Zwischen Standardisierung und Klumpenrisiko: Wie sicher ist der «Epic-Boom»?

Das Produkt von Epic wird zunehmend in der Schweiz eingeführt, da es unter anderem Standardisierung, Protokollierung und Zugriffskontrollen mitbringt. Dies ist, falls es denn richtig umgesetzt wird, ein Gewinn für die Sicherheit. Gleichzeitig können umfangreiche Werkzeuge wie dieses durch Fehlkonfigurationen und Schwachstellen breitflächige Kompromittierungen ermöglichen. Es ist also umso wichtiger, dass man das Thema Cybersecurity ernst nimmt.

Ich plädiere seit Jahren dafür, Unabhängigkeit als strategisches Ziel ernst zu nehmen – in der Verwaltung ebenso wie in der Privatwirtschaft. In vielen Bereichen wird dieser Aspekt bei Anschaffungen ignoriert, oft mangels Alternativen. Auch im Gesundheitswesen sollte man sich bewusst sein, was es bedeutet, sich auf einen ausländischen Anbieter zu verlassen.

Dies fängt oft bei den Vertragsverhandlungen in Bezug auf unterschiedliche Rechtsauffassung, namentlich Gerichtsstand und anwendbares Recht, an. Dieses dann aber auch nach einer Einigung durchzusetzen, kann kompliziert und kostspielig sein. Die politischen Auswüchse in den USA und die militärischen Spannungen in Osteuropa zeigen zudem, dass geopolitische Interessen bestehende wirtschaftliche Einigungen untergraben können. Von Partnern abhängig zu sein, ist immer mit einem Risiko behaftet. Vor allem in Krisensituationen.

Ungepatchte Systeme, vor allem mit veralteten Komponenten, sind ein typisches Risiko im Gesundheitsumfeld. Ebenso, dass keine konsequente Netzwerksegmentierung, vor allem beim Einsatz von Medizingeräten, durchgesetzt wird. Hinzu kommt, dass manchmal geteilte Konten eingesetzt werden, die das Risiko von Missbrauch erhöhen und eine Nachvollziehbarkeit bei Zwischenfällen erschweren.

Zentralisierte Lösungen sind für Angreifer immer sehr attraktiv, denn durch eine einzelne Kompromittierung kann oft sehr viel gewonnen werden. Bei dezentralen Lösungen müssten die Angreifer hingegen mühsam die einzelnen Komponenten kompromittieren. Heterogenität ist oft der Feind einer vollumfänglichen Kompromittierung einer Organisation.

Ransomware-Angriffe bleiben ein sehr konkretes Risiko. Diese werden nach wie vor oft mit Phishing kombiniert.

Das Sparen im Bereich Cybersecurity gleicht einem Poker-Spiel, bei dem man «All-In» geht. Das kann man machen. Aber das Risiko, dass man alles verlieren wird, ist extrem hoch. So manche Spitalleitung vernachlässigt dieses Risiko. Sich dann aber im Nachhinein als unschuldiges Opfer darzustellen, kann ich mittlerweile nicht mehr tolerieren. Deshalb habe ich zunehmend angefangen in Vorträgen und Interviews darauf hinzuweisen, dass Sparmassnahmen das vermeintliche Opfer zu einem Mittäter machen kann. Denn primär spart man immer auf Kosten derjenigen, die sich nicht wehren können: Patienten und Mitarbeiter.

Datensparsamkeit wäre angeraten, denn umso weniger Daten vorhanden sind, umso weniger Daten können verlorengehen oder missbraucht werden. Dieses Grundprinzip widerspricht aber den Zielen der Datenhaltung im Gesundheitsbereich. Deshalb wird es wichtig, dass die in einer Cloud anfallenden Daten auf technischer, vertraglicher und rechtlicher Ebene geschützt werden: Datenlokationen müssen geregelt sein, Daten müssen verschlüsselt übertragen sowie gespeichert werden. Und regelmässige Audits müssen das Einhalten dieser Vorgaben überprüfen, um Fehlbarkeiten frühestmöglich erkennen und beheben zu können.

Im Gesundheitsbereich müssen die Möglichkeiten moderner Cybersecurity ausgeschöpft werden. Zum Beispiel mit klassischen Mechanismen wie einem modularen und klar segmentierten Netzwerk. Sichere Datenhaltung muss zudem konsequent gelebt werden, indem Verschlüsselung und Backups professionalisiert werden. Und der Zugriffsschutz muss mit strikten Rollen, minimierten Berechtigungen und einer starken Authentisierung gewährleistet sein.