[datensicherheit.de, 25.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in einer aktuellen Meldung auf die problematische Lage der Cyber-Sicherheit in Arztpraxen – BSI-Studien zeigen demnach „dringenden Handlungsbedarf“ auf.

Gesundheitswesen: Cyber-Angriffe nehmen zu

Cyber-Angriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen würden immer häufiger das Ziel von Hacker-Angriffen. „Ein zentraler IT-Knotenpunkt unseres Gesundheitswesens ist die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen.“

Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen werde bisher kaum erfasst, „obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind“. Darum habe das BSI mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden könne.

SiRiPrax-Studie: Umsetzungsgrad der Richtlinie und Verbesserungspotenziale hinsichtlich Cyber-Sicherheit

In einer deutschlandweiten Umfrage habe das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gem. § 75b SGB V in ca. 1.600 Arztpraxen gewinnen können. Die Richtlinie adressiere Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasse auch Anforderungen an die sichere Installation und Wartung der in der vertragsärztlichen Versorgung genutzten Komponenten und Dienste der TI. „Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren.“

Lediglich ein Drittel der Befragten habe eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen angegeben. „Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren.“

Zusätzlich habe sich gezeigt, „dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen“. Zudem sei festgestellt worden, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirke.

Ergebnisse der Studie CyberPraxMed weisen auf schwerwiegende Sicherheitsmängel hin

Parallel sei in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt worden, Cyber-Risikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. „Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der ,Faktor Mensch’, also personelle Aspekte, in den Blick genommen.“ Die Auswahl der Arztpraxen sei nach den Kriterien des Fachgebiets, der Anzahl der und Mitarbeiter sowie der geographischen Lage erfolgt.

Im Rahmen dieses Projekts habe das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. „So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten.“ Zudem seien in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt gewesen.

„Ziel des Projekts ist es, Artpraxen einen Projektbericht, der die gefundenen Schwachstellen zusammen mit einer Risikobewertung und Handlungsempfehlungen auflistet, zur Verfügung zu stellen.“ Darin enthalten sei eine Handreichung mit pragmatischen, schnell umsetzbaren Maßnahmen, deren Umsetzung Ärzten die Möglichkeit biete, ihre Praxen mit geringem Aufwand robuster gegen Cyber-Angriffe zu machen.

Viele Cyber-Sicherheitsmängel könnten schnell und ressourcenschonend behoben werden

BSI-Präsidentin Claudia Plattner kommentiert: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“

Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex „Digital Health“ gebe es auf der Gesundheits-IT-Fachmesse „DMEA“ vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 sollen Interessierte die Möglichkeit haben, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cyber-Sicherheit in Arztpraxen und im Rettungswesen zu informieren.

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

datensicherheit.de, 05.05.2020]
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 28.08.2019
Awareness in Arztpraxen: Datenpannen vermeiden / Sensibilisierung ist unabdingbar, aber nur die eine Seite der Medaille

[datensicherheit.de, 22.08.2019] Venafi hat am 22. August 2019 die Ergebnisse einer Studie zu gesetzlich vorgeschriebenen Verschlüsselungs-Hintertüren bekanntgegeben. Die Studie hat demnach die Meinungen von 384 IT-Sicherheitsexperten bewertet, die an der „Black Hat USA 2019“-Messe teilnahmen. Laut den Ergebnissen glaubten 80 Prozent der Befragten, dass Länder mit gesetzlich vorgeschriebenen Hintertüren in Verschlüsselungen anfälliger für Cyber-Angriffe auf die IT-Infrastruktur hinter ihren nationalen Wahlen sind. „Im letzten Monat berichtete das ,U.S. Senate Intelligence Committee‘, dass die Wahl-Systeme in allen 50 US-amerikanischen Staaten während der Wahlen 2016 von Russland ins Visier genommen wurden“, sagt Kevin Bocek, „Vice President, Threat Intelligence and Security Strategy“ bei Venafi.

Foto: Venafi

Kevin Bocek: Hintertüren in Verschlüsselungen erhöhen dramatisch die Gefahren eines Cyber-Angriffes!

Wahlen sowie digitale Wirtschaft als Ganzes in Gefahr

„Wir wissen, dass Hintertüren in Verschlüsselungen die Gefahren eines Cyber-Angriffes dramatisch erhöhen, und die sensiblen Daten, die unsere nationale Sicherheit beeinträchtigen könnten, sind besonders gefährdet“, warnt Bocek. Die IT-Sicherheits-Community sei sich weitgehend einig, dass solche Hintertüren katastrophale Auswirkungen auf die Integrität „unserer Wahlen sowie auf unsere digitale Wirtschaft als Ganzes“ hätten.

Einige Ergebnisse der Umfrage:

• 74 Prozent hätten zu Protokoll gegeben, dass Länder mit gesetzlich vorgeschriebenen Hintertüren anfälliger für nationalstaatliche Angriffe seien.
• 72 Prozent glaubten, dass solche, den Regierungen den Zugang zu verschlüsselten personenbezogenen Daten ermöglichenden Gesetze die Länder nicht besser vor Terroristen schützten.
• 70 Prozent glaubten, dass Länder mit gesetzlich vorgeschriebenen IT-Hintertüren einen wirtschaftlichen Nachteil auf dem globalen Markt hätten.
• 84 Prozent würden niemals wissentlich ein Gerät oder Programm eines sich zur Installation einer Hintertür bereit erklärenden Unternehmens verwenden.

Vertrauen ist unbezahlbar

„Als Verbraucher wollen die Menschen eine Technologie, die der Sicherheit und dem Datenschutz ihrer personenbezogenen Daten den Vorrang einräumt. Diese Art von Vertrauen ist unbezahlbar“, betont Bocek. Hintertüren für Verschlüsselungen würden unsere Länder nicht nur auf nationaler Ebene viel unsicherer machen, sondern sie hätten eindeutig das Potenzial, erheblichen wirtschaftlichen und politischen Schaden anzurichten.

Regierungs- und Strafverfolgungsbehörden halten Risiken für hinnehmbar

Viele Regierungs- und Strafverfolgungsbehörden weltweit glaubten dagegen, „dass die Risiken, die verordnete Hintertüren mit sich bringen, hinnehmbar sind, solange jene dazu verwendet werden können, böswillige Akteure zu fangen“. Außerdem seien die Beamten der Auffassung, dass es eine technische Lösung gebe, die diese Risiken mindern könne. Tatsächliche Fachleute für Informationssicherheit jedoch lehnten überwiegend diese Überzeugungen ab.

Weiterführende Informationen:

VENAFI, Eva Hanscom, 20.08.2019
Will Encryption Backdoors Hurt Election Infrastructure? Security Professionals Say Yes.

datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 03.07.2017
Online-Wahlen: 70 Prozent halten Hacking-Attacken für wahrscheinlich

[datensicherheit.de, 29.06.2016] Naive Mitarbeiter stellen laut einer Studie von Splunk und IDC eine größere IT-Sicherheitsbedrohung für Unternehmen dar als böswillige. Diese Studie zeigt demnach, dass die meisten europäischen Unternehmen durch Insider verursachte Sicherheitsverstöße kaum wahrnehmen, da sie nicht wissen, woran sie diese erkennen.

Europäische Unternehmen blind gegenüber Bedrohungen aus eigenen Reihen

Splunk hat gemeinsam mit IDC eine europäische Studie mit dem Titel “Detecting and Responding to the Accidental Breach: The Impact of the Hapless User” („Unbeabsichtigte Sicherheitsverstöße erkennen und mit Gegenmaßnahmen reagieren: Die Auswirkungen unbeabsichtigter Handlungen von Benutzern“) veröffentlicht.
Die von Splunk in Auftrag gegebene Erhebung zeige, dass europäische Unternehmen Bedrohungen aus den eigenen Reihen nicht wirklich begriffen. Sie seien einer der Hauptgründe für Sicherheitsverstöße und könnten sowohl von böswilligen Mitarbeitern als auch von unbedachten Nutzern stammen.

Mangelhafte Früherkennung

Acht von zehn Unternehmen verließen sich zu sehr auf Sicherheitsmaßnahmen, die auf Systemschutz ausgelegt seien. Die Technologien würden allerdings keine zu einem Sicherheitsverstoß führenden Nutzeraktivitäten erkennen. Dementsprechend könnten Unternehmen nicht reagieren.
Fast ein Drittel der Befragten nutze keine grundlegenden Methoden der Bedrohungserkennung, und weniger als ein Fünftel verlasse sich auf eine Security-Analytics-Lösung.

Falscher Gefahren-Fokus

Unbedachte Nutzer stellten eine größere Bedrohung dar als böswillige Mitarbeiter. Nur zwölf Prozent der Befragten stuften sogenannte „Insider Threats“ als sehr besorgniserregend ein. Die meisten Unternehmen sähen ein größeres Risiko in Viren (67 Prozent), hochentwickelten, andauernden Bedrohungen (Advanced Persistent Threats) (42 Prozent), Phishing-Attacken (28 Prozent) und fahrlässig handelnden Nutzern (27 Prozent).
Die meisten dieser Attacken könnten auch von einer anderen Art der unternehmensinternen Bedrohung stammen – dem „naiven“ Nutzer, dessen persönliche Zugangsdaten entwendet würden. Dadurch, dass Unternehmen diese Art von Nutzer nicht im Blick hätten, hielten sie an den falschen Stellen Ausschau nach Attacken und Datenschutzverletzungen.

Durch Insider verursachte Sicherheitsverstöße kaum erkannt

Unternehmen würden durch Insider verursachte Sicherheitsverstöße kaum erkennen. Die Umfrageteilnehmer nennen demnach drei Hürden bei der Untersuchung von Sicherheitsverletzungen im eigenen Unternehmen:

• Unwissenheit darüber, wonach Ausschau gehalten werden muss (40 Prozent),
• mangelndes Training (39 Prozent) und
• fehlende Kenntnis, was in den verschiedenen Abteilungen des

Unternehmens als „normales Nutzerverhalten“ erachtet wird (36 Prozent).
Den meisten Unternehmen fehlten die Technologien, das Verständnis und die Konzepte dafür, Sicherheitsverstöße rechtzeitig zu erkennen. Ein Großteil der europäischen Unternehmen verlasse sich noch auf für den traditionellen Netzwerk-Perimeterschutz entwickelte Technologien. Fast alle Befragten würden den Mehrwert von Firewalls (98 Prozent) und Antiviren-Software (96 Prozent) erkennen – jedoch halte es kaum jemand für nötig, diese durch „Security Analytics“ (15 Prozent) oder „User Behavior Analytics“ und Anomalieerkennung (12 Prozent) abzusichern. Damit würden sich Sicherheitsverletzungen jedoch erkennen lassen, sobald sie stattfinden. Hinzu komme, dass weniger als die Hälfte der Teilnehmer ein internes „Computer Emergency Reponse Team“ (CERT) (41 Prozent) oder ein „Security Operations Center“ (SOC) (34 Prozent) habe.

Datenschutzverletzungen unvermeidbar

Europäische Unternehmen müssten sich eine „Detect-and-Respond“-Mentalität aneignen, betont Haiyan Song, „Senior Vice President of Security Markets“ bei Splunk. Da sich Bedrohungsmuster stets änderten, sollten Sicherheitsteams datengetriebenes „Security Information and Event Management“ (SIEM) sowie maschinelles Lernen nutzen, um verdächtige und böswillige Nutzeraktivitäten frühzeitig zu identifizieren. „Mit diesen Lösungen erkennen, erforschen und reagieren Unternehmen automatisiert und angemessen auf Datenschutzverstöße“, erläutert Song. So vermieden sie einen Reputationsverlust und finanzielle Schäden durch solche Vorfälle.
Sicherheitsverstöße ließen sich auf Dauer nie ganz vermeiden – Sicherheitsexperten falle es allerdings schwer, das zu akzeptieren. Nicht umsonst verwendeten sie große Budgets dafür, Verstöße zu verhindern, so Duncan Brown, „Research Director, European Security Practice“ bei IDC. Der Großteil der Unternehmen habe in den vergangenen zwei Jahren einen Sicherheitsverstoß erlebt. Im Durchschnitt brauchten Firmen aber acht Monate, um solche Sicherheitslecks überhaupt zu erkennen. „Es ist aber wichtig, dass Unternehmen Sicherheitsverletzungen genau dann bemerken, wenn sie passieren“, unterstreicht Brown. Mit einem datengetriebenen Ansatz könnten sie Bedrohungen frühzeitig erkennen und angemessen darauf reagieren. So könnten Unternehmen mit allen Arten von Bedrohungen umgehen – vom Hacker über den Unbedachten bis hin zum böswilligen Mitarbeiter.

Weitere Informationen zum Thema:

IDC
DETECTING AND RESPONDING TO THE ACCIDENTAL BREACH: THE IMPACT OF THE HAPLESS USER

[datensicherheit.de, 17.01.2014] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt 2014 eine Reihe von Studien durch, die sich mit der IT-Sicherheit im Bereich Kritischer Infrastrukturen (KRITIS) befassen. Im Zuge der Vorbereitungen der Studien ruft das BSI die Betreiber Kritischer Infrastrukturen sowie deren Fach- und Branchenverbände dazu auf, sich an den Studien zu beteiligen und sich bei Interesse an einer Mitwirkung an das BSI zu wenden.

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Ziel der Studien ist es, Erkenntnisse und Einblicke in die Abhängigkeiten der Kritischen Versorgungsdienstleistungen und der dabei eingesetzten IT-Systeme zu erhalten. Das BSI nutzt die Studienergebnisse unter anderem dazu, die Prävention und die Schutzmaßnahmen zu optimieren und für die KRITIS-Betreiber praxisnahe Handlungsempfehlungen zur Verbesserung der Cyber-Sicherheit zu entwickeln.

Im Rahmen der Studien soll unter anderem untersucht werden, welche Kritischen Versorgungsdienstleistungen von den KRITIS-Betreibern erbracht werden, inwieweit diese Versorgungsdienstleistungen branchenübergreifend voneinander und von IT-Systemen abhängen, und welche Auswirkungen Beeinträchtigungen dieser IT-Systeme auf die Qualität der Kritischen Versorgungsdienstleistungen haben können. Das BSI wird folgende KRITIS-Sektoren mit ihren zugehörigen Branchen untersuchen:

• Energie: Elektrizität, Gas und Mineralöl
• Ernährung: Ernährungswirtschaft und Lebensmittelhandel
• Wasser: öffentliche Wasserversorgung und öffentliche Abwasserbeseitigung
• Informationstechnik und Telekommunikation
• Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr und Straßenverkehr

Das BSI ruft die Betreiber Kritischer Infrastrukturen sowie deren Fach- und Branchenverbände dazu auf, sich an den Studien zu beteiligen. Eine Beteiligung ist beispielsweise möglich durch die Bereitschaft zu Interviews zu den oben genannten Fragestellungen, durch Mitarbeit in einem die Studien begleitenden Beratungsgremium oder auch durch die Validierung der Ergebnisse. Unternehmen und Institutionen, die an den Studien mitarbeiten möchten, können sich bis 15. Februar 2014 formlos per E-Mail unter kritische.infrastrukturen@bsi.bund.de an das BSI wenden. Mit der Interessensbekundung gehen keine Verpflichtungen einher.

Für alle Organisationen mit Sitz in Deutschland, die Kritische Infrastrukturen in Deutschland betreiben, für nationale Fach- und Branchenverbände sowie für die zuständigen Behörden besteht die Möglichkeit, Teilnehmer des UP KRITIS zu werden. Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Weitere Informationen zur Teilnahme am UP KRITIS sowie zum Thema KRITIS und Kritische Informationsinfrastrukturen sind im Web unter http://www.kritis.bund.de abrufbar.