Cybersecurity: „Holen Sie sich Experten an Bord“

by | Feb 29, 2024

Anhoren

Teilen

 

Cyberangriffe auf Einrichtungen des Gesundheitswesens nehmen auch in Deutschland zu. Doch die Sicherheitslücken sind noch viel größer als derzeit zu erkennen, glaubt Prof. Anel Tanovic. Im Gespräch mit der HealthCareTimes erklärt er nüchtern, sachlich, aber auch eindringlich, dass es Zeit ist, aufzurüsten.

 

Prof. Tanovic, wir erleben gerade, dass die Angriffe auf die IT-Infrastruktur im Gesundheitswesen zunehmen. Rückt der europäische Gesundheitssektor verstärkt ins Visier von Cyberkriminellen?

Viele Sektoren werden derzeit attackiert. Das Gesundheitswesen ist also nur ein Ziel unter vielen. Es ist nicht übertrieben, mittlerweile von einem Cyberkrieg zu sprechen, analog zum Kriegsgeschehen, das wir auch immer wieder in der realen Welt erleben. Entsprechend müssen Unternehmen Cybersecurity heute angehen: mit einer eigenen „Armee“ – in Form einer eigenen Abteilung für Cyber- und IT-Sicherheit – oder externen „Söldner“ – als mit versierten externen Dienstleistern. Und genau hier liegt das Problem. Die wenigsten Unternehmen räumen der IT-Sicherheit diesen Stellenwert ein und das ist der Grund, warum Cybervorfälle immer mehr zunehmen.

Ist es wirklich so einfach, sich vor Cyberangriffen zu schützen?

Was heißt einfach? In jedem Fall ist es für die Angreifer deutlich einfacher, Lücken und Einfallstore auszunutzen, wenn es im Unternehmen keine Experten gibt, die überhaupt auf diese Sicherheitsrisiken aufmerksam machen. In wie vielen Unternehmen gibt es denn heute schon eine Cybersicherheits-Abteilung oder einen Chief Information Security Officer? Aber soweit muss man noch nicht einmal gehen. Gerade im Gesundheitssektor sind in den meisten Unternehmen oder Kliniken noch nicht einmal Basis-Lösungen installiert.  

Was wären das für Basislösungen?

Ich rede hier wirklich von einer Art Grundausstattung: Incident Detection und Response, Ransomeware Detection oder ein Security-Eventmanagement-System. Also alles Lösungen, die sie mehr oder weniger fertig von der Stange kaufen können.

Ist den Kliniken und Unternehmen vielleicht nicht bewusst, dass sie solche Lösungen benötigen?

Jeder, der mit einem PC, einem Laptop, Smartphone oder Tablet im Internet unterwegs ist, benötigt Sicherheitslösungen. Das müsste heute eigentlich jedem klar sein.  

Lassen Sie es mich anders formulieren: Solange man noch nicht Opfer eines Angriffs geworden ist, fühlt man sich vermutlich sicher…

Woher wissen Sie, dass Sie noch nicht angegriffen wurden? Denn auch umfassende Analysen werden in der Regel nur sehr selten gefahren – was schade ist. Denn sie können zum einen dabei helfen, die passende Abwehr aufzustellen, aber natürlich auch dabei, überhaupt einmal aufzuzeigen, wie groß die Sicherheitslücken in den meisten Unternehmen und Häusern tatsächlich sind.

Sie sagen also, dass das Gesundheitswesen das Thema Cybersicherheit insgesamt auf eine ganz neue, eine deutlich professionellere Ebene heben muss. Das klingt allerdings auch teuer. Müssen die Budgets hierfür noch einmal ganz neu verteilt werden?

Definitiv. Cybersecurity hat für die meisten Unternehmen rund um den Globus rein gar nichts mit dem Kerngeschäft zu tun, weshalb Gelder hierfür in der Regel nur sehr zögerlich allokiert werden – verständlich, schließlich ist ein Return on Investment nicht unmittelbar zu erwarten. Hier braucht es ein Umdenken, denn wirkungsvolle Cyberabwehr benötigt ein entsprechendes Budget. Natürlich ist mir klar, dass das gerade in wirtschaftlich herausfordernden Zeiten kein leichtes Unterfangen ist. Und dennoch wird keine Klinik, kein Unternehmen, kein Sektor langfristig um dieses Invest herumkommen – auch weil die Angriffe und ihre Aufarbeitung am Ende deutlich teurer werden können.

Ist Outsourcing vor diesem Hintergrund die bessere Alternative, Sicherheitsstandards zu erhöhen?

In jedem Fall die effizientere. Denn gerade personelle Ressourcen sind knapp und damit hart umworben. Als kleines Haus oder auch mittelständisches Unternehmen wird es schwer, einen entsprechenden Personalstamm aufzubauen. Ein weiterer Vorteil von Cybersecurity „as a service“ ist die Erfahrung, die Dienstleister mitbringen. Unterschiedliche Branchen, verschiedene Kunden, immer wieder neue Angriffe, das schult und ist ein Asset, das kaum ein Unternehmen abseits seiner eigentlichen Kernkompetenz aufbauen kann.

Sie sagten ja bereits, Cybersecurity ist in den meisten Unternehmen keine Kernkompetenz. Was ist ihre Empfehlung, um das Thema zielgerichtet und effizient anzugehen, ohne dass es die Verantwortlichen überfordert?

Der erste Schritt: Holen Sie sich Experten an Bord, die alle bisherigen Sicherheitsmaßnahmen analysieren und Penetrationstests durchführen. Denn bevor man eine Verteidigung aufbauen kann, muss man wissen, was es zu verteidigen gilt. Erst dann macht es Sinn, Lösungen und Abwehrmechanismen zu installieren. Auch SOC kann hier ein möglicher Weg sein. Darunter versteht man eine Art Sicherheitsschaltzentrale, das Security Operation Center, wo alle Systeme sowie das gesamte Monitoring zusammenlaufen.

Ihre These ist, dass viele Unternehmen und Kliniken gar nicht wissen, dass sie Sicherheitslücken haben oder es bereits Angriffe gab. Gibt das Darknet Indizien darüber? Oder anders gefragt: Wie viele Informationen sind im Darknet bereits über deutsche Gesundheitseinrichtungen zu finden?

Wir haben tatsächlich erst kürzlich eine solche Analyse für eine Berliner Klinik gefahren und die Ergebnisse waren erschreckend, weil es überwältigend viele Treffer gab: E-Mail-Adressen, Kreditkarten, Whatsapp- und Telegram-Chatverläufe. Also alles, was das „Hackerherz“ begehrt. Das ist zwar nur ein Beispiel, aber leider eben kein Einzelfall.

Das klingt erschreckend. Es ist also höchste Zeit, aufzuwachen und entsprechende Gegenmaßnahmen zu ergreifen – vor allem mit fortschreitender Digitalisierung… 

Es ist vor allem Zeit, Aufklärung zu leisten – bei den Verantwortlichen, aber auch bei den Mitarbeitern. Denn nach wie vor sind sie es, die Hackern besonders häufig nach gezielten Phishing-Attacken Einfallstore öffnen. Genau wie Digitalisierung, muss auch Cybersecurity ganzheitlich gedacht und immer wieder angepasst werden. Die Kriegsanalogie ist leider keine abstrakte. Wie im echten Verteidigungsfall gilt es auch im Cyberkrieg, Verteidigungslinien und die Strategie immer wieder anzupassen.

 

Anel Tanovic ist Professor an der Faculty of Electrical Engineering der Universität Sarajevo und Gastprofessor an verschiedenen anderen europäischen Universitäten. Zudem ist er CTO bei dem IT- und Cyber-Security-Spezialisten SAAS Solutions.

Das könnte Sie auch interessieren

Pilotprojekt ErwiN gestartet

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

da Vinci-Single-Port und neue Professur in Mainz

Die Universitätsmedizin Mainz baut ihre Robotik-gestützte Chirurgie weiter aus und ist damit die erste Universitätsklinik in Deutschland, die über das da Vinci Single-Port-System verfügt.