Krankenhäuser sind die tragenden Säulen des Gesundheitssystems und gehören somit zur kritischen Infrastruktur. Die Digitalisierung bietet für Organisationen in diesem Sektor neue Möglichkeiten für die Optimierung ihrer Prozesse. Gleichzeitig birgt sie allerdings auch Risiken für den Datenschutz, denn schlecht gesicherte Technologien und Arbeitsprozesse stellen ein beliebtes Einfallstor für Cyberkriminelle dar.
Besonders im Zuge der aktuellen Krise nehmen Cyberkriminelle immer häufiger Krankenhäuser ins Visier. Die angespannte Lage wird dazu genutzt, um Angriffe zu starten und so an wertvolle Gesundheitsdaten zu gelangen.
Doch die Lage ist nicht aussichtslos: Starke Identitäts- und Zugriffskontrollen zusammen mit Phishing-resistenter Authentifizierung können das Sicherheitsniveau in Organisationen des Gesundheitswesens ausreichend erhöhen.
Gefahren & Herausforderungen
Gesundheitsdaten, zu denen etwa Patientenakten, Laborergebnisse und andere vertrauliche Daten gehören, gehören zu den sensibelsten Informationen überhaupt. Sind diese in Cloud-basierten Systemen und Datenverarbeitungsprogrammen gespeichert und nicht durch starke Identitäts- und Zugriffskontrollen geschützt, laufen sie Gefahr, in die Hände unberechtigter Dritter zu geraten. Oftmals ist es immer noch gängige Praxis, Passwörter mit Kollegen zu teilen, um auf Patientenakten zuzugreifen – sei es aus Bequemlichkeit oder Zeitdruck. Dies erhöht das Sicherheitsrisiko enorm. Deshalb ist es umso wichtiger, vorbeugende Maßnahmen zu ergreifen, die sowohl praktikabel als auch effizient sind, um Benutzer- und Administratorkonten zu sichern.
Zu den beliebtesten Zielen von Hackern gehören E-Mail-Konten, auch und vornehmlich im Gesundheitswesen: Standardpasswörter oder SMS-basierte Zwei-Faktor-Authentifizierung (2FA) gehören immer noch zum Standardrepertoire für die Sicherung hochsensibler Patientendaten, sind jedoch längst überholt: Cyber-Kriminelle setzen auf ausgefeilte Phishing- und Man-in-the-Middle-Angriffe, mit Hilfe derer sie 2FA-Schutzmaßnahmen leicht umgehen können.
Krankenhausbetreiber dürfen auch nicht vergessen, dass das Gesundheitswesen eine der am stärksten regulierten Branchen der Welt ist und daher die Einhaltung von Vorschriften oberste Priorität hat. Das bedeutet, dass eine strenge Benutzerverifizierung stattfinden muss, bevor der Zugriff auf Patientendaten überhaupt gewährt wird.
Das Passwort ist das schwächste Glied in der Unternehmenssicherheit
Ganz oben auf der Liste der für Nutzer lästigen Sicherheitsmechanismen, stehen Passwörter. Schlechte Praktiken, wie die gemeinsame Nutzung von Anmeldedaten mit Kollegen oder die kontinuierliche Verwendung derselben Passwörter für mehrere Konten, verschärfen die Risiken, die der Kombination Benutzername/Passwort ohnehin innewohnen. Hinzu kommt, dass die Kosten für Passwörter – und damit auch die Supportkosten – aufgrund der wachsenden Anzahl von Geschäftsanwendungen in Krankenhäusern immer weiter steigen.
Mehr Sicherheit mit YubiKeys und FIDO2
Organisationen im Gesundheitswesen müssen ihren Mitarbeitern eine schnelle, einfache, bequeme und vor allem sichere Identifikation bieten, die keine Passwörter erfordert oder die Abhängigkeit von Passwörtern zumindest stark reduziert. Auf diese Weise können Einrichtungen auch die Kosten für die Verwaltung und das Zurücksetzen von Passwörtern deutlich senken.
FIDO2 ist ein offener Authentifizierungsstandard, der von der FIDO Alliance betrieben wird. Gemeinsam mit vielen Tech Partnern wie z.B. Microsoft haben wir zu diesem Standard beigetragen der eine Erweiterung von FIDO U2F ist und das gleiche Maß an höchster Sicherheit bietet, basierend auf Public-Key-Kryptografie. FIDO2 bietet erweiterte Authentifizierungsoptionen, einschließlich starker Ein-Faktor- (passwortloser), starker Zwei-Faktor- und starker Multi-Faktor-Authentifizierung (ebenfalls passwortlos).
FIDO2 unterstützt eine Vielzahl von Anwendungsszenarien, besteht aus einer Web-API (WebAuthn) und einem Authentifizierungsprotokoll-Client (CTAP), die eine passwortlose Anmeldung ermöglichen. WebAuthn definiert eine Standard-Web-API, die in Webbrowser und Webplattform-Infrastrukturen integriert werden kann, um Benutzern Möglichkeiten zu bieten, sich sicher online auszuweisen. CTAP ermöglicht es, dass ein externer Identifikator, wie z. B. ein Sicherheitsschlüssel, starke Authentifizierungsidentitäten lokal an den PC oder das Smartphone des Benutzers über USB, Nahfeldkommunikation (NFC) oder Bluetooth übertragen wird. FIDO2 stützt sich auf ein asymmetrisches Schlüsselpaar (öffentlich/privat), um Benutzer zu authentifizieren. Der öffentliche Schlüssel kann auf jedem Gerät gespeichert werden, das von der FIDO2-Authentifizierung unterstützt wird, während der private Schlüssel beim Benutzer verbleibt und auf einem physischen Sicherheitsschlüssel geschützt wird.
Die YubiKey-5-Serie ist eine hardwarebasierte Authentifizierungslösung, die starke Zwei-Faktor-, Multi-Faktor- und passwortlose Authentifizierung mit Unterstützung für mehrere Protokolle wie FIDO2, FIDO U2F, PIV (Smartcard), OpenPGP und Einmalpasswörter (OTP) bietet. Mit dem ersten Satz von Multiprotokoll-Sicherheitsschlüsseln, die FIDO2 unterstützen, hilft die YubiKey-5-Serie Anwendern, den Weg in eine passwortlose Zukunft zu beschleunigen. Der Security Key NFC by Yubico liefert FIDO2 und FIDO U2F in einem einzigen Gerät und unterstützt tausende von bestehenden U2F-Zwei-Faktor-Authentifizierungsdiensten (2FA) sowie zukünftige FIDO2-Implementierungen.
Die Authentifizierung selbst funktioniert schnell und einfach. Durch einfaches Einstecken oder Antippen des Sicherheitsschlüssels wird die Authentifizierungsanfrage abgeschlossen und die Anmeldung erfolgt sofort. Mit FIDO2 kann der Sicherheitsschlüssel allein oder in Kombination mit einer PIN verwendet werden, um eine passwortlose Authentifizierung zu erreichen. Darüber hinaus ist die Zwei-Faktor-Authentifizierung mit einem Passwort weiterhin eine mögliche Authentifizierungsmethode.
Für weitere Informationen, laden Sie unser Whitepaper Starke Authentifizierung mit dem YubiKey: Best Practices für den Gesundheitssektor herunter.