08680 Penetrationstests im Krankenhaus – Sicherheitsprobleme finden, beheben und das Sicherheitsniveau erhöhen
Der Beitrag beschreibt, wie ein Penetrationstest (Pentest) in Krankenhäusern durchgeführt werden sollte. Dabei wird gezeigt, dass ein solcher Pentest – insbesondere auch aufgrund der mannigfaltigen rechtlichen Hürden – alles andere als ein einfaches Unterfangen ist. Es gilt besonders vorausschauend, umsichtig und besonnen zu agieren, um die Rechte der unterschiedlichen Betroffenen nicht (unnötig) zu gefährden.
Die speziellen Herausforderungen im Gesundheitsbereich machen eine besondere Vorbereitung und Durchführung erforderlich. Die Autoren stellen dazu die Risiken vor, die sich vorzugsweise in Krankenhäusern z. B. bei der Untersuchung von Produktivumgebungen ergeben können. Dabei heben sie einige „Highlights” aus ihrer Praxis hervor, um Sie gerade für diese „Klassiker” entsprechend zu sensibilisieren. Schließlich erhalten Sie Hinweise darauf, welche Schlussfolgerungen Sie aus den Ergebnissen eines Pentests ziehen sollten. von: |
1 Einleitung
Pflicht zu IT-Sicherheit
Gesetze, vertragliche Obliegenheiten oder etwaige Managementstandards verpflichten Unternehmen wie Krankenhäuser, dafür zu sorgen, dass insbesondere auch ihre IT-gestützten Geschäftsprozesse reibungslos ablaufen. Werden diese Prozesse gestört, dürfte, was auch prominente Beispiele wie etwa der Ransomwareangriff auf die Lukasklinik in Neuss [1] deutlich machen, der gesamte (Geschäfts-)Ablauf massiv beeinträchtigt werden, was wiederum die Geschäftstätigkeit eines Krankenhauses einschränken bzw. zum Erlahmen bringen kann. Die Gewährleistung von ausreichender IT-Sicherheit ist daher ein „notwendiges Übel”, um den reibungslosen Ablauf von IT-gestützten Prozessen in Krankenhäusern sicherzustellen und die zu verarbeitenden Daten ausreichend zu schützen.
Gesetze, vertragliche Obliegenheiten oder etwaige Managementstandards verpflichten Unternehmen wie Krankenhäuser, dafür zu sorgen, dass insbesondere auch ihre IT-gestützten Geschäftsprozesse reibungslos ablaufen. Werden diese Prozesse gestört, dürfte, was auch prominente Beispiele wie etwa der Ransomwareangriff auf die Lukasklinik in Neuss [1] deutlich machen, der gesamte (Geschäfts-)Ablauf massiv beeinträchtigt werden, was wiederum die Geschäftstätigkeit eines Krankenhauses einschränken bzw. zum Erlahmen bringen kann. Die Gewährleistung von ausreichender IT-Sicherheit ist daher ein „notwendiges Übel”, um den reibungslosen Ablauf von IT-gestützten Prozessen in Krankenhäusern sicherzustellen und die zu verarbeitenden Daten ausreichend zu schützen.
Auch wenn weitgehend Konsens darin besteht, dass eine ausreichende IT-Sicherheit essenziell für die Gewährleistung der reibungslosen Abläufe der IT-gestützten Prozesse in einem Krankenhaus ist, ist es in der Praxis jedoch schwierig zu erfahren, wie die Gewährleistung der erforderlichen IT-Sicherheit dort bisher konkret umgesetzt wurde. Ferner ist es auch oftmals ein schwieriges Unterfangen festzustellen, ob die getroffenen technischen und organisatorischen Maßnahmen, bezogen auf den Einzelfall, angemessen, wirksam und „rechtmäßig” sind.
Da immer mehr Geschäftsprozesse im Krankenhaus mit IT abgebildet werden, für die die Gesetze der „realen Welt” gelten, ist es denklogisch notwendig, die gesetzlichen Regelungen der realen Welt entsprechend „IT-konform” auszulegen und anzuwenden. Die Anwendung der gesetzlichen Regelungen aus der realen Welt auf die „virtuelle Welt” bringt daher weitere, nicht zu unterschätzende Implikationen und Herausforderungen mit sich, die letzten Endes auch in einem Pentest in einem Krankenhaus unbedingt berücksichtigt und adressiert werden müssen.