[datensicherheit.de, 07.09.2016] Cyber-Angreifer nehmen verstärkt unzureichend geschützte Endgeräte von Mitarbeitern ins Visier – zunehmend auch in Unternehmen im Gesundheitswesen. Ohne eine adäquate Endpunkt-Sicherheitslösung mit Benutzerrechteverwaltung und Applikationskontrolle seien diese Unternehmen Angreifern schutzlos ausgeliefert, warnen IT-Sicherheitsexperten aus dem Hause CyberArk.

Standard-Sicherheitsvorkehrungen unzureichend!

War das Thema IT in der Vergangenheit im Gesundheitswesen noch eher eine Begleiterscheinung und vielfach auf den Bereich der Verwaltung beschränkt, ist es inzwischen auch im klinischen und Laborbereich angekommen, in Segmenten also, in denen hohe Verfügbarkeit und Sicherheit unverzichtbar sind – denn Diagnosen und Therapieformen werden heute in Krankenhäusern digital gespeichert, Laborberichte über das Internet übertragen und Krankenhäuser und -kassen kommunizieren auf dem digitalen Weg.
All das habe auch dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Informationen deutlich gestiegen sei, so CyberArk. Dass es um die IT-Sicherheit für vertrauliche Mitarbeiter- und Patientendaten nicht zum Besten bestellt sei, belegten mehrere Vorfälle aus jüngster Zeit. Dabei habe sich gezeigt, dass Standard-Sicherheitsvorkehrungen mit Firewall, Antivirenschutz oder Webfilter-Techniken keinesfalls ausreichend seien.

Benutzerrechteverwaltung und Applikationskontrolle

„Betrachtet man heute das Thema Endpunkt-Sicherheit, ist die Erkenntnis, dass der Status Quo keinen umfassenden Schutz mehr bietet, offensichtlich“, betont Christian Götz, „Director of Presales and Professional Services DACH“ bei CyberArk in Düsseldorf. Benötigt würden neue Lösungen, „mit denen vor allem die Herausforderungen Benutzerrechteverwaltung und Applikationskontrolle zu bewältigen sind“.
Auch normale Anwender erhielten in vielen Unternehmen Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gebe es mehrere Gründe, etwa die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig seien. Würden mehr Privilegien als nötig vergeben, entstehe aber eine große, unübersichtliche und häufig missbräuchlich genutzte Angriffsfläche. Einfach und schnell lasse sie sich mit einer Lösung reduzieren, die die Umsetzung flexibler Least-Privilege-Richtlinien für Business- und administrative Anwender unterstützt. Sie müsse zum einen die Einschränkung der Privilegien auf das notwendige Mindestmaß und zum anderen die bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Wichtig bei der Auswahl einer Lösung sei deren hoher Automatisierungsgrad – für eine automatisierte Erstellung und Aktualisierung von Richtlinien.

Sicherheitslösung sollte auch Grey-Listing unterstützen!

Ebenso wichtig wie die Rechtevergabe und -kontrolle sei auch die Applikationsüberwachung, denn es sei durchaus denkbar, dass eine schädliche Anwendung mit Malware ohne erhöhte Berechtigung ausgeführt werde und ein Netzwerk kompromittiere. Eine Sicherheitslösung müsse zunächst einmal automatisch schädliche Anwendungen blockieren. Viele Unternehmen setzten hierzu auf Whitelists und Blacklists. Das greife aber in aller Regel zu kurz, da dabei der immense Graubereich in der Applikationslandschaft unberücksichtigt bleibe. Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden könnten – beispielsweise mit der Anwendung von Richtlinien wie einem beschränkten Zugriffsrecht oder der Unterbindung eines Zugangs zum Unternehmensnetz, bis die Applikation näher überprüft ist.
Nicht zuletzt sollte die Lösung auch eine automatische Richtliniendefinition für Applikationen unterstützen, die auf vertrauenswürdigen Quellen basierten – solche Quellen seien zum Beispiel der „Microsoft System Center Configuration Manager“ (SCCM) oder Software-Distributoren.

Gesundheitssektor: Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes kommt

Die IT im Gesundheitswesen sollte sich besser heute als morgen mit dem Problem Sicherheit auseinandersetzen, denn die Zeit werde knapp, warnt Götz. Der Gesetzgeber verschärfe kontinuierlich die Vorgaben und Sanktionen, wie das auch für den Sektor Gesundheit gültige IT-Sicherheitsgesetz.
Spätestens Anfang 2017, so Götz, wenn auch für den Gesundheitssektor eine Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes folge, werde vielen klar werden, „dass sie unter den Regelungsbereich des Gesetzes fallen und entsprechende Schutzmaßnahmen ergreifen müssen, auch wenn sie sich heute vielleicht noch in Sicherheit wiegen“.

[datensicherheit.de, 16.08.2011] Die Nationale Initiative für Informations- und Internetsicherheit (NIFIS e.V.) übt Kritik an einer Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) – Benutzer von Windows sollten laut NIFIS demnach eben nicht die automatische Update-Funktion von Windows nutzen, wie es das BSI auf seiner Website empfiehlt. Dieses Vorgehen sei mit zu hohen Risiken verbunden, so der stellvertretende NIFIS-Vorsitzende Mathias Gärtner.
Das BSI empfiehlt Benutzern von Windows, Updates automatisch einzuspielen – so sei sicher gestellt, dass Anwender keine Updates verpassten, heißt es auf der Website. Die NIFIS spricht sich ausdrücklich gegen diese Empfehlung aus – prinzipiell sei es natürlich ratsam, sich auf dem neuesten Stand zu halten, so Gärtner; nur könne ein automatisches Update von Windows zahlreiche Probleme verursachen.
Da bei einem automatischen Update nach Download und Installation auch ein Neustart durchgeführt werde, so Gärtner weiter, würden alle offenen Programme automatisch geschlossen ohne die noch laufenden Prozesse ordnungsgemäß zu beenden oder Daten abzuspeichern. Gärtner schätzt das Risiko eines Datenverlusts bei einem solchen Vorgehen sogar als „hoch“ ein und nennt weitere mögliche Nachteile – in der Vergangenheit habe sich gezeigt, dass nach einem Update oftmals zahlreiche Programme nur noch eingeschränkt oder gar nicht mehr funktionierten; im Extremfall habe daraufhin sogar eine komplette Neuinstallation des Betriebssystems und aller Programme vorgenommen werden müssen.
Anstelle der automatischen Installation der Updates empfiehlt die NIFIS Benutzern von Windows, lediglich den automatischen Download einzustellen, so dass Zeitpunkt der Installation und Neustart selbst bestimmt werden und Konflikte mit laufenden Programmen möglichst vermieden werden könnten. Leider gebe Windows bei dieser Einstellung keine ausreichende Erinnerung, so dass Nutzer genauer auf das Update-Symbol in der Task-Leiste achten müssten.