Das Nationale Zentrum für Cybersicherheit (NCSC) hat sich in der Pandemie stark auf das Gesundheitswesen fokussiert. Es seien monatliche Security-Updates verteilt worden, zugleich habe man mit Schreiben und Vorträgen den Sektor für die Thematik sensibilisiert, heisst es vom NCSC in einer Mitteilung. Auch Werkzeuge und Daten für einen verbesserten Schutz habe man zur Verfügung gestellt.

Das tut Not. Nicht nur wurden in den letzten Monaten erfolgreiche Cyberangriffe auf Gesundheitseinrichtungen bekannt, auch scheint es dort mit der Sicherheit zu hapern. "Aus meiner Sicht gibt es im Gesundheitssektor Nachholbedarf: von den Spitälern über die Labore bis zu den Arztpraxen. Hier arbeitet man mit besonders sensiblen Daten, da kann ein Vorfall gravierende Folgen haben", sagte Pascal Lamia, der operative Leiter Cybersicherheit des NCSC, kürzlich im Gespräch mit inside-it.ch.

Nun hat das NCSC nachgelegt und einige technische und organisatorische Mindestanforderungen definiert, die Spitäler, Arztpraxen, Laboren und Heime einhalten sollen. Dazu zählt der Einsatz einer Multi-Faktor-Authentisierung (MFA) für Fernzugänge ebenso wie die Kontrolle und Einschränkung bei der Ausführung von Dateien.

Kürzlich hat inside-it.ch mit dem IT-Leiter des Spitals Schwyz über dessen Security-Dispositiv gesprochen. Nun haben wir bei Marcel Schönbächler nachgefragt, ob die Empfehlungen des NCSC berücksichtigt wurden. Es seien beinahe alle umgesetzt, schreibt er und ergänzt: "Die Umsetzung der einen offenen Empfehlung prüfen wir in den nächsten Wochen." Er empfiehlt zu den Massnahmen aus dem NCSC-Katalog ergänzend Awareness Trainings und Sensibilisierung der Mitarbeitenden.

Das Zentrum für Cybersicherheit hat sogenannte "Muss"-Kriterien aufgestellt, die von den Gesundheitseinrichtungen befolgt werden sollten – Weisungsbefugnisse oder Sanktionsmöglichkeiten hat das Zentrum indes nicht. Aber auch Schönbächler sagt: "Die Muss-Empfehlungen sind zweifelsohne zwingend im Gesundheitswesen (und auch anderen Industrien) umzusetzen. Die zeitnahe Überwachung der Endpunkte und die Blockierung von gefährlichen Anhängen sind aus meiner Sicht auch eine Muss-Empfehlung, weil Phishing Mails ein einfaches Einfallstor für Angreifer sind."

Die beiden letztgenannten Massnahmen sind vom NCSC als sogenannte "Kann"-Empfehlungen formuliert. Ein absolutes Muss ist für das NCSC hingegen das Patch- und Lifecycle-Management. Man soll dazu ein Konzept erarbeiten und dieses in der Organisation verankern. Zugleich könne man Verwaltungssoftware einführen, um den Überblick zu behalten, was auf welchen Geräten läuft, und entsprechend zu patchen, heisst es im NCSC-Katalog.

Eine besondere Herausforderung sind in den Spitälern die Medizinalgeräte, auf denen ein genau definierter Software-Stack laufen muss. Sollten diese über den Support-Zeitraum hinaus betrieben werden müssen, solle man sie in isolierte Netzwerkzonen verschieben, empfiehlt das NCSC dringend. Dazu muss das Netzwerk segmentiert sein, was das NCSC als wichtige Massnahmen anpreist. Die wenigen Übergänge zu den medizinischen Geräten sollen klar definiert sowie überwacht werden.

Das NCSC empfiehlt zudem die Mitgliedschaft im geschlossenen Kundenkreis, auf der Austauschplattform Melani-Net können Gesundheitseinrichtungen so die neusten Entwicklungen und Ereignisse verfolgen. "Die Mitgliedschaft ist eine sehr gute Sache: Wir erhalten sehr zeitnah topaufbereitete Informationen von neusten Angriffsvarianten, um unsere Systeme aktuell zu halten. Diese Mitgliedschaft kann ich wärmstens empfehlen", sagt Schönbächler.

Nutzen alle Massnahmen nichts, sollen Offline-Backups und Disaster Recovery das Schlimmste verhindern. Da aber der Wiederaufbau der Infrastruktur nach einem Ransomware-Angriff längere Zeit in Anspruch nehme, müssten Spitäler eine Zwischenlösung bereit haben. So soll wenigstens ein minimaler Betrieb sichergestellt werden. "Eine solche Zwischenlösung sollte technisch einsatzbereit, aber komplett abgekoppelt vom täglichen Betrieb bereitstehen, gewartet und regelmässig getestet werden", so das NCSC.

Den Massnahmenkatalog des NCSC (PDF) kann man von dessen Website herunterladen.