auch in Arztpraxen und Kliniken Einzug gehalten. In der Regel verfügen die Geräte über Zugriff auf das interne Netzwerk und sind als solche Teil der kritischen Infrastruktur. Ob die Geräte in ihrer Gesamtheit oder nur spezielle Applikation auf den mobilen Geräten, wir betrachten die Sicherheit von mobilen Endgeräten in allen Aspekten.

Im Rahmen unserer Sicherheitstests prüfen wir unter anderem:

  • Die sichere Konfiguration von mobilen Endgeräten
  • Die sichere Implementierung von mobilen Applikationen

Medizinisches Equipment, sowohl stationär als auch mobil

Ob mobiler Patientenmonitor mit Wi-Fi Funktion oder stationäres Beatmungsgerät mit Netzwerkanbindung, modernes medizinisches Equipment ist vernetzt und damit potenziell anfällig für Angriffe über diese Schnittstellen. Neben den genannten Schnittstellen existieren weitere physische Interfaces, die eine Manipulation und das Auslesen personenbezogener Daten möglich machen. So lassen sich beispielsweise über USB im schlimmsten Fall sensible Daten extrahieren oder die Firmware des Geräts manipulieren.  

Wir haben langjährige Erfahrung in der Prüfung derartigen Equipments und untersuchen ihre Systeme von der Platine bis zur Firmware. Dabei prüfen wir unter anderem:

  • Zugriffsmöglichkeiten auf sensible Daten und Manipulation des Geräts über
    • Anwenderschnittstellen und Bedienelemente
    • Externe Schnittstellen (z.B. USB, Ethernet) sowie Funkschnittstellen (z.B. Wi-Fi, Bluetooth)
    • Bussysteme (z.B. SPI, I²C)
    • Debugging-Schnittstellen (z.B. UART, JTAG)
  • Analyse der Firmware und des Firmware-Update Prozesses auf Schwachstellen

Kontaktieren Sie uns!