Cyber-Sicherheit im Gesundheitswesen - ein besserer Weg zum Schutz von Patientendaten
Der hippokratische Eid befiehlt Ärzten, "zuerst keinen Schaden anzurichten". Die Angehörigen der Gesundheitsberufe haben eine stolze Tradition, diese Verpflichtung gegenüber ihren Patienten einzuhalten - aber in der heutigen datenzentrierten Welt sind sie ebenso verpflichtet, die geschützten Gesundheitsinformationen (PHI), persönlich identifizierbare Informationen (PII) und Finanzdaten ihrer Patienten zu schützen. Und ironischerweise kann eine der gängigsten "Sicherheits"-Maßnahmen, die Gesundheitsorganisationen zur Stärkung der Cybersicherheit ergreifen, nämlich die Verschlüsselung von Daten unterwegs, die Patientendaten tatsächlich anfälliger für Angriffe machen. Durch den Einsatz von Verschlüsselung zum Schutz der Kommunikation machen sie es Firewalls und anderen Sicherheitsgeräten unmöglich, bösartigen Datenverkehr und Dateien zu erkennen, die sich im legitimen Datenverkehr verstecken. Die Entschlüsselung für die TLS/SSL-Prüfung könnte ein praktikabler Ansatz sein, hat aber in der Regel hohe Kosten, Skalierbarkeit und Leistung gekostet. Was werden also medizinische Zentren, Versicherungsanbieter, Abrechnungsdienstleister und andere Organisationen im Gesundheitswesen tun?
Um ihrer Verantwortung gegenüber den Patienten gerecht zu werden, müssen die Unternehmen des Gesundheitswesens zunächst einmal verstehen, dass Verschlüsselung zwar den Datenschutz, nicht aber die Sicherheit gewährleistet - und dass sie die Sicherheit in gewisser Weise sogar untergraben kann. Um zu vermeiden, dass mehr Probleme als Lösungen entstehen, müssen sie einen Weg finden, die Verschlüsselung zu nutzen, ohne die Effektivität des restlichen Sicherheitssystems zu untergraben.
Die Risiken für Patientendaten und die Organisationen, die sie speichern
Die Natur des Gesundheitswesens macht die Cybersicherheit zu einer entscheidenden Herausforderung für Ärzte und unterstützende Organisationen. Aufgrund der großen Mengen an PHI, PII und Finanzdaten sind sie ein beliebtes Ziel für Angriffe wie Ransomware und Datendiebstahl. Außerdem unterliegen sie strengen Vorschriften zur Einhaltung von Datenschutzbestimmungen, was die Bedeutung eines wirksamen Datenschutzes noch erhöht. Es gibt unzählige Möglichkeiten, wie etwas schiefgehen kann, von einem Fehler eines gutwilligen Mitarbeiters über Sabotage durch einen böswilligen Insider bis hin zu einem direkten Angriff durch Phishing oder trojanerbasierte Malware durch Hacker, die auf der Suche nach sensiblen Daten für den illegalen Verkauf oder die Ausbeutung sind.
Die Auswirkungen einer Sicherheitsverletzung können verheerend sein. Die berüchtigten WannaCry-Ransomware-Angriffe von 2017 trafen Ziele in 150 Ländern weltweit. Zu den Opfern gehörte auch der britische National Health Service, der die Absage von mehr als 19.000 Terminen mit Kosten in Höhe von 20 Millionen Pfund (25 Millionen Euro) erzwang und Systemreparaturen und -aufrüstungen in Höhe von weiteren 72 Millionen Pfund (90 Millionen Euro) erforderlich machte. Im Februar 2015 betraf ein Datenschutzverstoß bei Anthem, Inc. fast 80 Millionen Menschen und führte zu einer rekordverdächtigen Geldstrafe in Höhe von 16 Millionen US-Dollar durch das Office for Civil Rights (OCR) des Department of Health and Human Services sowie zu einem zivilrechtlichen Vergleich in Höhe von 115 Millionen US-Dollar.
Einhaltung der Vorschriften gebietet Wachsamkeit
Seit 1996 stellt das US-Gesundheitsversicherungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) strenge Anforderungen an den Schutz von Gesundheitsdaten, die in elektronischer Form gespeichert oder übertragen werden. Verstöße können empfindlich geahndet werden, unter anderem mit Geldstrafen von bis zu 1,5 Millionen Dollar pro Verstoßkategorie und Jahr. Allein im vergangenen Jahr zahlte Cottage Health 3 Millionen Dollar, um einen Fall von möglicher Nichteinhaltung des HIPAA beizulegen; Touchstone Medical Imaging zahlte 3 Millionen Dollar nach einem Verstoß, bei dem die PHI von über 300.000 Patienten offengelegt wurden; und Jackson Health System zahlte über 2,15 Millionen Dollar an zivilrechtlichen Strafen für eine Reihe von HIPAA-Verstößen.
Die Gesamtauswirkungen belaufen sich auf 3,9 Millionen Dollar, wobei die durchschnittlichen Kosten pro verlorenem Datensatz bei 150 Dollar liegen.
Die neu eingeführte GDPR-Vorschrift birgt nun ähnliche Risiken in der EU. Bereits im vergangenen Juli verhängte die EU gegen British Airways eine Geldstrafe in Höhe von 183 Millionen Pfund (228 Millionen Dollar) , weil sie die persönlichen Daten von 500.000 Kunden weitergegeben hatte. Es ist nur eine Frage der Zeit, bis sich Unternehmen, die über gesundheitsbezogene Daten verfügen, in der gleichen Lage befinden. Abgesehen von den Kosten kann der Imageschaden langfristige Auswirkungen auf die Rentabilität, das Wachstum und sogar die Überlebensfähigkeit eines Unternehmens nach einem aufsehenerregenden Fehler im Bereich der Cybersicherheit haben.
Die Probleme mit der Ver- und Entschlüsselung
Die meisten Unternehmen verlassen sich heute auf Verschlüsselung, um ihre Internetkommunikation zu schützen. Laut dem Google-Transparenzbericht werden über 90 Prozent des Datenverkehrs, den das Unternehmen und seine Produkte empfangen, über SSL- (Secure Sockets Layer) oder TLS- (Transport Layer Security) Verbindungen verschlüsselt. Das Gleiche gilt für andere Browser. Organisationen des Gesundheitswesens bilden bei diesem Trend keine Ausnahme - und Hacker auch nicht. Mehr als die Hälfte der Malware-Angriffe, die heute zu beobachten sind, nutzen irgendeine Form der Verschlüsselung, um die Kommunikation herzustellen oder in Systeme einzudringen.
Laut dem Google-Transparenzbericht werden 94 % des Internetverkehrs über SSL- oder TLS-Verbindungen verschlüsselt.
Verschlüsselung scheint zwar eine einfache und kostengünstige Methode zu sein, um Spoofing, Man-in-the-Middle-Angriffe und andere gängige Angriffe abzuwehren, aber sie birgt in jeder Phase eines typischen Angriffs Probleme. Wenn ein Hacker versucht, die Netzwerkverteidigung zu durchdringen, macht die Verschlüsselung die Malware für die Sicherheitsinfrastruktur des Unternehmens unsichtbar, einschließlich ATP-Systemen (Advanced Threat Protection), IDS-Systemen (Intrusion Detection), IPS-Systemen (Intrusion Prevention), Firewalls, Antiviren-Software und sicheren Web-Gateways. Wenn die Malware versucht, eine Verbindung zu Befehls- und Kontrollservern herzustellen, macht es die Verschlüsselung unmöglich, diese Kommunikation zu verfolgen oder zu stoppen. Und wenn die Malware beginnt, gezielte Dateien auszuschmuggeln, macht die Verschlüsselung wiederum herkömmliche Geräte zur Verhinderung von Datenverlusten (DLP) und forensische Geräte blind. Einfach ausgedrückt: Verschlüsselung kann dazu führen, dass der Rest des Sicherheitsstapels zum Stoppen eines Angriffs unbrauchbar wird.
Eine theoretische Lösung bestünde darin, den eingehenden Datenverkehr zu entschlüsseln, um eine Überprüfung zu ermöglichen, wie es die neuesten Firewalls der nächsten Generation (NGFW) und Intrusion-Prevention-Systeme bieten. In der Praxis erweist sich dies jedoch meist als wenig praktikabel. Ein von NSS Labs durchgeführter Test ergab eine durchschnittliche Leistungsverschlechterung von 60 Prozent, wenn die Entschlüsselung in einer NGFW aktiviert ist. Um diesen Verlust zu kompensieren, müssten diese Sicherheitsgeräte regelmäßig aufgestockt werden, um den Anforderungen des Netzwerks gerecht zu werden. Diese zusätzlichen Geräte und andere in der Sicherheitsinfrastruktur führen jedoch nur zu weiteren Latenzzeiten, zu Engpässen im Netzwerk und zu einer Erhöhung der Betriebskosten und der Komplexität des Netzwerks. Wiederholen Sie dieses Szenario für den Rest des Sicherheitsstapels, einschließlich DLP-, Antivirus-, Firewall-, IPS- und IDS-Systeme, die eine eigene Entschlüsselungsfunktion benötigen, und die daraus resultierenden Skalierbarkeitsprobleme, Kosten, Engpässe und Fehlerpunkte unterstreichen die Probleme mit diesem Ansatz.
Darüber hinaus kann eine verteilte Entschlüsselungsstrategie, wie oben beschrieben, zu mehreren Schwachstellen im Netz führen, da die wesentlichen privaten Schlüssel und Zertifikate auf mehrere Sicherheitsgeräte verteilt werden müssten, damit diese den Datenverkehr abfangen, entschlüsseln und wieder verschlüsseln können.
Ein besserer Weg zur Gewährleistung von Datenschutz und Sicherheit
Der Kern des Problems liegt nicht in der Ver- und Entschlüsselung an sich, sondern in der Art und Weise, wie diese Technologien implementiert wurden. Durch eine andere Herangehensweise können Unternehmen die Verschlüsselung weiterhin effektiv nutzen, ohne den Rest ihrer Sicherheitsinvestitionen zu gefährden. Die Lösung: Verlagerung des Schwerpunkts von der langsamen, ineffizienten und kostspieligen geräteweisen Entschlüsselung auf die zentralisierte Entschlüsselung mit einer einzigen dedizierten Lösung. Dadurch wird es möglich, den Datenverkehr einmal zu entschlüsseln, damit er von separaten Sicherheitsgeräten über den gesamten Stapel hinweg im Tandem geprüft und anschließend erneut verschlüsselt werden kann.
Mit diesem Modell können Organisationen den blinden Fleck der Verschlüsselung beseitigen, um Datenverletzungen und Cyberangriffe zu erkennen. Neben der Stärkung der Sicherheit können Organisationen dann auch die Einhaltung von Datenschutzstandards wie GDPR und HIPAA durchsetzen und sicherstellen - wichtige Anforderungen für jede Organisation im Gesundheitswesen.
Dieser Ansatz kann nun mit der Lösung A10 Networks Thunder ® SSL Insight vollständig umgesetzt werden. Sie bietet anderen Sicherheitslösungen einen vollständigen Einblick in den verschlüsselten Datenverkehr und erspart ihnen die CPU-intensiven SSL/TLS-Operationen, die die Leistung und Skalierbarkeit beeinträchtigen können. Ein zentraler Entschlüsselungspunkt sorgt für Spitzenleistung und eliminiert den Entschlüsselungs-Overhead für Geräte in der gesamten Sicherheitsinfrastruktur, während ein einziges Fenster die Transparenz, Verwaltung und Analyse vereinfacht.