Palo Alto Networks gibt Handlungsempfehlungen bei Cyberangriffen im Gesundheitswesen

Thorsten Henning Palo Alto Networks qdr

Wenn Cyberkriminelle an fremde Kreditkarteninformationen oder Finanzdaten gelangen, ist das Thema Cybersicherheit für jeden nachvollziehbar. Noch gravierender ist der Eingriff in die Privatsphäre, wenn Gesundheitsakten und medizinische Daten in die Hände von Hackern kommen. Über Sicherheitsvorfälle im Gesundheitswesen wurde schon viel berichtet. Da mit weiteren Sicherheitsvorfällen, speziell bei Krankenversicherungen, zu rechnen ist, hat Enterprise-Security-Spezialist Palo Alto Networks aus den bisherigen Erfahrungen einige Handlungsempfehlungen für Unternehmen abgeleitet.

„Warum sind Hacker so interessiert am Gesundheitswesen“, so Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Die Versicherungsgesellschaften sind wie eine Schatzkiste für Cyberkriminelle, da sie nicht nur Sozialversicherungsdaten vorhalten, sondern auch alle anderen personenbezogenen Informationen, einschließlich Kontodaten, Beschäftigungsverhältnis und Einkommensdaten, persönliche Daten wie Adresse und Geburtstag, Sozialversicherungsnummer, medizinische Aufzeichnungen und mehr. Grundsätzlich können Hacker jedes Bit an wertvollen Informationen auf dem Schwarzmarkt verkaufen.“

Eine zusätzliche Risikoexposition ergibt sich dadurch, dass im gesamten Gesundheitswesen Informationen zwischen den Versicherungsgesellschaften und vielen weiteren Parteien ausgetauscht werden.

  1. Überblick gewinnen, Risiken verstehen und die Sicherheitslage beurteilen
    Diese Aufgabe allein könnte schon abschreckend wirken oder auf den ersten Blick überhaupt nicht realisierbar sein angesichts knapper Ressourcen und Budgets. IT-Verantwortliche haben zudem gerade in größeren Organisationen mit einer gewissen Trägheit bei Entscheidungsprozessen zu kämpfen. Palo Alto Networks kann die Entscheidung für mehr Sicherheit begünstigen mit der Aussicht auf eine Lösung, die innerhalb kürzester Zeit effektiv ist beim Kunden. So können die Security Appliances im TAP-Modus bereitgestellt werden, ohne Unterbrechung des Datenverkehrs. Das IT-Team erhält damit wertvolle Einblicke in das Netzwerk. Innerhalb weniger Tage kann ein vollständiger Bericht über sämtliche Anwendungen und Malware im Netzwerk erstellt werden. Wenn die gesamte Kommunikation mit Servern, die sensible Daten verarbeiten, unter die Lupe genommen wird, gewinnen die Verantwortlichen sofort Einblick, wo es in der IT-Umgebung an Sicherheit mangelt.
  2. Strengere Segmentierung mit Kontrolle auf Applikationsebene
    Die heutige Realität ist, dass viele Unternehmen immer noch ein Netzwerk betreiben, das viel zu flach organisiert ist, um sensible Daten vor fortschrittlichen Angriffsszenarien zu schützen. Dies gilt insbesondere für Angriffe, die sich, sobald sie im Netzwerk stattfinden, seitlich bewegen können. Der Schutz sensibler und regulierter Daten erfordert eine strengere Segmentierung, die auf Anwendungs-Whitelisting und Benutzerzugriffskontrolle basiert, und eine systematische Überprüfung aller Nutzlasten, einschließlich der von zugelassenen Anwendungen. Auf diese Weise lassen sich Risiken bereits deutlich reduzieren, so dass Sicherheitsteams manuell und moderne Sicherheitstools automatisiert optimal arbeiten können.
  3. Quantifizierung der Risiken und Kosten einer Datenpanne für das eigene Unternehmen
    Sicherheitsverantwortliche sollten für die Argumentation in der Führungsetage anschauliche Daten bereithalten, die aufzeigen, warum das Unternehmen mehr in Sicherheit investieren sollte. Allein zu den Sicherheitsvorfällen im vergangen Jahr gibt es jede Menge Studien. Modelle helfen zu bewerten, welche Kosten bei Verstößen gegen die Sicherheitsvorgaben drohen. Das Ponemon Institute bezifferte den Schaden pro gestohlener Akte zuletzt Anfang des Jahres auf 200 US-Dollar.
  4. Sicherheitsbewusstsein der Mitarbeiter schärfen
    Das Sicherheitsbewusstsein und die entsprechende Weiterbildung müssen im Rahmen einer alltäglichen Interaktion trainiert werden, bis sie verinnerlicht werden. Das Ziel ist hier nicht, einen Zustand der Paranoia zu schaffen. Für jeden Mitarbeiter sollte jedoch klar sein, dass die Sicherheit von entscheidender Bedeutung für die Stabilität des Unternehmens ist. Dazu gehört auch, dass jeder Mitarbeiter – und nicht nur der IT-Administrator – in der Lage ist, möglichst schnell Anzeichen zu erkennen, wenn etwas nicht in Ordnung ist im Netz.
  5. Vernetzung mit Interessengruppen in der Gesundheits- und Versicherungsbranche
    Hacker und Cyberkriminelle sind immer mehr und besser organisiert. Ebenso müssen einzelne Unternehmen nicht allein auf weiter Flur gegen die organisierte Cyberkriminalität kämpfen. Durch den Austausch innerhalb von Interessengruppen können Sicherheitsverantwortliche mehr erfahren über erfolgreiche Praktiken, etwa welche Abwehrmaßnahmen bei bestimmten Angriffen wirksam sind. Wer an Foren dieser Art teilnimmt, wird feststellen, dass das Volumen an wertvollen Informationen, die unternehmensübergreifend geteilt werden, erstaunlich ist. Unternehmen, die mit ihrer sicherheitstechnischen Expertise im Rückstand sind, werden schnell zum leichten Angriffsziel. Ein guter Ausgangspukt sind spezielle sicherheitsfokussierte Veranstaltungen für das Gesundheitswesen bis hin zu einem Besuch der Ignite, der jährlichen Anwenderkonferenz von Palo Alto Networks.
  6. Führungskräfte für die Sicherheitsagenda engagieren
    Cybersicherheit ist nicht mehr nur ein IT-Problem, sondern ein Businessthema. Viele führende Unternehmen haben dies bereits vor vielen Jahren beherzigt und entsprechend in Ressourcen und Tools investiert, um sich zu schützen. Mit Erfolg, denn sie sind bislang nicht in den Schlagzeilen über neue spektakuläre Sicherheitsvorfälle aufgetaucht. Wenn in einem Unternehmen jedoch einiges darauf hindeutet, dass Handlungsbedarf besteht, ist es umso wichtiger, die Führungsetage zu erreichen und den Status quo in Sachen Sicherheit zur Sprache zu bringen. Die vorangegangenen Handlungsempfehlungen bilden die Vorbereitung, um die Führungskräfte mithilfe der richtigen Informationen zu überzeugen.