Von unserem Gastautor Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode

[datensicherheit.de, 21.07.2021] Patientendaten und Informationen rund um Pflege, Diagnose und Behandlung sind nur ein Teil der sensiblen Daten, mit denen Organisationen im Gesundheitswesen täglich arbeiten. Eine zentrale Aufgabe der IT ist es, diese mit größter Sorgfalt zu behandeln und umfassend zu schützen. Der elfte State of Software Security (SoSS) Report von Veracode gibt einen Überblick über den aktuellen Stand der Anwendungssicherheit und enthüllt dabei spezifische Erkenntnisse über den Gesundheitssektor. Julian Totzek-Hallhuber, Principal Solution Architect des Unternehmens, fasst die wichtigsten Erkenntnisse zusammen und zeigt Entwicklern und Entscheidern im Gesundheitssektor, worauf sie in Zukunft achten müssen.

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Die elfte Ausgabe der branchenweit umfangreichsten Studie gibt einen Überblick über den Status Quo der Anwendungssicherheit. Im Fokus standen die Finanzbranche, das Gesundheitswesen, der Einzelhandel/Gastgewerbe, die Produktionsbranche, die Technologie-Branche und Behörden. Eine zentrale Erkenntnis: In den verschiedene Sektoren adressieren IT-Teams Sicherheitslücken auf unterschiedliche Weise – und mit unterschiedlichen Geschwindigkeiten. Das Gesundheitswesen arbeitet mit vielen sensiblen Daten. Nur so kann Klinikpersonal und anderes medizinisches Personal ihren Patienten die bestmögliche Versorgung gewährleisten. Im Zug der fortschreitenden Digitalisierung gilt es, diese wertvollen Daten zu schützen und der SoSS Report zeigt: Unternehmen aus dem Gesundheitswesen beheben Sicherheitsrisiken schneller, als Unternehmen aus anderen Branchen. Und obwohl einige DevSecOps-Praktiken dort bereits angekommen sind, gibt es immer noch weitere Best Practices, die Entwickler in ihre Arbeitsabläufe einbauen können, um Sicherheitslücken schneller zu schließen.

Bild: Veracode

Der aktuelle Stand der Anwendungssicherheit im Gesundheitssektor

Im Vergleich zu anderen Branchen schneidet das Gesundheitswesen gut ab: Lediglich 75 Prozent aller Anwendungen weisen mindestens eine Sicherheitslücke auf. Weniger Schwachstellen finden sich nur in der Finanzbranche, mit 74 Prozent. Schlechter schneidet der Einzelhandel sowie die Produktion mit 76 Prozent ab. Bei Anwendungen aus der Technologie-Branche wurde ein Anteil von Applikationen mit mindestens einer Sicherheitslücke von 78 Prozent, bei behördlichen Anwendung sogar ein Anteil von 80 Prozent verzeichnet.

Im Vergleich zu diesem relativ positiven Ergebnis finden sich im Gesundheitssektor zahlreiche Anwendungen mit schwerwiegenden Sicherheitslücken – mit 26 Prozent belegt die Branche den zweiten Platz. Nur die Technologiebranche hat mit 28 Prozent einen höheren Anteil an schwerwiegenden Sicherheitslücken. Auch die Fehlerbehebungsrate ist auf einem recht niedrigen Niveau. Während die Finanzbranche mit einer Fehlerbehebungsrate von 75 Prozent am besten von allen untersuchten Branchen abschneidet, verzeichnet das Gesundheitswesen lediglich eine Rate von 70 Prozent. Schlechter schneiden nur behördliche Einrichtungen (66 Prozent) und die Produktionsbranche (59 Prozent) ab. Die Dauer, bis die Hälfte der Sicherheitslücken im Gesundheitswesen behoben wird, ist mit 149 Tagen zwar auf dem zweiten Platz von allen untersuchten Sektoren, trotzdem bietet sich hier enormer Raum zur Optimierung.

Fehleranalyse: Wo es hakt

Die unterschiedlichen identifizierten Sicherheitslücken in den Anwendungen wurden kategorisiert, um eine detailliertere Analyse zu ermöglichen. Bei einem Überblick über alle Kategorien kann das Gesundheitswesen eine positive Bilanz verzeichnen: Im Durchschnitt werden hier kategorienübergreifend weniger Sicherheitslücken gefunden als in den anderen Branchen. Die häufigste Art der Fehler sind mit 49 Prozent Datenlecks, gefolgt von CLRF-Injections mit 48 Prozent und der Qualität des Codes mit 46 Prozent. Dabei stellen Datenlecks ein signifikant geringeres Problem dar als im branchenübergreifenden Durchschnitt, der bei 58 Prozent liegt. Auffällig ist, dass das Gesundheitswesen gerade beim Beheben von CLRF-Injections und kryptographischen Problemen einen enormen Vorsprung gegenüber den anderen Branchen hat. Das ist in Hinblick auf den wachsenden Rückgriff von Patienten auf Apps für das Gesundheitsmanagement ein positiver Trend.

Die Entwicklungsumgebung macht den Unterschied

Der aktuelle Bericht hat das Verhalten von Entwicklern in den Fokus gestellt, da die Ausübung von DevSecOps-Praktiken einen wichtigen Faktor für erfolgreiche Anwendungssicherheit darstellt. Es kann zwischen gegebenen Eigenschaften der Entwicklungsumgebung („Nature“) und den beeinflussbaren Faktoren bei der Entwicklung („Nurture“) unterschieden werden. Entwickler im Gesundheitswesen agieren in einer relativ sicheren und stabilen Umgebung im Vergleich zu anderen Industrien. Die Branche belegt bei dem durchschnittlichen Alter der Anwendungen, der Anwendungsgröße und der Fehlerdichte jeweils den zweiten Platz. Die Organisationen selbst scheinen allerdings relativ groß zu sein – das Gesundheitswesen belegt hier den vierten Platz. Folglich findet der Einzug von DevSecOps-Praktiken nur Schritt für Schritt statt. Unternehmen im Gesundheitssektor belegen lediglich Platz fünf bei der Häufigkeit ihrer Sicherheitsscans und bei der Integration von Sicherheitsaspekten im Entwicklungsprozess nehmen sie den vierten Platz ein. Im Gegensatz dazu belegen die Organisationen den ersten Platz bei der Scan-Kadenz. Dies legt offen: Es gibt zwar keine häufigen Sicherheits-Scans, aber konsistente, die einer kontinuierlichen Strategie unterliegen. Entwickler im Gesundheitswesen greifen verstärkt auf dynamische Analyse (DAST) zurück, Organisationen belegen hier im Vergleich zu Unternehmen aus anderen Branchen den ersten Platz – bei Software-Composition-Analyse (SCA) jedoch den letzten. Hier besteht Handlungsbedarf, denn Teams, die eine Kombination von Scan-Typen, einschließlich DAST, SCA und statischer Analyse (SAST), verwenden, verbessern ihre Fehlerbehebungsrate. Diejenigen, die auf eine Kombination aus SAST und DAST zurückgreifen, beheben die Hälfte der Fehler 24 Tage schneller. Für Unternehmen im Gesundheitswesen gilt daher das Fazit: DevSecOps-Praktiken wurden zwar bereits schrittweise integriert, sind aber noch nicht umfassend genug etabliert.

Digitales Gesundheitswesen: Auf bestehende Strategie aufbauen, DevSecOps-Praktiken priorisieren

Organisationen im Gesundheitswesen sind zwar relativ groß, die Anwendungen auf die sie zurückgreifen jedoch zeitgemäß und eher klein. So stehen Entwickler vor weniger Herausforderungen, denn der „Nature“-Aspekt der Entwicklungsumgebung im Gesundheitswesen unterstützt sie. Die zahlreichen identifizierten Vorteile führen zu einer besseren Reaktionszeit. Dies trägt zu einer erhöhten Wahrscheinlichkeit bei, Fehler schneller zu beheben. Für Unternehmen gilt es jetzt zu erkennen, dass sie weitere Vorteile daraus ziehen könnten, wenn Entwickler zusätzliche DevSecOps-Praktiken nachhaltig in das Unternehmen integrieren würden. Es muss also zukünftig die „Nuture“ verstärkt in den Fokus rücken. Die Sicherheitsstrategie im Gesundheitswesen könnte durch eine erhöhte Frequenz und durch die Integration von weiteren Scan-Typen die Anwendungssicherheit auf ein neues Level heben.

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

[datensicherheit.de, 16.04.2020] Im vergangenen Jahr 2019 waren zwei Drittel der Organisationen im Gesundheitssektor von Cybersicherheitsvorfällen betroffen. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine kürzlich erschienene Enisa-Leitlinie für Krankenhäuser der EU-Agentur für Cybersicherheit (Enisa): „Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit müsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden“, fasst Patrycja Tulinska, Geschäftsführerin der PSW GROUP, zusammen.

Der neue Enisa-Leitfaden ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/ CIOs, soll so ein umfassendes Instrumentarium zur Verfügung stehen, um Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren. Außerdem werden Best Practices aufgezeigt.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, ihnen alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit auch erreicht werden können“, erläutert Tulinska.

Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen. „Insgesamt bildet der Leitfaden eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist“, lobt Patrycja Tulinska. Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Nachdem die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschlägen zum Nachweis dazu, wie Anforderungen von Anbietern erfüllt werden können, wird das ganze Vorgehen deutlich vereinfacht. In der ersten Phase, der Planphase, geht es um die Analyse der Bedürfnisse eines Krankenhauses. Außerdem werden aus den internen Abteilungen Anforderungen gesammelt.

Umfangreiche Aufgaben für den CTO

Bei der Beschaffung eines neuen Cloud-Services beispielsweise sollte der CTO nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und vermitteln können, welchen Nutzen dieser Service nach sich zieht. „In dieser Phase werden beispielsweise Risikobewertungen durchgeführt, Bedrohungen identifiziert, Netzwerke getrennt und Eignungskriterien für Lieferanten entworfen“, informiert Tulinska. In der anschließenden Beschaffungsphase werden die bestehenden Anforderungen übersetzt in technische Spezifikationen. Im Rahmen eines Sourcing-Prozesses können beispielsweise entsprechende Ausschreibungen veröffentlicht werden, die eingehenden Angebote durch einen Ausschuss bewertet und die geeignetsten Produkte in die engere Wahl genommen, bis der Auftrag schließlich an ein Unternehmen vergeben wird. „Hier geht es darum, Zertifizierungen zu empfehlen oder vorzuschreiben, Datenschutz-Folgeabschätzungen durchzuführen und Legacy-Systeme anzusprechen, Schulungen in Cybersicherheit im Krankenhaus anzubieten, aber auch Reaktionspläne für Vorfälle zu entwickeln. Zudem müssen Lieferanten in das gesamte Vorfallmanagement einbezogen werden, Wartungsarbeiten organisiert und Fernzugriffe sicher hergestellt werden“, informiert die IT-Sicherheitsexpertin. In der dritten Phase, der Verwaltungsphase, werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen, einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung, dem System oder der Dienstleistung entspringt. „Die dabei zu erledigenden Schritte sind unter anderem das Bewusstsein über Cybersicherheit zu erhöhen, ein Bestands- sowie Konfigurationsmanagement durchzuführen, Zugangskontrollmechanismen für die medizinische Geräteeinrichtung einzurichten und zu verwalten sowie regelmäßige Penetrationstests durchzuführen“, so Patrycja Tulinska weiter.

Weitere Informationen zum Thema:

PSW Group
Enisa: Notfallplan für mehr Cybersicherheit im Krankenhaus

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

Von unserem Gastautor Thorsten Krüger, Director Regional Sales IDP DACH & CEE bei Gemalto

[datensicherheit.de, 13.09.2018] In den letzten Wochen häufen sich wieder die Schlagzeilen und Reportagen im Bezug auf Probleme mit Datenschutz und IT-Sicherheit. In der Tagesschau spricht man von vernachlässigter IT-Sicherheit im Gesundheitssektor und warnt vor weiteren Cyberangriffen. Vor wenigen Tagen wurden über zwei Millionen Datensätze des Chatanbieters Knuddels gehackt und der Anbieter entschuldigte sich für die Vorkommnisse. Außerdem wurde bekannt, dass persönliche Daten von 380.000 Kunden von British Airways durch Cyberkriminelle illegal kopiert wurden.

All diese Vorfälle sind zwar nicht die drei schlimmsten Incidents des Jahres, geben aber einen guten Einblick in die aktuelle Situation dieser Woche, bei der Nutzer in Deutschland, Österreich und der Schweiz direkt betroffen sind. Es muss klar sein, dass Organisationen in der Region jahrelang das Thema Digitalisierung zu einseitig angegangen sind, und zwar viel in Modernisierung investiert, dabei aber ihre Sicherheitsmechanismen nicht der Gefahrenlage angepasst haben.

Foto: Gemalto

Thorsten Krüger, Director Sales IDP DACH & CEE bei Gemalto

Dagegen haben die Cyberkriminellen sehr gut reagiert und sind nun in der Lage, durch ihre Attacken immer größere Beute zu machen. Durch Zero-Day-Schwachstellen und ausgeklügelte Malware ist es nur eine Frage der Zeit, bis Sicherheitsmechanismen umgangen und Netzwerke kompromittiert werden können. Cybercrime ist fester Bestandteil der organisierten Kriminalität – die Schlagzeilen über immer größere Datenverluste überraschen nicht mehr.

Dunkelziffer deutlich höher

Besonders kritisch ist, dass in allen Beispielen die Vermutung auf eine wesentlich höhere Dunkelziffer auftaucht. Entweder, weil Vorfälle nicht gemeldet oder manchmal sogar nicht bemerkt werden. Viele Organisationen besitzen keine ausreichenden Mechanismen zum Schutz ihrer Informationen. Eine Analyse aller bekannten Datenverluste weltweit im Breach Level Index gibt einen genaueren Einblick. In 59 Prozent aller gemeldeten Incidents ist die Anzahl der betroffenen Datensätze nicht bekannt. Dies deutet darauf hin, dass die Angreifer nach der Überwindung des Netzwerks- und Perimeterschutzes ungesehen auf Informationen zugreifen konnten.

IT-Entscheider dürfen die Vorfälle aber nicht mit einer größeren Anzahl von Angriffen oder fehlenden Ressourcen entschuldigen. Sicherlich gibt es aus Wettbewerbsgründen einen gewissen Zwang zur Effizienzsteigerung durch digitale Innovation, allerdings bedeutet dies nicht, dass man in allen Bereichen hochkomplexe Sicherheitstools einkaufen muss. Stattdessen braucht es einen Paradigmenwechsel, bei dem bestmögliche Sicherheit die Grundlage zur Integration von neuer Technologie wird.

Nur so kann das Außmaß der Vorfälle eingedämmt werden. Eine unverschlüsselte Speicherung von kritischen Passwörtern wie bei Knuddels ist eine grobe Fahrlässigkeit. Starke Verschlüsselungslösungen so weit entwickelt, dass sie als Standard in unterschiedliche Umgebung ohne nennenswerte Performanceverluste integriert werden können – und zwar nicht erst seit heute . Sie hätten den Verlust in diesem Fall unterbunden – selbst, wenn sich die Angreifer über einen ungepatchten Server den Zugang erschleichen konnten, wären die Zugangsdaten ohne den entsprechenden Schlüssel nutzlos gewesen.

Viele Unternehmen haben bereits begonnen, ihre IT-Infrastruktur umzubauen und an die heutige Zeit anzupassen. Wachsende Datenmengen und individuelle Umstände der Unternehmen führen zu unterschiedlichen Bewertungen von Cloud & Service-Modellen. Hier spielen sich wichtige Entscheidungen für die Weichenstellung bei der Digitalisierung ab. Genau dabei müssen aber Sicherheitsaspekte miteinbezogen werden.

Fazit: Modernisierung geht nur mit Sicherheit

Unternehmen müssen realisieren, dass IT-Sicherheit ein fundamentales Element der Digitalisierung ist und dass sie Herausforderungen nicht mehr länger aussitzen können. Natürlich werden Daten immer wieder durch Cyberkriminelle gestohlen, aber genau deshalb sollte man sich sorgfältig auf den Fall der Fälle vorbereiten. Leider zeigen die aktuellen Ereignisse, dass genau das Gegenteil der Fall ist.

Datenschutz und digitale Innovation können problemlos Hand in Hand gehen – wenn man das Thema Sicherheit von Anfang an mit auf die Agenda setzt und wichtige Schutzmechanismen wie starke Verschlüsselung oder Multi-Faktor-Authentifizierung über alle Segmente integriert. Ein solches Commitment ist die Grundlage für die erfolgreiche Digitalisierung.

Weitere Informationen zum Thema:

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 10.07.2017
Gemalto: Unternehmen sammeln mehr Daten als sie verarbeiten können

datensicherheit.de, 29.06.2017
Neue Ransomware-Angriffe: Unternehmen sollten ihren eigenen Fortschritt bewerten