Expertentipps: So können sich Krankenhäuser vor Hackern schützen

Bei einem Cyberangriff auf die Bezirkskliniken Mittelfranken drangen Hacker gezielt in die IT-Systeme ein, verschlüsselten die dort gespeicherten Daten und griffen diese ab. Frank Becker, IT-Projektmanager im Gesundheitswesen, weiß, wie sich Krankenhäuser vor Cyberangriffen schützen können. [...]

Frank Becker, Geschäftsführer von Becker Project Consulting und IT-Projektmanager im Gesundheitswesen (c) Becker Project Consulting
Frank Becker, Geschäftsführer von Becker Project Consulting und IT-Projektmanager im Gesundheitswesen (c) Becker Project Consulting

Der Cyberangriff auf die Bezirkskliniken Mittelfranken ist umso erschreckender, weil es sich dabei längst nicht mehr um einen Einzelfall handelt. Ganz im Gegenteil: Aufgrund ihrer wichtigen gesellschaftlichen Rolle stellen Krankenhäuser zunehmend attraktive Ziele für Cyberkriminelle dar.

Um sich gegen diese Übergriffe zu schützen, müssen die medizinischen Einrichtungen nun dringend ihre Sicherheitsmaßnahmen aktualisieren. Dabei geht es sowohl um die Verbesserung der technischen Komponenten als auch um die Erstellung von Konzepten für den Ernstfall. Die folgenden fünf Maßnahmen schützen Krankenhäuser effektiv vor Hackerangriffen.

Regelmäßige Schulung der Mitarbeiter

Viele Cyberattacken werden durch die Mitarbeiter ermöglicht. Zwar handeln die Betroffenen nicht absichtlich und sind sich der Folgen ihrer Taten nicht bewusst, dennoch verschaffen sie mit ihrem sorglosen Verhalten Cyberkriminellen den Zugang zu den IT-Systemen, beispielsweise durch das Öffnen von infizierten E-Mails. Deshalb muss jede Präventionsstrategie immer die Schulung der Mitarbeiter beinhalten – und das nicht nur einmal, sondern im regelmäßigen Turnus. Nur so wird sichergestellt, dass das Team die aktuellen Vorgehensweisen der Hacker kennt und vorsichtig bleibt.

Erstellung eines Sicherheits- und eines Notfallkonzepts

Ein Sicherheitskonzept beschreibt detailliert, wie sich die Nutzenden im Netzwerk zu verhalten haben, aber auch, welche Präventionsmaßnahmen für welches Bedrohungsszenario ergriffen werden. Es ermöglicht damit die intensive Auseinandersetzung mit der IT-Sicherheit vor dem Ernstfall. Das Notfallkonzept hingegen enthält Anweisungen, welche Maßnahmen in einer Krisensituation auszuführen sind. Dadurch soll sichergestellt werden, dass die Mitarbeiter auch bei einem Angriff ruhig und beherrscht bleiben und nicht in Panik verfallen.

Verschlüsselung sensibler Daten

Hacker haben beim Angriff auf Krankenhäuser meist zwei Ziele: Entweder verschlüsseln sie sensible Daten, machen die medizinische Einrichtung damit handlungsunfähig und fordern anschließend Lösegeld für die Entschlüsselung, oder sie greifen sensible Daten ab und drohen mit der Veröffentlichung. Beide Vorhaben können Krankenhäuser schon vorab vereiteln, wenn sie ihre Daten selbst verschlüsseln. Während die Informationen innerhalb des Netzwerks zugänglich bleiben, können Angreifer nichts mit ihnen anfangen, selbst wenn sie sich Zugang zu den Systemen verschaffen können.

Nutzung von SASE-Lösungen für Cloud-Dienste

Cloud-Anwendungen stellen ein besonders hohes Risiko dar, da sie eine Schnittstelle zwischen dem internen und einem externen Netzwerk sind. Auf den Schutz des externen Netzwerks haben Krankenhäuser allerdings keinen Einfluss. Das macht Cloud-Dienste zu potenziellen Zugriffspunkten für Cyberkriminelle. Besonders prekär: Ein Verzicht auf Cloud-Anwendungen ist keine Option, da viele relevante Dienste ausschließlich cloudbasiert angeboten werden. Abhilfe schafft die Nutzung von sogenannten SASE-Lösungen (Secure Access Service Edge). Dabei handelt es sich um Netzwerkarchitekturen, die Cloud-Dienste mit effizienten Sicherheitsmaßnahmen kombinieren.

Speicherung eines Backups

Sollten sich Cyberkriminelle allen Maßnahmen zum Trotz dennoch Zugriff auf das IT-Netzwerk des Krankenhauses verschafft und dort Daten manipuliert haben, kann ein Backup helfen, innerhalb kurzer Zeit wieder handlungsfähig zu werden. Dafür muss die Sicherungskopie allerdings regelmäßig aktualisiert werden. Außerdem darf sie nicht innerhalb des gleichen Netzwerks gespeichert werden, da ansonsten nicht gewährleistet werden kann, dass sie im Falle eines Angriffs nicht ebenfalls manipuliert wird.

*Frank Becker kennt die Herausforderungen des Gesundheitswesens und übernimmt mit seinem Unternehmen Becker Project Consulting das IT-Projektmanagement für Krankenhäuser, Universitätskliniken, medizinische Labore und große Arztpraxen. https://beckerprojectconsulting.com/


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*