Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Cloud SecurityIn fast allen Branchen, nicht zuletzt im Gesundheitswesen, wird eine wachsende Menge an Daten in die Clouds von Amazon Web Services (AWS) und Microsoft Azure verschoben. Dies ist durchaus sinnvoll, weil beispielsweise Klinikverwaltungen sich auf die Behandlung von Patienten, anstatt die Verwaltung von Rechenzentren konzentrieren wollen.

„Die Tatsache, dass die Cloud eine kostengünstigere Option ist, trägt ebenso maßgeblich bei zum Cloud-Computing-Trend im Gesundheitswesen. Eine sorgfältig gestaltete Datensicherheitsstrategie muss aber dafür sorgen, dass vertrauliche Gesundheitsdaten auch in der Cloud geschützt bleiben“, erklärt Josip Benkovic, Regional Director Enterprise & Public bei Palo Alto Networks. „Entgegen so einiger Vorurteile ist eine sehr sichere Cloud-Nutzung durchaus möglich, wenn zentrale Punkte beachtet werden.“

Für die wachsende Bedeutung der Cloud-Sicherheit sieht Benkovic vor allem vier Gründe:

1. Gesundheitsdaten sind für Cyberkriminelle extrem attraktiv.

Obwohl beispielsweise die Zahl gestohlener Gesundheitsdatensätze in den USA von 113 Millionen im Jahr 2015 auf 16 Millionen im Jahr 2016 sank, sind Daten aus dem Gesundheitswesen immer noch im Visier von Angreifern. Der Umstand, dass bei der WannaCry-Attacke Einrichtungen des britischen NHS angegriffen wurde, ist ein aktueller Beleg. Die drei primären Angriffsszenarien sehen wie folgt aus:

  1. Profit-motivierte Angreifer verwenden Malware, um Gesundheitsdaten zu stehlen und sie dann an jemanden zu verkaufen, der sie benutzt, um Identitätsdiebstahl und Versicherungsbetrug zu begehen.
  2. Profit-motivierte Angreifer verwenden Ransomware, um Gesundheitsdaten zu verschlüsseln und sie erst zu entschlüsseln, nachdem ein Lösegeld bezahlt wurde (in der Regel verlassen die Daten das Rechenzentrum).
  3. Staatlich geförderte Cybergegner stehlen Gesundheitsdaten für die Zwecke der Überwachung ausländischer Staatsbürger.

Die Cyberkriminellen wissen, dass die Daten im Gesundheitswesen in die Cloud verschoben werden, und diese drei Szenarien können – und werden – auch in einer Cloud-Umgebung relevant sein.

2. Die Cloud bietet die bessere Sicherheit, wenn Sie sich die Zeit nehmen, die Sicherheitsstrategie planen.

Im Jahr 2011 wurden in den USA mit dem „HITECH Act“ (Health Information Technology for Economic and Clinical Health) finanzielle Anreize geschaffen, um Patientendatensätze zu digitalisieren. Aber auch in Europa hat die Digitalisierung das Gesundheitswesen schon lange erfasst. Dies führte zu einer großen Migration hin zu elektronischen Patientenakten, wobei die Sicherheit oft auf der Strecke blieb. In ähnlicher Weise herrscht jetzt Eile, um Gesundheitsdatensätze in die Cloud zu bewegen, unter der Annahme, dass Sicherheit automatisch gegeben ist. Sicherheit kann relativ einfach in die Cloud implementiert werden, aber sie ist nur so gut wie das Engagement der Verantwortlichen in dieser Sache.

AWS und Azure machen es mittlerweile einfacher, virtuelle Server und virtuelle Netzwerkinfrastruktur auf Plattformebene zu verwalten, inklusive Sicherheitsoptionen. Die Gefahr besteht jedoch, dass seitens des Gesundheitswesens ein falsches Gefühl der Cloud-Sicherheit entwickelt wird.

Kein Cloud-Anbieter erkennt Malware-Infektionen auf der Endpunktebene. Deswegen gilt es, eine fortschrittliche Endpunktsicherheit auf eigene Faust bereitzustellen und zu verwalten. Auf der Netzwerkebene ist ebenfalls die Sicherheit konfigurierbar. Bei beiden Cloud-Providern besteht die Möglichkeit, virtuelle Next-Generation-Firewalls auszuwählen und bereitzustellen, um Bedrohungsschutz auf Netzwerkebene für datenkritische Anwendungen zu gewährleisten.

3. Eine ideale Gelegenheit, um anhaltende Sicherheitsprobleme zu beheben.

Einrichtungen im Gesundheitswesen sind bei IT-Fachleuten geradezu berüchtigt für die Verwendung von veralteten Anwendungen und Betriebssystemen. Einige wurden von Anbietern entwickelt, die jahrelang nicht mehr im Geschäft sind. Diese Arten von Systemen können die am meisten gefährdeten Punkte in der IT-Umgebung sein. AWS und Azure bieten Funktionen, die es leichter machen, in solchen hochgefährdeten Anwendungen die Datensicherheit zu verwalten.

Einige Kliniken nutzen bereits Software-definierte Netzwerkfunktionen in AWS und Azure. Während sie ihre Anwendungen in die Cloud migrieren, können sie zeitgleich die erforderlichen virtuellen Server einrichten. Hinter einer neuen Instanziierung einer virtuellen Next-Generation-Firewall sind sie dann besser geschützt.

Die Migration von Anwendungen in die Cloud bietet oftmals eine einmalige Gelegenheit, die Sicherheit der einzelnen Anwendungen zu bewerten und zu verbessern. Zum Beispiel ließe sich:

  • die Gelegenheit nutzen, um eine Anwendung auf die neueste Version zu aktualisieren.
  • eine Anwendung in einem streng kontrollierten virtuellen Netzwerksegment bereitstellen.
  • eine Bedrohungsprävention auf Netzwerkebene einführen.
  • stärkere Überwachungsmaßnahmen für die zugrundeliegenden Datenbanken umsetzen.
  • vor der Umstellung alle vorhandenen Schwachstellen auf Serverebene beseitigen.

4. Verbesserte Compliance-Fähigkeiten der Public Clouds nutzen.

Amazon und Microsoft, die beide die HIPAA-Vorgaben erfüllen, bieten die Möglichkeit, Business Associate Agreements (BAAs) zu unterzeichnen, um vertrauliche Gesundheitsinformationen zu speichern sowie HIPAA- und HITECH-konforme Anwendungen zu realisieren. Auch wenn HIPAA und HITECH – rein rechtlich gesehen – nicht relevant sind für die EU und Deutschland, bieten die sehr strengen Datensicherheitsregeln der Amerikaner eine neue Sichtweise auf die Herausforderungen hierzulande. Einige der Sicherheitsmerkmale, die die HIPAA-Compliance unterstützen, sind:

  • Dedizierte Instanzen, um sicherzustellen, dass die zugrundeliegende Hardware nicht für verschiedene Kunden freigegeben wird.
  • Tools, die es leichter machen, strenge Verschlüsselungsanforderungen durchzusetzen für Patientendaten im Ruhezustand und in Bewegung.
  • Verbesserte Zugriffskontrollen bei der Bereitstellung hinter einer virtuellen Next-Generation-Firewall, wobei die Benutzeridentifikationsfunktionen aktiviert sind.
  • Verbesserte Prozeduren für Protokollretention, Auditing und Datensicherung sowie verbesserte Disaster-Recovery-Mechanismen.

Eine der leistungsstärksten Funktionsmerkmale der Cloud ist, dass sie für Gesundheitseinrichtungen aller Größen eine maßgeschneiderte Sicherheitsinfrastruktur bietet. Auch kleinere klinische Netzwerke können mit einem kleinen IT-Team HIPAA-konforme Anwendungsumgebungen auf Unternehmensniveau aufbauen und bereitstellen.

„Allerdings sollte man nicht in das Denkmuster verfallen, dass es genügt, eine Anwendung in die Cloud zu verschieben, und für die Sicherheit automatisch gesorgt ist. Eine sorgfältige Planung vorausgesetzt, lassen sich die Kosteneinsparungen und die flexible Erweiterbarkeit, die die Cloud bietet, nutzen. Es gilt jedoch sicherzustellen, dass die richtige Sicherheitsarchitektur vorhanden ist, um Patientendaten effektiv zu schützen“, fasst Josip Benkovic abschließend zusammen.

www.paloaltonetworks.com
 

Neuste Artikel

Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…
Passwort vergessen

Vergessene Passwörter kosten Firmen viel Geld

Unternehmen würden massiv IT-Kosten sparen, wenn sie komplett auf Passwörter verzichteten. Andere Formen der Authentifizierung wie beispielsweise biometrische Scans sind wesentlich kosteneffizienter und auch sicherer als gewöhnliche Passworteingaben. Das…
Firmenübernahme

Hitachi Vantara plant die Übernahme von Waterline Data

Hitachi Vantara, eine hundertprozentige Tochtergesellschaft der Hitachi, Ltd., gab seine Absicht bekannt, das Geschäft der im Privatbesitz befindlichen Waterline Data, Inc. zu übernehmen.

Anzeige

GRID LIST
Cloud Datenleck

Datenpanne bei deutschem Cloud-Anbieter

Ein deutscher Cloud-Anbieter verliert Kryptografie-Schlüssel und seine Kunden dadurch…
Cloud 2020

Cloud Security 2020: Gute Vorsätze für das neue Jahr

Mit Beginn eines neuen Jahres ziehen viele Unternehmensabteilungen Bilanz über den…
Cloud Security

Cloud Services: Unternehmen in der Datenschutzpflicht

Cloud Services werden bei deutschen Unternehmen immer beliebter: Im Jahr 2018 setzten…
Cloud

Mit Spezialwerkzeugen die Cloud Schwachstellen vermeiden

Das Konfigurieren von Ressourcen und Schnittstellen in Public-Cloud-Diensten ist komplex…