Die wachsende Menge an Daten verlangt eine zunehmend sichere Speicherung und Verwaltung. Cloud Dienste, wie die von Amazon Web Services oder Microsoft Azure, bieten hierfür eine kostengünstige Möglichkeit mit ausreichenden Kapazitäten. Dies scheint für viele Branchen, nicht zuletzt auch für das Gesundheitswesen, von essentieller Bedeutung. Und auch im punkto Sicherheit kann die Cloud, bei richtiger Anwendung, einen erheblichen Fortschritt in der Verwaltung von Patientendaten bieten.
„Die Tatsache, dass die Cloud eine kostengünstigere Option ist, trägt ebenso maßgeblich bei zum Cloud-Computing-Trend im Gesundheitswesen. Eine sorgfältig gestaltete Datensicherheitsstrategie muss aber dafür sorgen, dass vertrauliche Gesundheitsdaten auch in der Cloud geschützt bleiben“, erklärt Josip Benkovic, Regional Director Enterprise & Public bei Palo Alto Networks. „Entgegen so einiger Vorurteile ist eine sehr sichere Cloud-Nutzung durchaus möglich, wenn zentrale Punkte beachtet werden.“
4 Gründe für die wachsende Bedeutung der Cloud-Sicherheit
Gesundheitsdaten sind für Cyberkriminelle extrem attraktiv
Obwohl beispielsweise die Zahl gestohlener Gesundheitsdatensätze in den USA von 113 Millionen im Jahr 2015 auf 16 Millionen im Jahr 2016 gesunken ist, sind Daten aus dem Gesundheitswesen immer noch im Visier von Angreifern. Drei primäre Angriffsszenarien könnten dabei wie folgt aussehen:
Profit-motivierte Angreifer verwenden Malware, um Gesundheitsdaten zu stehlen und sie dann an jemanden zu verkaufen, der sie benutzt, um Identitätsdiebstahl und Versicherungsbetrug zu begehen. Ebenso könnten diese Ransomware verwenden, um Gesundheitsdaten zu verschlüsseln und erst wieder freizugeben, nachdem ein Lösegeld bezahlt worden ist. Nicht zuletzt stehlen staatlich geförderte Cybergegner Gesundheitsdaten für die Zwecke der Überwachung ausländischer Staatsbürger. Die Cyberkriminellen wissen, dass die Daten im Gesundheitswesen in die Cloud verschoben werden, und diese drei Szenarien können – und werden – auch in einer Cloud-Umgebung relevant sein.
Lesen Sie weiter auf cloudmagazin.com
Mit der richtigen Strategie bietet die Cloud mehr Sicherheit
Im Jahr 2011 wurden in den USA mit dem „HITECH Act“ (Health Information Technology for Economic and Clinical Health) finanzielle Anreize geschaffen, um Patientendatensätze zu digitalisieren. Auch in Europa werden zunehmend Patientenakten digitalisiert. Da ist es nicht verwunderlich, dass dieser Cloud-Computing-Trend die Frage nach der Sicherheit der Gesundheitsdatensätze aufwirft. Sicherheit kann relativ einfach in die Cloud implementiert werden, aber sie ist nur so gut wie das Engagement der Verantwortlichen in dieser Sache.
AWS und Azure machen es mittlerweile einfacher, virtuelle Server und Netzwerkinfrastrukturen auf Plattformebene zu verwalten, inklusive Sicherheitsoptionen. Die Gefahr besteht jedoch, dass seitens des Gesundheitswesens ein falsches Gefühl der Cloud-Sicherheit entwickelt wird, denn kein Cloud-Anbieter erkennt Malware-Infektionen auf der Endpunktebene. Deswegen gilt es, eine fortschrittliche Endpunktsicherheit auf eigene Faust bereitzustellen und zu verwalten. Auf der Netzwerkebene ist ebenfalls die Sicherheit konfigurierbar. Bei beiden Cloud-Providern besteht die Möglichkeit, virtuelle Next-Generation-Firewalls auszuwählen und bereitzustellen, um Bedrohungsschutz auf Netzwerkebene für datenkritische Anwendungen zu gewährleisten.
Eine ideale Gelegenheit, um anhaltende Sicherheitsprobleme zu beheben
Einrichtungen im Gesundheitswesen sind bei IT-Fachleuten geradezu berüchtigt für die Verwendung von veralteten Anwendungen und Betriebssystemen. Einige wurden von Anbietern entwickelt, die jahrelang nicht mehr im Geschäft sind. Diese Arten von Systemen können die am meisten gefährdeten Punkte in der IT-Umgebung sein. AWS und Azure bieten Funktionen, die es leichter machen, in solchen hochgefährdeten Anwendungen die Datensicherheit zu verwalten. Einige Kliniken nutzen bereits diese Software-definierte Netzwerkfunktionen. Während sie ihre Anwendungen in die Cloud migrieren, können sie zeitgleich die erforderlichen virtuellen Server einrichten. Hinter einer neuen Instanziierung einer virtuellen Next-Generation-Firewall sind sie dann besser geschützt.
Die Migration von Anwendungen in die Cloud bietet oftmals eine einmalige Gelegenheit, die Sicherheit der einzelnen Anwendungen zu bewerten und zu verbessern. Zum Beispiel ließe sich die Gelegenheit nutzen, um eine Anwendung auf die neueste Version zu aktualisieren oder diese Anwendung in einem streng kontrollierten virtuellen Netzwerksegment bereitzustellen. Ebenso könnte eine Bedrohungsprävention auf Netzwerkebene eingeführt und stärkere Überwachungsmaßnahmen für die zugrundeliegenden Datenbanken umgesetzt werden.
Verbesserte Compliance-Fähigkeiten der Public Clouds nutzen
Amazon und Microsoft, die beide die HIPAA-Vorgaben erfüllen, bieten die Möglichkeit, Business Associate Agreements (BAAs) zu unterzeichnen, um vertrauliche Gesundheitsinformationen zu speichern sowie HIPAA- und HITECH-konforme Anwendungen zu realisieren. Auch wenn HIPAA und HITECH – rein rechtlich gesehen – nicht relevant sind für die EU und Deutschland, bieten die sehr strengen Datensicherheitsregeln der Amerikaner eine neue Sichtweise auf die Herausforderungen hierzulande. Eine der leistungsstärksten Funktionsmerkmale der Cloud ist, dass sie für Gesundheitseinrichtungen aller Größen eine maßgeschneiderte Sicherheitsinfrastruktur bietet. Auch kleinere klinische Netzwerke können mit einem kleinen IT-Team HIPAA-konforme Anwendungsumgebungen auf Unternehmensniveau aufbauen und bereitstellen.
Cloud Sicherheit bedarf es an guter Planung und Umsetzung
„Allerdings sollte man nicht in das Denkmuster verfallen, dass es genügt, eine Anwendung in die Cloud zu verschieben, und für die Sicherheit automatisch gesorgt ist. Eine sorgfältige Planung vorausgesetzt, lassen sich die Kosteneinsparungen und die flexible Erweiterbarkeit, die die Cloud bietet, nutzen, ist unerlässlich. Es gilt jedoch sicherzustellen, dass die richtige Sicherheitsarchitektur vorhanden ist, um Patientendaten effektiv zu schützen“, fasst Benkovic abschließend zusammen.
Dieser Beitrag basiert in Teilen auf der Pressemitteilung von Palo Alto Networks, Juli 2017
Quelle Titelbild: iStock / ismagilov