Cybersecurity im Gesundheitswesen: „Das Personal spielt eine wichtige Rolle“
„Um die IT-Infrastrukturen von Einrichtungen im Gesundheitswesen zu sichern, bedarf es neben einem Budget, um in geeignete Lösungen zu investieren, auch entsprechende Fachkompetenzen. Der France-Relance-Plan ist ein erster sinnvoller Schritt zur finanziellen Unterstützung von Unternehmen. Jedoch können die Projekte ohne Humanressourcen nicht wirksam umgesetzt werden. Ein Schwerpunkt muss daher auf der Einstellung neuen Fachpersonals, aber auch auf der Schulung und Sensibilisierung des gesamten Krankenhauspersonals liegen. Cybersicherheit ist heute eine Frage der Unternehmensführung“.
In einem Exklusivinterview mit Health & Tech Intelligence erörtert François Lancereau, Gesundheitsexperte bei WALLIX, einem europäischen, auf digitales Zugangs- und Identitätsmanagement spezialisiertes Sicherheitsunternehmen, die Probleme und Herausforderungen von Gesundheitseinrichtungen beim Thema Cybersicherheit.
“Europa muss ein großes Interesse daran haben, sich durchzusetzen und seine eigenen Regeln zu diktieren”
📌 Kernpunkte der Diskussion:·
- François Lancereau ist der Ansicht, dass die derzeitigen Budgets der Krankenhäuser für die Cybersicherheit „nicht ausreichen“, weist aber darauf hin, dass der französische Konjunkturplan für zahlreiche Gesundheitseinrichtungen lebensrettend war: Dieser hat es ihnen ermöglicht, Lösungen zu erwerben, die sie vorher nicht bekommen konnten.
- Er betont, dass auch die Anwerbung von Informatik-Fachkräften unerlässlich ist.
- „Das Thema IT-Sicherheit muss ganzheitlich innerhalb der Organisation angegangen werden“ und nicht nur vom CISO, stellt er fest: „Es ist notwendig, dass sich alle Mitarbeiter des Unternehmens mit dem Thema befassen, um Verstöße zu vermeiden“.
- Eine der wichtigsten Herausforderungen besteht darin, das gesamte Personal für bewährte Sicherheitsverfahren zu sensibilisieren: „Ohne ein echtes Änderungsmanagement wird das Cybersicherheitsprojekt scheitern“.
- In der Vergangenheit waren einige amerikanische oder japanische Hersteller in der Lage bestimmte Kontrollen oder Vorschriften zu umgehen – das ist heute nicht mehr möglich. „Hier helfen die europäischen Vorschriften: Wir bewegen uns auf das Prinzip “sie haben keine Wahl mehr“ zu. Nicht mehr die Einrichtungen passen sich den Herstellern an, sondern die Hersteller müssen sich den Bedürfnissen der Einrichtungen anpassen.”
- François Lancereau betont auch, wie wichtig es ist, Sicherheitsaspekte „by design“ zu integrieren: „Wir müssen alles überwachen, was in das Krankenhaus gelangt, und dafür sorgen, dass die Ausrüstung sicher ist“.
- Die Zahlung von Lösegeldern hält François Lancereau für einen Irrweg: „Europa muss ein großes Interesse daran haben, sich durchzusetzen und eigene Regeln zu diktieren […]. Ein klares „Nein“ ist in der gesamten EU notwendig“.
- Schließlich unterstreicht er, wie wichtig es ist, dass neue Generationen bereits in der Grundschule gute Fähigkeiten in puncto Computersicherheit entwickeln.
“Organisationen nach dem Prinzip der geringsten Privilegien sichern”
Könnten Sie in einigen Worten WALLIX und insbesondere Ihre Aktivitäten im Gesundheitssektor vorstellen?
François Lancereau : Unser Spezialgebiet ist die Sicherung von Zugängen und digitalen Identitäten. Wir sind in mehr als 90 Ländern mit mehr als 2.000 Kunden weltweit vertreten. Wir haben eine starke Präsenz in Frankreich, konnten aber seit unserer Firmengründung 2003 in den letzten 20 Jahren international expandieren. So haben wir gelernt, mit unterschiedlichen Regelungen am Markt umzugehen: Für ein und dasselbe Produkt gibt es nicht unbedingt dieselben Anwendungen, je nachdem, ob unser Kunde beispielsweise aus den USA oder aus Frankreich kommt.
Besonders stark sind wir im Gesundheitswesen, im Finanzsektor und im Industrieumfeld aktiv und besitzen eine besonders große Expertise im Bereich des IIoT, also dem industriellen Internet der Dinge. Hierbei geht es um vernetzte Geräte bzw. kritische Technologien wie zum Beispiel Produktionsmaschinen in Fabriken, Scanner, Laborroboter oder MRTs, die oftmals noch auf sehr alten Windows-Versionen laufen.
Unsere Lösung im Bereich Privileged Access Management, WALLIX PAM4ALL, zielt darauf ab, sämtliche Zugriffe der Benutzer – ob Menschen oder Maschinen – in einer Organisation nach dem Prinzip der geringsten Privilegien zu sichern. So lässt sich feststellen, wer was, wo, wann und wie tut.
Im Gesundheitswesen bedeutet das konkret: Krankenhäuser, die unsere Lösung im Einsatz haben, können zum Beispiel die Verbindungszeiten ihrer Mitarbeiter oder externen Dienstleister auf kritische Systeme analysieren oder Geräte im eigenen System identifizieren, die zu regelmäßigen Ausfällen neigen. Auf diese Weise machen wir die IT-Systeme nicht nur sicherer, sondern steigern auch die Produktivität in den Einrichtungen.
Bewusstsein für gut ausgebildetes Fachpersonal
Cyberangriffe nehmen im Gesundheitssektor stetig zu. Der jüngste Fall war der vielbeachtete Angriff auf das Centre Hospitalier Sud Francilien. Sind die aktuellen Bordmittel der Krankenhäuser Ihrer Meinung nach ausreichend, um die Cybersicherheit zu gewährleisten?
Nein, und das hat vor allem zwei Gründe: Zum einen sind die derzeitigen Krankenhausbudgets schlichtweg nicht ausreichend. Zum anderen fehlt es oftmals an Fachpersonal. Es gibt immer noch eine Vielzahl von Krankenhäusern, bei denen die Position des CIOs, also des Chief Information Officers, von einem mal mehr, mal weniger IT-affinen Arzt ausgeführt wird. Von denen ist sicherlich der ein oder andere im Laufe der Zeit zum IT-Experten geworden, aber eine optimale Besetzung sieht sicher anders aus.
Glücklicherweise ändert sich das aber aktuell. Bereits vor der Covid-Pandemie, aber vor allem nach mehreren öffentlich gewordenen Hackerangriffen auf Gesundheitseinrichtungen in der jüngeren Vergangenheit hat sich das kollektive Bewusstsein geändert, hin zu mehr Fachleuten, die der Rolle eines CIOs wirklich gerecht werden können.
Wie wichtig ist die Rolle des Chief Information Security Officers?
Früher galt der CISO als Schwarzmaler, als jemand, der permanent von der Notwendigkeit eines speziellen Cybersecurity-Budgets sprach, sich für die Schulung und Sensibilisierung von Mitarbeitern stark machte und aus Sicherheitsgründen vor der Einführung dieser oder jener Technik warnte. In der Regel wurde dieser Person dann mitgeteilt, dass weder das Budget noch die Zeit für die Umsetzung seiner Empfehlungen vorhanden sei – bis im schlimmsten Fall die Katastrophe eintrat und man merkte: Hätte man ihm von Anfang an zugehört, hätten bestimmte Situationen vermieden oder zumindest eingedämmt werden können.
Kommen wir noch einmal auf Ihren ersten Punkt zu sprechen: das Krankenhausbudget.
Finanzielle Mittel ermöglichen es Krankenhäusern, in Sicherheit zu investieren. Genau hier hilft der Plan France Relance den Gesundheitseinrichtungen natürlich. Neben dem finanziellen Aspekt spielen aber auch die Humanressourcen eine wichtige Rolle, um die Herausforderungen in der Cybersicherheit zu bewältigen. Es geht also nicht nur um das Budget, sondern auch um kompetentes, gut geschultes Personal.
Der Vorteil ist: Anders als früher ist heute ein echtes Verständnis für Fragen rund um das Thema Cybersicherheit gegeben. Mittlerweile ist jedem klar, dass ein Cyberangriff katastrophale Auswirkungen auf die Krankenhausdienste haben kann. Wenn Hacker beispielsweise das Belüftungssystem in den Operationssälen ausschalten, müssen diese umgehend geschlossen werden, denn ein nicht belüfteter Saal ist nicht mehr steril. Sollte zum Zeitpunkt des Angriffs ein Patient auf dem OP-Tisch liegen und plötzlich alles stillstehen, können die Folgen dramatisch sein.
Es bedarf echter Governance, damit das Thema allgemein bekannt wird
Wer sollte sich Ihrer Meinung nach in den Gesundheitseinrichtungen um dieses Thema kümmern, um solche Angriffe zu verhindern?
Es sollte weniger um das “Wer” gehen, denn sonst schieben alle den Schwarzen Peter weiter, bis es einen von ihnen, zum Beispiel den CISO, erwischt, der dann im Falle eines Vorfalls die volle Verantwortung übernehmen muss. Es geht vielmehr um das „Was“: IT-Sicherheit muss von der Unternehmensführung angegangen und ein echtes Governance-Thema werden. Nur so wird es von allen gemeinsam angegangen und vermieden, dass jeder in seiner eigenen Ecke agiert.
Cybersicherheit muss ganzheitlich angegangen werden. Der CISO spielt natürlich eine wichtige Rolle bei der Ausarbeitung von Empfehlungen, schließlich ist es seine Aufgabe, die verschiedenen Berufsgruppen abzusichern. Aber er braucht hierbei natürlich auch die Unterstützung der IT-Abteilung und des Personals – angefangen bei der Krankenschwester, über die Ärzte, bis hin zu den Labormitarbeitern.
Natürlich ist es kompliziert, alle mit ins Boot zu holen. Und ja: Es ist schwierig, Arbeitsgewohnheiten zu ändern. Daher sind Sensibilisierung und Schulung bei der Durchführung von Cybersicherheitsprojekten auch unerlässlich. Ohne ein echtes Änderungsmanagement scheitert das Projekt. Alle Mitarbeiter einer Organisation müssen sich das Thema zu eigen machen, um Verstöße zu vermeiden.
Würde der Einsatz von Virtual Private Networks die Sicherheit in Gesundheitseinrichtungen erhöhen?
Um Angriffen vorzubeugen, nutzen derzeit eine Reihe von Einrichtungen Lösungen wie VPN, um zu erfassen, wer Zugriff auf ihre Systeme hat. Wenn zum Beispiel eine Person zum Putzen kommt, stempelt sie beim Betreten und Verlassen des Gebäudes. Aber wer garantiert uns, dass es sich wirklich um die Person handelt, die da putzt? Zumal diese Person mit einem solchen Ausweis Zutritt zu allen Bereichen der Einrichtung hat. Das Hauptproblem ist: Krankenhäuser, die VPN nutzen, wissen nicht, was diese Personen nach ihrem Zutritt innerhalb der Organisation tatsächlich tun. Hier gibt es keine Kontrollmechanismen. So ist es zum Beispiel auch Uber ergangen, als sie 2016 zum ersten mal gehackt wurden. Hierbei handelt es sich wohlbemerkt um ein großes US-amerikanisches Unternehmen mit vielen technischen Bordmitteln. Trotzdem dauerte es fast zwei Jahre, bis das Unternehmen realisierte, dass es gehackt worden war. Davor hatten sie keine Anhaltspunkte.
Heute müssen wir in der Lage sein, alle potenziellen Einfallstore für Hacker zu sichern. Es gilt: Solange es Menschen gibt, wird es auch Risiken geben. Und die Frage ist nicht, „ob“ man als Unternehmen angegriffen werde, sondern „wann“.
“Vorschriften sind gut, sie durchzusetzen ist besser.”
Sollten spezifische Vorschriften erlassen werden? Sind Sie der Meinung, dass der Cyber Resilience Act, der derzeit auf europäischer Ebene für vernetzte Objekte ausgearbeitet wird, erweitert werden sollte?
Vorschriften sind gut, sie durchzusetzen ist besser. Aber ja: Es gibt tatsächlich Dinge, die gesetzlich geregelt werden müssen. Zum Beispiel gibt es viele biomedizinische Geräte, die von ausländischen Herstellern produziert werden, für die andere Gesetze gelten als für unsere. Einige von ihnen werden sich zukünftig an die französische Gesetzgebung halten müssen: Sie können nicht mehr so handeln, wie sie wollen.
Bislang hatten diese Hersteller die Möglichkeit, sich bestimmten Kontrollen oder Vorschriften zu entziehen. Hier hilft die europäische Verordnung: Wir nähern uns dem Prinzip „Sie haben keine Wahl mehr“ an. Es sind nicht mehr die Institutionen, die sich den Herstellern anpassen, sondern die Hersteller passen sich den Bedürfnissen der Institutionen an. In diesem Zusammenhang sind die französische und die europäische Gesetzgebung sehr wichtig.
Plan France Relance “ein erster Schritt in die richtige Richtung”
Eine aktualisierte Version des HDS-Zertifizierungsstandards ist in Arbeit, und der neue französische Fahrplan für die digitale Gesundheit 2023-2027 dürfte die Cybersicherheit zu den Prioritäten zählen: Welche Erwartungen haben Sie in Bezug auf diese regulatorischen Änderungen?
Man muss über „Security by design“ nachdenken: Wenn man eine Lösung baut, muss man sich von Anfang an fragen, wie man sie sicher machen kann, oder zumindest, wie man sie leicht sichern kann. Wenn Sie im Operationssaal eine Kamera installieren und diese an die IT-Infrastruktur anschließen, woher wissen Sie dann, woher sie kommt und ob das System sicher ist? Man muss alles kontrollieren, was in das Krankenhaus-System integriert wird und sicherstellen, dass die Ausrüstung gesichert ist.
Außerdem muss man beim Thema IT-Sicherheit vorausschauender denken. Bei WALLIX zum Beispiel haben wir mit einigen großen Schulen Sensibilisierungskurse für angehende Unternehmensleiter und technische Führungskräfte entwickelt. Wenn eine Person eine seltsame E-Mail in ihrem Posteingang entdeckt, sollte ihr erster Reflex sein, sie nicht zu öffnen, mit ihrer IT-Abteilung zu sprechen und sie zu löschen. Das Ziel muss sein, diese Reflexe bei den neuen, jungen Generationen zu entwickeln, indem wir über das Erlernen der Grundlagen hinausgehen. Die Idee ist, das Bewusstsein schon im frühesten Alter, zum Beispiel ab der Grundschule, zu schärfen, denn Kinder beginnen schon sehr früh, digitale Werkzeuge zu benutzen. Gute Cybersicherheitspraktiken müssen zu einem Reflex werden, so wie man Kindern beibringt, die Straße zu überqueren, indem man vorher nach links und rechts schaut.
Sind Sie der Meinung, dass sich das allgemeine Bewusstsein für das Thema Cybersicherheit bereits entwickelt hat?
Früher waren viele der Meinung, dass PAM-Lösungen zwar nützlich sind, aber nicht wirklich notwendig. Das hat sich mittlerweile geändert: Es ist jetzt offensichtlich, dass man diese Lösungen braucht, um Identitäten zu verwalten und zu wissen, was intern vor sich geht, aber auch, was die ganzen externen Dienstanbieter im eigenen IT-System tun. Gerade Krankenhäuser haben zum Teil mehrere hundert Dienstleister, die sich jeden Tag im System anmelden. Es ist ein Bienenstock von Menschen, die ein- und ausgehen. Mit unserer PAM-Technologie lassen sich seltsames Verhalten erkennen und Blockiermechanismen einrichten.
In diesem Sinne ist der Plan France Relance wirklich hilfreich: Dieses Konjunkturprogramm hat es Krankenhäusern ermöglicht, Lösungen zu erwerben, die sie vorher aufgrund fehlender finanzieller Mittel nicht kaufen konnten. Es ist zwar schade, dass es so lange gedauert hat, aber jetzt wurde ein erster Schritt in die richtige Richtung gemacht.
Lösegeldzahlungen: “Ein massives EU-weites Nein” ist erforderlich
Was ist Ihre Meinung zu Lösegeldzahlungen?
Ich persönlich halte es für einen Irrweg, von Hackern gefordertes Lösegeld zu zahlen. Sollte der Staat das Prinzip der Lösegeldzahlungen durch Versicherungsgesellschaften validieren, wäre das für Cyberkriminelle ein Geschenk des Himmels. Alle Hacker der Welt würden sich auf Frankreich fokussieren!
Hier sind die europäischen Vorschriften von entscheidender Bedeutung. Wir sind in Frankreich auf diesem Gebiet sehr fortschrittlich, aber auf der anderen Seite haben wir mit Alphabet/Google, Amazon, Apple, Meta/Facebook und Microsoft amerikanische Giganten, die bislang machen konnten, was sie wollten. Europa muss mehr als alle anderen ein großes Interesse daran haben, sich durchzusetzen und seine eigenen Regeln zu diktieren. Frankreich allein kann da nichts ausrichten: hier ist ein klares “Nein” auf der Ebene der gesamten Europäischen Union erforderlich.