NCSC: Liebe Spitäler, bitte erarbeitet ein Patchmanagement!

29. Juli 2022, 13:54
  • security
  • ncsc
  • gesundheitsbranche
image
Die Sicherheit der Medizinalgeräte stellt für Spitäler eine besondere Herausforderung dar. Foto: Piron Guillaume / Unsplash

Das Nationale Zentrum für Cybersicherheit hat einen Massnahmenkatalog für das Gesundheitswesen veröffentlicht. Er kommt spät, ist aber um so wichtiger.

Das Nationale Zentrum für Cybersicherheit (NCSC) hat sich in der Pandemie stark auf das Gesundheitswesen fokussiert. Es seien monatliche Security-Updates verteilt worden, zugleich habe man mit Schreiben und Vorträgen den Sektor für die Thematik sensibilisiert, heisst es vom NCSC in einer Mitteilung. Auch Werkzeuge und Daten für einen verbesserten Schutz habe man zur Verfügung gestellt.
Das tut Not. Nicht nur wurden in den letzten Monaten erfolgreiche Cyberangriffe auf Gesundheitseinrichtungen bekannt, auch scheint es dort mit der Sicherheit zu hapern. "Aus meiner Sicht gibt es im Gesundheitssektor Nachholbedarf: von den Spitälern über die Labore bis zu den Arztpraxen. Hier arbeitet man mit besonders sensiblen Daten, da kann ein Vorfall gravierende Folgen haben", sagte Pascal Lamia, der operative Leiter Cybersicherheit des NCSC, kürzlich im Gespräch mit inside-it.ch.
Nun hat das NCSC nachgelegt und einige technische und organisatorische Mindestanforderungen definiert, die Spitäler, Arztpraxen, Laboren und Heime einhalten sollen. Dazu zählt der Einsatz einer Multi-Faktor-Authentisierung (MFA) für Fernzugänge ebenso wie die Kontrolle und Einschränkung bei der Ausführung von Dateien.

"Die Umsetzung ist zwingend im Gesundheitswesen"

Kürzlich hat inside-it.ch mit dem IT-Leiter des Spitals Schwyz über dessen Security-Dispositiv gesprochen. Nun haben wir bei Marcel Schönbächler nachgefragt, ob die Empfehlungen des NCSC berücksichtigt wurden. Es seien beinahe alle umgesetzt, schreibt er und ergänzt: "Die Umsetzung der einen offenen Empfehlung prüfen wir in den nächsten Wochen." Er empfiehlt zu den Massnahmen aus dem NCSC-Katalog ergänzend Awareness Trainings und Sensibilisierung der Mitarbeitenden.
Das Zentrum für Cybersicherheit hat sogenannte "Muss"-Kriterien aufgestellt, die von den Gesundheitseinrichtungen befolgt werden sollten – Weisungsbefugnisse oder Sanktionsmöglichkeiten hat das Zentrum indes nicht. Aber auch Schönbächler sagt: "Die Muss-Empfehlungen sind zweifelsohne zwingend im Gesundheitswesen (und auch anderen Industrien) umzusetzen. Die zeitnahe Überwachung der Endpunkte und die Blockierung von gefährlichen Anhängen sind aus meiner Sicht auch eine Muss-Empfehlung, weil Phishing Mails ein einfaches Einfallstor für Angreifer sind."
Die beiden letztgenannten Massnahmen sind vom NCSC als sogenannte "Kann"-Empfehlungen formuliert. Ein absolutes Muss ist für das NCSC hingegen das Patch- und Lifecycle-Management. Man soll dazu ein Konzept erarbeiten und dieses in der Organisation verankern. Zugleich könne man Verwaltungssoftware einführen, um den Überblick zu behalten, was auf welchen Geräten läuft, und entsprechend zu patchen, heisst es im NCSC-Katalog.

Besonderer Schutz für Medizinalgeräte

Eine besondere Herausforderung sind in den Spitälern die Medizinalgeräte, auf denen ein genau definierter Software-Stack laufen muss. Sollten diese über den Support-Zeitraum hinaus betrieben werden müssen, solle man sie in isolierte Netzwerkzonen verschieben, empfiehlt das NCSC dringend. Dazu muss das Netzwerk segmentiert sein, was das NCSC als wichtige Massnahmen anpreist. Die wenigen Übergänge zu den medizinischen Geräten sollen klar definiert sowie überwacht werden.
Das NCSC empfiehlt zudem die Mitgliedschaft im geschlossenen Kundenkreis, auf der Austauschplattform Melani-Net können Gesundheitseinrichtungen so die neusten Entwicklungen und Ereignisse verfolgen. "Die Mitgliedschaft ist eine sehr gute Sache: Wir erhalten sehr zeitnah topaufbereitete Informationen von neusten Angriffsvarianten, um unsere Systeme aktuell zu halten. Diese Mitgliedschaft kann ich wärmstens empfehlen", sagt Schönbächler.
Nutzen alle Massnahmen nichts, sollen Offline-Backups und Disaster Recovery das Schlimmste verhindern. Da aber der Wiederaufbau der Infrastruktur nach einem Ransomware-Angriff längere Zeit in Anspruch nehme, müssten Spitäler eine Zwischenlösung bereit haben. So soll wenigstens ein minimaler Betrieb sichergestellt werden. "Eine solche Zwischenlösung sollte technisch einsatzbereit, aber komplett abgekoppelt vom täglichen Betrieb bereitstehen, gewartet und regelmässig getestet werden", so das NCSC.
Den Massnahmenkatalog des NCSC (PDF) kann man von dessen Website herunterladen.

Loading

Mehr zum Thema

image

Die SBB wussten viel länger über ernste Sicherheitslücke Bescheid, als sie zugaben

Im Januar 2022 hatten die SBB eine Lücke geschlossen, die Millionen Kundendaten betraf. Offenbar war schon seit 2018 mehrfach auf das Problem hingewiesen worden.

publiziert am 18.8.2022
image

Cyberangriff: Bülach ist nicht auf Forderungen eingegangen

Die Stadt Bülach hat ausführlich über den Cyberangriff auf seine Verwaltung informiert. Auf Lösegeldforderungen sei man nicht eingegangen.

publiziert am 17.8.2022
image

Neue nationale EPD-Plattform

Bis Ende Jahr soll in 200 Schweizer Apotheken ein elektronisches Patientendossier eröffnet werden können.

publiziert am 17.8.2022
image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022