IT-Sicherheit im Gesundheitswesen: Die Netzwerkebene mit XDR als Managed Service absichern

München, Starnberg, 20. Mai 2021- Der XDR-Ansatz erstreckt sich über alle Endpunkte von E-Mails über Server bis hin zu Cloud-basierten Workloads und Netzwerken...

Zum Hintergrund: Detection & Response, also das Erkennen und Eliminieren von Gefahren, reicht insbesondere im Klinikumfeld nicht aus, wenn es sich auf Endpunkte konzentriert. Vielmehr ist es dringend geboten, diese Fähigkeiten auch auf Netzwerkebene auszuweiten, um den zunehmenden Bedrohungen zu begegnen. Zu diesem Ziel führt Extended Detection und Response (XDR), da diese Technologie die Infrastruktur transparenter macht, große Mengen an Sicherheitswarnungen automatisiert korreliert und die Basis dafür schafft, schnell und erfolgreich Angriffe abzuwehren. Um die IT-Teams noch weiter zu entlasten, empfiehlt sich aus Expertensicht XDR als Managed Service. Robert Mientus, Major Account Manager Healthcare bei Trend Micro (1) nimmt exklusiv für uns in diesem Beitrag dazu Stellung:

Zum Beitrag: „Im vergangenen Jahr meldeten deutsche Gesundheitseinrichtungen bis November 43 Hackerangriffe an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für das gesamte Jahr 2019 hatte die Behörde hingegen lediglich 16 Cyberattacken im Gesundheitssektor registriert, wie die Bundesregierung auf eine kleine Anfrage der FDP im Bundestag hin mitteilte. Der Jahresvergleich zeigt, wie sich die Bedrohungslage für Krankenhäuser verschärft. Große Kliniken, die im Jahr mehr als 30.000 stationäre Behandlungen leisten, zählen zu den Betreibern kritischer Infrastrukturen (KRITIS). Als solche sind sie laut IT-Sicherheitsgesetz und Branchenstandard B3S verpflichtet, Mindestanforderungen an die IT-Sicherheit zu erfüllen. Auch kleinere Häuser sollten sich an diesen Vorgaben orientieren, um ihre Versorgungssicherheit aufrechtzuerhalten. Zudem  müssen ab Januar 2022 Krankenhäuser jeder Größe gewährleisten, dass sich ihre IT-Sicherheit auf dem Stand der Technik befindet (§75c SGB V).

  • Das Klinik-Umfeld prägt eine zunehmende Vernetzung, weshalb neben der klassischen Unternehmens-IT auch die eingebundene Medizintechnik zum potenziellen Angriffsziel wird. Von KRITIS-Betreibern wird verlangt, einen Sicherheitsvorfall, der die Betriebsfähigkeit beeinträchtigen könnte, zeitnah zu erkennen und an das BSI zu melden. Dafür müssen Krankenhäuser ein Meldeverfahren implementieren, welches sie zur Identifikation, Analyse und Entscheidung über eingetretene Vorfälle befähigt. Anderseits benötigen sie intern eine Kontaktstelle, die Gefahrenmeldungen des BSI entgegennimmt und prüft, ob die eigene Klinik von dieser Attacke betroffen ist. Je schneller ein Gesundheitsträger geeignete Gegenmaßnahmen initiiert, umso besser.

  • Die entscheidende Voraussetzung dafür legen Unternehmen und Organisationen im Gesundheitssektor, indem sie Detection and Response von den Endpunkten auf die Netzwerkebene ausweiten. Denn oft lässt sich auf den eingebundenen medizintechnischen Systemen keine Security-Software installieren. Dieses Manko kompensiert der XDR-Ansatz, der sich über alle Endpunkte von E-Mails über Server bis hin zu Cloud-basierten Workloads und Netzwerken erstreckt. Warum das entscheidend ist, vergegenwärtigt die Situation von IT-Teams in Krankenhäusern, die zusätzlich profitieren, wenn XDR im Managed Service bezogen wird.

In der Bedrohungsanalyse den Aufwand minimieren und die Qualität erhöhen

  • Täglich sehen sich Mitarbeiter in der Krankenhaus-IT mit mehreren Tausend Sicherheitsmeldungen konfrontiert. Aus dieser Masse schnell die wichtigen Security Alerts herauszufiltern, schafft kein Mensch. Zumal die IT-Teams in der Regel eine Umgebung betreuen, die durch eine historisch gewachsene, komplexe Security-Infrastruktur gekennzeichnet ist. Aus dem Grund sehen sich die IT-Fachkräfte gezwungen, jedes System individuell zu betrachten und zu managen. Außerdem fällt es unter diesen Umständen den Sicherheitsanalysten schwer, eine einheitliche Sicht auf einen Sicherheitsvorfall zu erlangen. Sie werten die Daten, die in Silos liegen, in mühevoller Kleinarbeit aus, um die nötigen Zusammenhänge herzustellen. Schließlich werden Cyberangriffe immer komplexer, was sich eben auch darin äußert, dass sie häufig eine Vielzahl von Systemen attackieren. Intensive manuelle Detection und Response erhöht das Risiko, dass Fehler passieren.

  • Daher besteht in der Krankenhaus-IT ein großer Bedarf nach einer zuverlässigen technischen Lösung, die Transparenz über Aktivitäten in der gesamten IT-Infrastruktur schafft, relevante Meldungen automatisiert herausfiltert und zu verwertbaren Warnungen korreliert. Genau dafür steht XDR, das auf perfekt zusammenarbeitende und miteinander kommunizierende Sicherheitssysteme setzt. Bedrohungsinformationen fließen in einen zentralen Data Lake für die gezielte Auswertung. Wenn die Analyse auch globale Threat Intelligence einbezieht und mit Machine Learning (ML) kombiniert, lassen sich Risiken noch besser erkennen. Neben diesen Optionen sollten Verantwortliche prüfen, ob sie XDR in Eigenregie betreiben wollen oder besser an einen Dienstleister abgeben.

Schnelle und effiziente Gefahrenabwehr

  • In der Praxis stehen Kliniken vor der Herausforderung, die Sicherheitssysteme verschiedener Hersteller im Nachgang zu verbinden. Viele Gesundheitseinrichtungen entscheiden sich erfahrungsgemäß deshalb für den anderen Weg. Sie bauen ihre Security-Infrastruktur neu auf, wozu sie auf integrierte Lösungen eines Herstellers setzen, mit denen sie XDR realisieren können. Auf diese Weise sichern sie sich den eigentlichen Wert dieses Technologieansatzes. Dieser besteht in der Normalisierung von Daten und darin, diese automatisiert in einen Kontext zu setzen, wodurch korrelierende Ereignisse frühzeitig erkannt werden. Sicherheitsexperten sind so in der Lage, aus der Masse an Sicherheitsmeldungen logisch ein Ursprungsereignis zu identifizieren. Dadurch reduzieren sich die Warnungen auf die Hälfte. Bei schwerwiegenden Ereignissen verringern XDR-Automatismen die Security Alerts sogar um 90 Prozent und mehr.

  • Die automatisierten XDR-Systeme können laut dem ESG Research Insights Report im Unternehmen durchschnittlich acht Security-Mitarbeiter ersetzen, die in Vollzeit arbeiten. In ihrer zentralen Konsole sehen Sicherheitsexperten sofort, wo akuter Handlungsbedarf besteht, welche Systeme von einem Vorfall betroffen sind und wie der Angriff bisher verlaufen ist. Außerdem erhalten sie Empfehlungen für Gegenmaßnahmen. Denn die erkannten Fälle werden beispielsweise im Security Operations Center (SOC) priorisiert, um im Anschluss von Analysten bearbeitet zu werden. Sobald sich ein Verdacht bestätigt, erstellen die Sicherheitsexperten einen detaillierten Response-Plan.

  • Sicherheit und Wirtschaftlichkeit verbindet XDR im SOC noch durch das Konsolidieren der Log-Quellen. Den Part, die Sicherheitsalarme aus den Quellen-Anwendungen und Netzwerkkomponenten in Echtzeit zu analysieren, übernehmen Security Information and Event Management (SIEM)-Systeme, die üblicherweise nach Events per Seconds lizenziert werden. Eine Lösung wie XDR oder Managed XDR von Trend Micro kann jedoch als eine einzige Quelle dienen, wodurch Speicherplatzbedarf und Kosten sinken. Zudem erhöht sich die Analysegeschwindigkeit, weil weniger Daten durch das SIEM gehen und sich die Korrelationszeiten verkürzen. Für das Herstellen des Zusammenhangs braucht ein SIEM ungefähr fünf Minuten, was XDR in wenigen Sekunden schafft. Letztendlich profitiert die Krankenhaus-IT von einer viel höheren Reaktionsgeschwindigkeit bei der Abwehr von Angriffen.

Doppelter Gewinn mit Managed XDR

  • Um das eigene IT-Team zu entlasten und für noch mehr Sicherheit zu sorgen, empfiehlt sich für Kliniken XDR als Managed Service. Hochspezialisierte Security-Analysten übernehmen dann 24/7 die Überwachung und Auswertung der Alerts, die die XDR-Lösung ausgibt. Die erfahrenen Experten bewerten schnell, wie kritisch die Meldungen sind. Sie kennen aktuelle Angriffsmuster, suchen proaktiv nach solchen Indicators of Compromise und informieren das IT-Team, sobald akuter Handlungsbedarf besteht. In dem Fall erhalten interne IT-Mitarbeiter Empfehlungen für Gegenmaßnahmen. Sie müssen diese dann nur noch umsetzen und sparen sich den Aufwand für Analyse und Bewertung. Der Umstieg von XDR zu Managed XDR ist jederzeit schnell und einfach zu überschaubaren Kosten möglich.

Fazit: Im höheren Sicherheitslevel noch auf mehreren Ebenen gewinnen

Für Krankenhäuser und Kliniken lohnt es sich, auf eine ganzheitliche Security-Infrastruktur zu setzen, die eine XDR-Lösung einbindet. Dadurch sind sie in der Lage, Komplexität und Management-Aufwand zu reduzieren. Außerdem ergibt sich im Durchschnitt ein Spareffekt von rund 25 Prozent bei den Lizenzkosten. Das Wichtigste ist jedoch, dass die IT-Umgebungen ein höheres Sicherheitsniveau erreichen und so technisch gegen Attacken gewappnet sind. Ein IT-Team ist in der Lage Bedrohungen rechtzeitig zu erkennen und zielgerichtet darauf zu reagieren. Dadurch wird der potenzielle Schaden eingrenzt. Zudem kann die Gesundheitseinrichtung ihrer Meldepflicht gemäß B3S ordnungsgemäß nachkommen. Genauso überprüft die interne IT mit ihrer XDR-Lösung wesentlich schneller und präziser, ob eine Gefahrenmeldung des BSI für die eigene Infrastruktur relevant ist. Noch effizienter wird die Krankenhaus-IT, wenn sie auf Managed XDR setzt und zusätzlich mit Virtual Patching die Server-Client-Landschaft und die angebundene Medizintechnik abschirmt. Durch die letztgenannte Option haben die XDR-Systeme weniger Datenverkehr zu analysieren.“

 

(1) Das Foto zeigt Robert Mientus, Major Account Manager Healthcare bei Trend Micro (Bildquelle: Trend Micro).


Querverweis: