(April 2024) Personalmangel und hoher Wettbewerbsdruck sind Herausforderungen, die Kliniken aktuell bewältigen müssen. Moderne Technologien und das „Internet der Dinge“ sollen Abhilfe schaffen: Viele Prozesse lassen sich digitalisieren und automatisieren, um das Klinikpersonal zu entlasten und eine optimale medizinische Versorgung zu gewährleisten.
Jedoch birgt die fortschreitende Digitalisierung auch das Risiko von Cyberangriffen, zumal sich im Klinikalltag zeigt, dass Systeme und Medizingeräte oft nicht ausreichend vor unbefugten Zugriffen geschützt sind. Deshalb ist eine Public-Key-Infrastruktur in Verbindung mit einem Identity-Access-Management ein wichtiger Baustein, um die Security in medizinischen Einrichtungen zu erhöhen.
Lange galt Security in Kliniken eher als notwendiges Übel. Doch das Thema steigt allmählich in der Priorität, allen Beteiligten ist inzwischen klar, dass das Sicherheitsniveau in den Krankenhäusern steigen muss. Diese Erkenntnis rührt nicht von Ungefähr: Etliche Cyberattacken auf Kliniken und Pflegeeinrichtungen machten in den vergangenen Jahren Schlagzeilen. Die Folgen solcher Angriffe sind fatal und können sich über Monate hinziehen: Der Klinikalltag kann nicht wie gewohnt weiterlaufen, neue Patientinnen und Patienten können nicht aufgenommen, Rechnungen nicht erstellt werden. Den Kliniken entstehen dadurch hohe Kosten, zusätzlich müssen sie Geld für die Wiederherstellung der Systeme ausgeben. Nicht zuletzt könnten Cyberangriffe auch lebensbedrohlich werden, wenn Hacker Medizingeräte wie etwa Medikamentenpumpen manipulieren. Um gesundheitliches Risiko für Patientinnen und Patienten, finanzielle Belastungen und einen Imageschaden abzuwenden, ist es für Kliniken elementar wichtig, mehr in Security-Maßnahmen zu investieren und ihre Digitalisierung sicher weiter voranzutreiben.
Public-Key-Infrastruktur ist wichtiger Beitrag zu erhöhter Security
Ein wichtiger Baustein, um die Sicherheit vor externen und internen Angriffen zu erhöhen, ist eine Public-Key-Infrastruktur (PKI). Dabei handelt es sich um eine asymmetrische Krypto-Technologie, die als eine der sichersten Formen der Verschlüsselung gilt. Mit der PKI lassen sich Daten und Nachrichten signieren und verschlüsseln, für jede Verbindung zwischen den Kommunikationspartnern – zum Beispiel zwischen Ärzten und Labormitarbeitern – werden zwei Schlüssel benötigt – ein öffentlicher Schlüssel für die Verschlüsselung der Daten und ein privater, geheimer Schlüssel für die Entschlüsselung. Die Authentizität des öffentlichen Schlüssels wird mit digitalen Zertifikaten sichergestellt, die in einer Art Kette jeweils das Vorgängerzertifikat validieren. So entsteht ein sicherer Zertifizierungspfad.
Je mehr Geräte und Systeme Kliniken oder medizinische oder pflegende Einrichtungen im Einsatz haben, beziehungsweise mit je mehr externen Systemen sie kommunizieren müssen, desto komplexer werden die Kommunikation, der reibungslose Betrieb und auch die Gewährleistung der Sicherheit. Die PKI stellt hier grundlegende Schutzmechanismen bereit, um die Kommunikation zwischen den Geräten und Systemen abzusichern und sie vor unbefugten Zugriffen zu schützen. So verfügt jedes Medizingerät über eine eigene Device Identity, sozusagen ein Einmalzertifikat. Mit diesem authentifiziert es sich bei der Inbetriebnahme im Klinik-Netzwerk. In der Folge werden weitere Zertifikate vergeben, zum Beispiel für Updates von Hard- und Software oder für die Kommunikation mit anderen Geräten und Systemen. Die jeweiligen Kommunikationspartner tauschen ihre Zertifikate aus und können Daten und Nachrichten so verschlüsseln, dass nur der jeweilige Partner sie entschlüsseln kann. Ein unbefugter Zugriff auf die Daten und eine mögliche Manipulation der Daten wird so verhindert.
Geräte und Systeme durch Identity-Access-Management schützen
Mit der PKI einhergehen sollte immer auch ein Identity-Access-Management (IAM), mit dem sich Geräte und Systeme vor nicht-autorisierten Zugriffen schützen lassen. Es gilt, Computer und Medizingeräte mit Sicherheitsmechanismen auszustatten, sodass sie beispielsweise nicht ohne Log-In bedient werden können. Allzu oft sind Bildschirme nicht gesperrt, Computer und Medizingeräte relativ frei zugänglich – Angreifer haben hier leichtes Spiel. Daher ist es notwendig, dass sich Pflegepersonal, Ärztinnen und Ärzte an Geräten einloggen und nach Benutzung auch wieder ausloggen müssen. Dies muss aber an den hektischen Klinikalltag angepasst und für die Belegschaft komfortabel sein. Der Trend geht hier eindeutig weg von der Eingabe von Passwörtern, weil dies aus gleich mehreren Gründen nicht praktisch ist: Passwörter sind nicht immer leicht zu merken, schnell vertippen sich Nutzerinnen und Nutzer bei der Eingabe. Zudem bedeuten Passwörter für die IT einen recht hohen Verwaltungsaufwand und ihr Schutzmechanismus ist eher gering.
Zwar geht erhöhte Sicherheit immer mit einem gewissen Komfortverlust einher, doch unpraktikabel dürfen die Zugriffsmechanismen eben nicht sein. Um die Balance zwischen Sicherheit und Komfort zu finden, sind Smartcards oder FIDO-Token (Fast Identity Online) gut geeignet. FIDO-Protokolle verwenden – wie die PKI – asymmetrische Kryptografie und somit einen öffentlichen und einen privaten Schlüssel. Jedoch verwendet diese Technologie keine Zertifikate für die Schlüsselverteilung, sondern generiert stets ein neues Schlüsselpaar, wobei der einzigartige private Schlüssel immer sicher auf dem Token gespeichert wird. Durch Einstecken oder Auflegen der Hardwarekomponente in oder auf ein Gerät authentifizieren sich die jeweiligen Personen und können beispielsweise Patientendaten einsehen oder die Medikation an Medizinpumpen ändern. Ist ihre Arbeit beendet, entnehmen sie ihr Token wieder und das Gerät ist gesperrt. Ein weiterer Vorteil ist, dass einfach und transparent nachgehalten werden kann, wer wann welche Änderungen vorgenommen hat. Bei besonders schützenswerten Daten oder Einstellungen kann zudem eine Multi-Faktor-Authentisierung zum Tragen kommen: Neben dem Auflegen des Tokens ist dann beispielsweise ein biometrischer Nachweis wie der Fingerabdruck erforderlich.
Die Nutzung von Smartcards bedient sich direkt der PKI. Die von der PKI generierten Zertifikate können direkt auf die Smartcard aufgebracht werden und werden auch in den Verzeichnissen wie dem Active Directory mit dem Benutzer verbunden. Auch hier ist das Resultat eine passwortlose Authentifizierung mit höchster Sicherheit, die nur die Eingabe einer PIN benötigt.
Penetrationstest deckt Sicherheitslücken auf
Vor der Einführung einer PKI und eines IAM empfiehlt sich grundsätzlich eine Analyse des Status quo. Wo Einfallstore für Cyberangriffe sind und wie die Bedrohungslage ist, lässt sich mit einem Penetrationstest ermitteln. Externe IT-Sicherheitsanbieter versetzen sich hierfür in die Rolle eines Hackers und prüfen das System auf Sicherheitsmängel. Auf Basis eines solchen Tests können die Expertinnen und Experten dann gezielt Empfehlungen aussprechen, mit der sich das Sicherheitsniveau erhöhen lässt, und bei der Systemplanung und Implementierung entsprechender Lösungen wie PKI und IAM unterstützen. Im Rahmen solcher Projekte ist oftmals auch eine Awareness-Schulung des Personals sinnvoll. Denn klar ist auch: Die Sicherheit eines Systems hängt maßgeblich von den Anwendenden ab. Wie wichtig Schutzmechanismen sind und warum ein gewisser Komfortverlust notwendig ist, muss dem Klinikpersonal bewusst sein. Die gesamte Belegschaft muss die Notwendigkeit erkennen und die Einführung neuer Sicherheitssysteme mittragen.
Fazit
Um das Klinikpersonal zu entlasten und die bestmögliche medizinische Versorgung zu gewährleisten, ist das Voranschreiten der Digitalisierung in Krankenhäusern unumgänglich. Mit der Einführung moderner Technologien müssen Kliniken aber auch das Thema Security mitdenken, weil das Risiko von Cyberangriffen zunehmend steigt. Um die Sicherheit in medizinischen Einrichtungen zu erhöhen, ist eine Public-Key-Infrastruktur (PKI) in Verbindung mit einem Identity-Access-Management (IAM) eine hochsichere Lösung bei guter Nutzbarkeit. Die PKI bietet starke Authentifizierungstechnologien, um die Kommunikation zwischen Geräten und Systemen abzusichern. IAM ermöglicht es, Geräte und Systeme zusätzlich vor nicht-autorisierten Zugriffen zu schützen.
Quelle Text: achelos GmbH
Quelle Bild: Mirjam Bauer