Verlässlicher Schutz für lebensrettende medizinische IoT-Geräte

This post is also available in: English (Englisch) 简体中文 (Vereinfachtes Chinesisch) 繁體中文 (Traditionelles Chinesisch) Français (Französisch) 日本語 (Japanisch) 한국어 (Koreanisch) Español (Spanisch)

Schützen Sie alle vernetzten Geräte mit Zero Trust-Sicherheit, die speziell auf medizinische Anwendungen zugeschnitten ist.

Vernetzte medizinische Geräte revolutionieren das Gesundheitswesen. Sie verbessern die Patientenerfahrung durch schnellere und genauere Diagnosen und insgesamt bessere Heilungschancen, senken die Betriebskosten und steigern die Effizienz durch Automatisierung. Vernetzte klinische und operative IoT-Geräte findet man heute überall, von der Patientenüberwachung bis hin zu Bürosystemen. Doch diese Geräte vergrößern auch die Angriffsfläche und erweisen sich zu oft als das sprichwörtliche schwächste Glied, über das Angreifer sich Zugang zu Krankenhausnetzwerken verschaffen können.

Das Gesundheitswesen ist nach wie vor die Branche, auf die die meisten Angriffe verübt werden, und die in diesem Sektor durch Cyberangriffe verursachten Schäden waren in den letzten zwölf Jahren (2010–2022) durchweg größer als in allen anderen Branchen. Das sollte nicht überraschen, denn vernetzte medizinische Geräte sind eine leichte Beute für Angreifer, die Lösegelder von Krankenhäusern erpressen oder die auf diesen Geräten gespeicherten vertraulichen Patientendaten stehlen wollen.

Untersuchungsergebnissen des Bedrohungsforschungsteams Unit 42 von Palo Alto Networks zufolge sind medizinische Geräte die schwächsten Punkte vieler Krankenhausnetzwerke, weil sie kritische Schwachstellen aufweisen:

• 75 % der untersuchten Infusionspumpen hatten mindestens eine Schwachstelle oder generierten mindestens einen Sicherheitsalarm.
• Bildgebende Geräte wie Röntgenapparate, MRT- und CT-Scanner erwiesen sich als besonders anfällig für Angriffe. 51 % der Röntgenapparate waren allein über die schwerwiegende bekannte Schwachstelle CVE-2019-11687 angreifbar.
• 20 % der weit verbreiteten bildgebenden Geräte nutzten eine nicht mehr unterstützte Version von Windows.
• 44 % der CT-Scanner und 31 % der MRT-Scanner waren mit als schwerwiegend eingestuften CVEs angreifbar.

Die Anzahl der Geräte und deren Schwachstellen sind jedoch nur die Spitze des Eisbergs, was die Sicherung vernetzter medizinischer Geräte betrifft. Das wird unter anderem durch die aktuellen Cyberangriffe auf das von CommonSpirit Health betriebene Krankenhaus St. Joseph in Lexington (USA), das Centre Hospitalier Sud Francilien (CHSF) in Paris und das All India Institute of Medical Sciences (AIIMS) in Delhi deutlich.Im Oktober 2022 veröffentlichte die US-amerikanische Agentur für Cyber- und Infrastruktursicherheit CISA einen Hinweis für das Gesundheitswesen, in dem vor einer Angreifergruppe gewarnt wird, die mit Ransomware und Datendiebstahl Lösegelder von Einrichtungen des privaten und öffentlichen Gesundheitswesens erpresst und dazu insbesondere Datenbanken, bildgebende und Diagnosesysteme in deren Netzwerken angreift.

Der Schutz moderner medizinischer Geräte ist aus mehreren Gründen schwierig:

• Eine unzureichende Übersicht über nicht verwaltete, aber vernetzte medizinische Geräte erschwert die Abbildung und Überwachung der tatsächlichen Angriffsfläche.
• Schwachstellen, die durch fehlenden Gerätekontext unerkannt bleiben, machen Krankenhäuser anfällig für unbekannte Bedrohungen.
• Veraltete Sicherheitsarchitekturen mit flachen Netzwerken und fehleranfälligen manuellen Methoden zur Erstellung von Sicherheitsrichtlinien können die Einhaltung geltender Vorschriften wie HIPAA erschweren.
• Wenn zahlreiche Punktlösungen zur Sicherung einer Umgebung genutzt werden, wird das Management komplizierter und die Gefahr, dass Sicherheitslücken entstehen, größer.

Einrichtungen des Gesundheitswesens benötigen eine umfassende, auf dem Zero Trust-Prinzip basierte Sicherheitslösung, die ihre digitale Transformation unterstützt, zur Verbesserung der Behandlungsergebnisse beiträgt und gleichzeitig die Privatsphäre der Patienten schützt und die Einhaltung der einschlägigen Vorschriften erleichtert. Zero Trust ist eine Cybersicherheitsstrategie, die völlig auf implizites Vertrauen verzichtet und jeden Schritt jeder digitalen Interaktion kontinuierlich validiert. Diese Strategie lässt sich mit „niemandem vertrauen, alles verifizieren“ zusammenfassen und zielt darauf ab, moderne digitale Umgebungen (z. B. im Gesundheitswesen) zu schützen, indem nur die absolut erforderlichen Zugriffsrechte vergeben und Richtlinien zur kontinuierlichen Prüfung und Überwachung des Geräteverhaltens durchgesetzt werden, um auch Zero-Day-Angriffe zu blockieren.

Palo Alto Networks bietet den umfassendsten und schnellsten Ansatz zum Umsetzen von Zero Trust-Sicherheit, damit Sie sich ganz auf Ihr Spezialgebiet konzentrieren können – eine erstklassige und zuverlässige Patientenversorgung.

Mit Medical IoT Security bringt Palo Alto Networks eine speziell für medizinische Geräte entwickelte IoT-Sicherheitslösung auf den Markt, die auf unserer bewährten IoT-Sicherheitstechnologie und dem Zero Trust-Prinzip basiert und maschinelles Lernen (ML) nutzt, um alle Geräte schnell zu finden und zu bewerten, die Netzwerksegmentierung und das Least Privilege-Prinzip durchzusetzen und bei einfacherem Betrieb vor bekannten und unbekannten Bedrohungen zu schützen. Um das Sicherheitsniveau zu stärken und Schwachstellen zu reduzieren, können Einrichtungen des Gesundheitswesens mit diesem neuen Produkt zudem:

• Die Netzwerksegmentierung prüfen: Veranschaulichen Sie sich die gesamte Karte aller vernetzten Geräte und stellen Sie sicher, dass sich jedes Gerät im richtigen Netzwerksegment befindet. Durch die korrekte Netzwerksegmentierung können Sie dafür sorgen, dass Geräte nur mit autorisierten Systemen kommunizieren.
• Sicherheitsmaßnahmen über Regeln automatisieren: Sie können Richtlinienregeln erstellen, um Anomalien im Geräteverhalten zu erkennen und automatisiert auf sie zu reagieren. Wenn beispielsweise ein medizinisches Gerät, das nachts normalerweise nur kleine Datenmengen sendet, plötzlich sehr viel Bandbreite beansprucht, könnte dieses Gerät automatisch vom Internet abgeschnitten und das Sicherheitsteam benachrichtigt werden.
• Best Practices-Richtlinien nach dem Zero Trust-Prinzip erstellen und die Durchsetzung automatisieren: Für Geräte mit der entsprechenden Sicherheitstechnologie können Sie die empfohlenen Least Privilege-Richtlinien mit einem Klick durchsetzen. Dadurch entfällt zum einen die fehleranfällige und zeitaufwendige manuelle Erstellung von Richtlinien und zum anderen können Sie Richtlinien ganz unkompliziert auf alle Geräte mit demselben Profil anwenden.
• Geräteschwachstellen und -risiken verstehen: Sie erhalten eine sofortige Übersicht über die mit jedem Gerät verbundenen Risiken, wie das Enddatum der Herstellerunterstützung, FDA-Rückrufaktionen, Alarme für Standardpasswörter und unbefugte Kommunikation mit externen Websites. Hinzu kommen MDS2, CVEs, Verhaltensanomalieerkennung und Forschungsergebnisse von Unit 42. Sie erhalten Zugang zu den Softwarestücklisten (SBOM) aller medizinischen Geräte und können diese mit veröffentlichten Schwachstellen (CVEs) abgleichen. So können Sie ermitteln, welche Softwarebibliotheken Ihre medizinischen Geräte nutzen und welche Anfälligkeiten dadurch möglicherweise entstehen.
• Die Compliance verbessern: Verschaffen Sie sich einen Überblick über die Schwachstellen, den Patch-Zustand und die Sicherheitseinstellungen Ihrer medizinischen Geräte und holen Sie sich dann Empfehlungen zur Umsetzung relevanter Vorschriften und Leitlinien wie der EU-Datenschutzgrundverordnung (EU-DSGVO), dem Health Insurance Portability Accountability Act (HIPAA) usw.
• Den Betrieb vereinfachen: Auf zwei verschiedenen Dashboards werden den IT- und Biomedizintechnik-Teams die für ihre Rolle relevanten Informationen angezeigt. Integrationen für bereits vorhandene Informationsmanagementsysteme für das Gesundheitswesen, wie AIMS und Epic Systems, unterstützen die Automatisierung von Arbeitsabläufen.
• Anforderungen bezüglich der Datenhoheit einhalten: Medical IoT Security erleichtert es unseren Kunden in Deutschland, den USA, Singapur, Japan und Australien, starke IoT-Sicherheit zu implementieren und ihre Daten in Clouds in ihrer Region zu hosten. Unsere regionalen Medical IoT Security-Services sorgen dafür, dass die Vorgaben der EU-DSGVO und vergleichbarer Vorschriften bezüglich des Speicherortes der Daten erfüllt werden können.

Medical IoT Security gibt praxistaugliche Ratschläge

Die Transformation des Gesundheitswesens zur Verbesserung der Patientenversorgung ist noch nicht abgeschlossen. Die Anzahl der vernetzten medizinischen Geräte wird daher weiter steigen. Mit Medical IoT Security können Sie Ihre vernetzten klinischen Geräte dennoch sicher nutzen, denn die Lösung basiert auf einem robusten Zero Trust-Framework und gibt praxistaugliche Ratschläge für die Sicherung Ihrer Geräte während deren gesamten Lebenszyklus. Zudem behalten Sie mit Medical IoT Security stets alle vernetzten medizinischen Geräte und Anwendungen sowie die mit ihnen verbundenen Risiken im Blick und können Ihr Sicherheitsniveau durch automatisierte Maßnahmen stärken.

Wenn Sie mehr über Medical IoT Security wissen möchten, lesen Sie unser Whitepaper The Right Approach to Zero Trust for Medical IoT Devices (Der richtige Zero Trust-Ansatz für medizinische IoT-Geräte).