IT-Sicherheit und Datenschutz im Sozial- und Gesundheitsbereich: Jede Webanwendung birgt Gefahrenpotenzial
von Arne Wolff & Maximilian Kluge
Internetbasierte Programme und Anwendungen sind aus unserem Alltag nicht mehr wegzudenken. Mit ihnen wird die Arbeit mobiler. Gerade im Lockdown während der Corona-Pandemie haben Webanwendungen dafür gesorgt, dass der Betrieb für viele Branchen auch im Homeoffice aufrechterhalten werden konnte. Anders als klassische Programme, die auf dem Computer des Anwenders installiert sind und zumindest grundsätzlich ohne Internetanbindung funktionieren, laufen Web-Applikationen auf Servern, die in der Regel vom Anbieter betrieben werden. Im Wesentlichen werden nur Ein- und Ausgabe anwenderseitig ausgeführt – typischerweise mit Hilfe eines normalen Webbrowsers oder gelegentlich (vor allem bei mobilen Endgeräten) als eigenständige App. Dank des World-Wide-Webs und Mobilfunk ist die Anwesenheit von Mitarbeitenden am Arbeitsplatz nicht mehr zwingend erforderlich, um Daten austauschen zu können.
Heutzutage muss Outlook oder Word nicht mehr auf dem Arbeitsrechner installiert werden, man kann durch das Browserfenster auf alle Ressourcen zugreifen, sofern das eigene Unternehmen es zulässt. Viele Organisationen setzen jedoch auch auf eigene Anwendungen wie Pflegeplatzbuchungssysteme oder Portale für die Patientenkommunikation. Was oft vergessen wird: Bei dem Einsatz solcher Anwendungen öffnet sich immer ein Teil des Unternehmens nach außen, es entsteht ein Einfallstor für Hacker. Dieses kann es Angreifern erleichtern, sich in die Kommunikation zwischen Server und Client „einzuklinken“ und Zugriff auf sensible Daten zu erlangen. Auch deshalb ist es wichtig, den verwendeten Webbrowser bzw. die Client-App und das Betriebssystem des Endgerätes immer auf dem aktuellen Stand zu halten.
Wenn Anwender durch z. B. Schadsoftware erfolgreich angegriffen werden, kann dies zu unterschiedlichsten Schäden führen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Schäden in fünf Kategorien geordnet:
- Ausfall, Einschränkung oder Missbrauch kritischer Geschäftsfunktionen
- Entwendung vertraulicher Unternehmens- oder Kundendaten
- Wettbewerbsnachteile durch ungenügende Adressierung von Sicherheit in vertriebener Software
- Negative Außendarstellung und negativer Einfluss auf die Reputation des Unternehmens durch publik gewordene Sicherheitslücken oder publik gewordene Daten
- Verstoß gegen externe Vorgaben (etwa Gesetze, verbindliche Standards etc.)
So können etwa schlecht gesicherte IT-Systeme und Software-Fehler genutzt werden, um Verschlüsselungstrojaner (sog. Ransomware) zu aktiveren. Dann beginnt eine Erpressung: Alle erreichbaren Datenträger und Systeme werden verschlüsselt, erst gegen Zahlung eines Lösegeldes erhält man wieder Zugriff auf die Daten. Dieses Problem betrifft – anders als viele denken – nicht nur große Organisationen, sondern auch soziale Organisationen oder Pflegeeinrichtungen. Auf der einen Seite sind zwar die in der Pflege- und Gesundheitsbranche eingesetzten IT-Systeme weniger komplex als im medizinischen Umfeld. Auf der anderen Seite hinken IT-Budgets und Professionalisierungsgrad von IT-Abteilungen in Sozialwirtschaft und Pflege den Aufwendungen für IT-Sicherheit in Kliniken hinterher.
Risikoanalysen helfen, das Gefahrenpotenzial einzuschätzen
Beim Einsatz von Webanwendungen sollte bedacht werden, dass die erwähnte Schwachstelle vorhanden ist. Eine Risikoanalyse ist daher immer empfehlenswert. Um die Sicherheit einer Anwendung zu gewährleisten, ist es wichtig, genug Zeit einzuplanen, eventuelle Schwachstellen erkennen zu können – noch bevor die Applikation für alle Mitarbeitenden verfügbar gemacht wird. Qualitätsstandards, Richtlinien und Sicherheitsanforderungen des Unternehmens sollten dabei stets gewahrt bleiben. Um Risiken frühzeitig identifizieren und behandeln zu können empfiehlt es sich, eine Bedrohungsmodellierung auszuführen. Dabei wird versucht, umfassende Gedanken zur Angreifbarkeit einer Applikation anzustellen, um einen Umgang mit diesen in das Qualitätsmanagement zu überführen.
Datensicherheit und Datenschutz erhöhen
Neben Schwachstellen in der IT-Sicherheit spielt der Schutz sensibler Daten – gerade in Gesundheits- und Pflegebranche – eine große Rolle. Oft führt der Einsatz von Privatgeräten zu dienstlichen Zwecken – egal ob geduldet oder missbräuchlich – im Alltag zu Verletzungen des Datenschutzes. Schnell ist ein Foto zur Wunddokumentation mit dem privaten Mobiltelefon gemacht, unbewusst wird es im Hintergrund automatisch in die Cloud hochgeladen und schon hat ein Drittlandtransfer ohne ausreichende Rechtsgrundlage stattgefunden. Es kann aber auch der banale „Blick über die Schulter“ sein, der zu einer Datenpanne führt, oder es wurde versäumt, einem ausgeschiedenen Mitarbeitenden den Zugriff auf eine Anwendung zu entziehen.
Aus Sicht des Datenschutzes gilt es, den rechtlichen Rahmen für den Einsatz von Web-Applikationen zu schaffen, also vor allem
- einen Auftragsverarbeitungsvertrag mit dem Anbieter zu schließen und dabei besonders auf die veränderte Situation seit dem Wegfall des EU-US Privacy Shields zu achten und
- die Datenschutzrichtlinie des Unternehmens so zu gestalten, dass dem Einsatzbereich der Anwendung Rechnung getragen wird, also zum Beispiel die Nutzung von Privatgeräten zu dienstlichen Zwecken geregelt ist.
Bei der Datensicherheit fehlt dem bloßen Anwender internetgestützter Softwaresysteme allerdings weitgehend die Möglichkeit des direkten Zugriffs – umso wichtiger ist es, sich vor der Entscheidung für einen bestimmten Anbieter zu informieren, wie es um sein Renommee in Bezug auf Sicherheit bestellt ist, ob vielleicht in der Vergangenheit schon auffallend oft Schwachstellen seiner Anwendungen bekannt wurden und wie er darauf reagiert hat.
Verantwortungsbewusste Hersteller versuchen nicht, gemeldete Sicherheitslücken „unter den Teppich zu kehren“, sondern handeln konstruktiv und zeitnah, bestenfalls proaktiv. Doch auch bei Web-Applikationen, die schon im Unternehmen eingeführt sind, kann und sollte man Einfluss auf den Hersteller nehmen, wenn man den Eindruck hat, dass der Sicherheit nicht genügend Aufmerksamkeit geschenkt wird.
Vor allem aber gilt es, Unbefugten den Zugriff auf die Web-Applikation zu verwehren. Schließlich kann dieser ohne spezielle Hardware und prinzipiell von überall auf der Welt erfolgen – Benutzername und Passwort sind oft die einzige Hürde. Als schärfstes Schwert im Kampf gegen Cyber-Kriminelle gilt die 2-Faktor-Authentifizierung, bei der zusätzlich zum Faktor „Wissen“ (nämlich das Passwort und der oft leicht zu erratende Benutzername) ein zweiter Faktor zur Anmeldung erforderlich ist. Dieser zweite Faktor ist meistens ein spezifisches Gerät (beziehungsweise eine Authentifikations-App, z.B. auf einem Smartphone) oder ein biometrisches Merkmal (Fingerabdruck). Selbst wenn etwa durch Leichtfertigkeit ein Passwort offengelegt wird, fehlt dem Angreifer dann immer noch der zweite Faktor zum Erfolg.
Neben technischen Schutzmaßnahmen ist es wichtig, eine Sensibilisierung der Mitarbeitenden („Security Awareness“) zu erreichen, z. B. durch gezielte Schulungsmaßnahmen. Des Weiteren sind Backup und Wiederherstellung kritisch zu prüfen und regelmäßig zu testen.
Weitere Informationen unter: www.althammer-kill.de
