Cybersecurity und Gesundheit: "Die Herausforderung ist nicht nur finanziell, sondern auch menschlich"

“Um die IT-Infrastrukturen von Einrichtungen des Gesundheitswesens zu sichern, brauchen Sie ein Budget, um in geeignete Lösungen zu investieren, aber Sie brauchen auch Fähigkeiten. Der France Relance-Plan ist ein erster Schritt mit Unterstützung für den finanziellen Aspekt. Ohne menschliche Ressourcen können Projekte jedoch nicht effektiv durchgeführt werden. Der Schwerpunkt muss daher auf der Rekrutierung, aber auch auf der Sensibilisierung und Ausbildung aller Krankenhausberufe liegen. Cybersicherheit ist jetzt eine Frage der Governance.”

In einem exklusiven Interview mit Health & Tech Intelligence spricht François Lancereau, Experte für das Gesundheitswesen bei WALLIX, einem europäischen IT-Sicherheitssoftwareunternehmen, das sich auf digitales Zugangs- und Identitätsmanagement spezialisiert hat, über die Probleme und Herausforderungen der Cybersicherheit in Gesundheitseinrichtungen.

“Die EU hat ein großes Interesse daran, sich aufzudrängen und ihre Regeln zu diktieren”

📌 Schlüsselelemente der Diskussion :

– François Lancereau ist der Meinung, dass die derzeitigen Budgets der Krankenhäuser für die Cybersicherheit “nicht ausreichen”. Er weist jedoch darauf hin, dass der France Recovery Plan für viele Einrichtungen des Gesundheitswesens lebensrettend war: Er hat es ihnen ermöglicht, Lösungen zu erwerben, die sie vorher nicht bekommen konnten;

‍
– Er besteht darauf, dass die Anwerbung von Fachkräften im Bereich der Informatik ebenfalls unerlässlich ist;
“Das Thema IT-Sicherheit muss innerhalb der Organisation global angegangen werden (Governance-Fragen), und nicht nur vom CISO zum Beispiel, stellt er fest: “Es ist notwendig, dass sich alle Mitarbeiter des Unternehmens mit dem Thema befassen, um Verstöße zu vermeiden;
– Eine der Schwierigkeiten besteht darin, alle Mitarbeiter für gute Praktiken zu sensibilisieren: “Ohne ein echtes Change Management könnte das Cybersicherheitsprojekt scheitern”;
– In der Vergangenheit konnten einige amerikanische oder japanische Hersteller bestimmte Kontrollen oder Vorschriften umgehen, aber das ist heute nicht mehr möglich. “Hier helfen die europäischen Vorschriften: Wir bewegen uns in Richtung des Prinzips “sie haben keine Wahl mehr”. Nicht mehr die Einrichtungen passen sich den Herstellern an, sondern die Hersteller passen sich den Bedürfnissen der Einrichtungen an.” WALLIX hat bereits mit vielen von ihnen Gespräche aufgenommen, “um diesen Wandel einzuleiten;
– François Lancereau betont auch, wie wichtig es ist, Sicherheitsaspekte “by design” zu integrieren: “Wir müssen alles überwachen, was in das Krankenhaus gelangt, und sicherstellen, dass die Ausrüstung sicher und/oder geschützt ist”;
– Für François Lancereau ist die Zahlung von Lösegeldern “ein Irrweg”: “Europa hat mehr als jedes andere Interesse daran, sich aufzudrängen, um seine Regeln zu diktieren (…) Ein massives “Nein” ist in der gesamten EU notwendig”;
Schließlich betont er, wie wichtig es ist, dass die neuen Generationen bereits in der Grundschule gute Computer-Sicherheitsreflexe entwickeln.

‍

Könnten Sie in einigen Worten WALLIX und insbesondere Ihre Aktivitäten im Gesundheitssektor vorstellen?

François Lancereau: Unser Spezialgebiet ist die Sicherung von Zugang und digitalen Identitäten. Wir sind in mehr als 90 Ländern mit mehr als 2.000 Kunden weltweit vertreten. Wir haben eine starke Präsenz in Frankreich, konnten aber in den letzten 20 Jahren international expandieren (das Unternehmen wurde 2003 gegründet). So können wir mit den unterschiedlichen Vorschriften auf dem Markt umgehen: Für ein und dasselbe Produkt gibt es nicht unbedingt die gleichen Anwendungen, je nachdem, woher unser Kunde kommt (z. B. USA oder Frankreich).

Unsere Lösung, WALLIX PAM4ALL (PAM: Privileged Access Management), zielt darauf ab, alle Zugriffe der Benutzer – Menschen oder Maschinen – einer Organisation nach dem Prinzip der geringsten Privilegien zu sichern. So können Sie feststellen, wer was, wo, wann und wie macht.

Unsere bevorzugten Sektoren sind die Industrie, das Gesundheitswesen und Finanzdienstleistungen, mit einer starken Expertise im industriellen IoT (vernetzte Geräte / Beispiele: Produktionsmaschinen in Fabriken, Scanner, Laborroboter, MRTs usw.): kritische Technologien, die oft auf sehr alten Windows-Versionen laufen.

Einige der Krankenhäuser, mit denen wir in den letzten Jahren Verträge abgeschlossen haben, erkannten – als sie WALLIX PAM4ALL installierten – das Verhalten ihrer Nutzer, insbesondere ihrer Dienstleister: Sie meldeten Verbindungszeiten und identifizierten Geräte, die zu regelmäßigen Ausfällen neigten. Seit die Bastion steht, haben sie festgestellt, dass diese Geräte keine Ausfälle mehr haben, dass alles in Ordnung ist. Mit unserer Lösung nehmen wir die Menschen in die Pflicht: Wir hindern sie nicht an der Arbeit, sondern machen sie sicher.

Das Bewusstsein für die Notwendigkeit, Expertenprofile zu rekrutieren

Cyberangriffe nehmen im Gesundheitssektor zu. Der jüngste Angriff auf das Centre Hospitalier Sud Francilien (CHSF) hat für viel Aufsehen gesorgt. Sind Ihrer Meinung nach die Haushaltsmittel der Krankenhäuser ausreichend, um ihren Cyberschutz zu gewährleisten?

Die derzeitigen Krankenhausbudgets sind nicht ausreichend. Es ist auch wichtig zu verstehen, dass, als es ursprünglich notwendig war, CIOs in Krankenhäusern zu ernennen, diese Rolle oft automatisch an Ärzte vergeben wurde, die mehr oder weniger IT-affin waren. Diese Organisation hat sich seither stark verändert: Entweder sind einige dieser Ärzte zu IT-Experten geworden, oder die Position wurde an Personen vergeben, deren Aufgabe es war. Dieser Prozess begann bereits vor der Covid-Pandemie, und aufgrund der verschiedenen Angriffe auf den Sektor während und nach der Krise ist es uns gelungen, im kollektiven Unbewussten zu verankern, dass es notwendig ist, diese Rolle Experten zu übertragen, die wissen, wovon sie sprechen.

Früher galten CISOs als Schwarzmaler, die vor der Notwendigkeit warnten, ein spezielles Budget für Cybersicherheit bereitzustellen, diese oder jene Praxis einzuführen, die Mitarbeiter zu sensibilisieren usw. In der Regel wurde ihnen gesagt, dass weder das Budget noch die Zeit vorhanden sei, um ihre Empfehlungen umzusetzen. In der Regel wurde ihnen gesagt, dass weder das Budget noch die Zeit vorhanden sei, um ihre Empfehlungen umzusetzen. Bis die Katastrophe eintrat und sie Recht bekamen. Hätte man von Anfang an auf sie gehört, hätten bestimmte Situationen vermieden oder zumindest eingedämmt werden können.

Die finanziellen Mittel ermöglichen es uns, über materielle, aber auch menschliche Mittel zu verfügen. Der France Relance-Plan hilft den Instituten beim “Kapital”-Aspekt, aber sie müssen verstehen, dass sie auch über die personellen Ressourcen verfügen müssen, um diese Probleme zu bewältigen.

Es geht also nicht nur um das Budget, sondern um den Aspekt der “Mittel” im weitesten Sinne: kompetente, geschulte Leute zu haben… Der Vorteil ist, dass wir heute ein echtes Ohr für Fragen der Cybersicherheit haben, eine Aufmerksamkeit, die wir früher nicht hatten. Jeder weiß, dass ein Cyberangriff katastrophale Auswirkungen auf die Krankenhausdienste haben kann. Wenn Hacker beispielsweise das Belüftungssystem in Operationssälen ausschalten, müssen sie den Saal sofort schließen, denn ein nicht belüfteter Saal ist nicht mehr steril: Wenn zum Zeitpunkt des Angriffs ein Patient auf dem Operationstisch liegt und alles stillsteht, kann das dramatische Folgen haben.

Die Notwendigkeit einer echten Governance, damit das Thema allgemein bekannt wird

Wer sollte Ihrer Meinung nach die Verantwortung für dieses Thema in Gesundheitseinrichtungen übernehmen, um solche Angriffe zu verhindern?

Das Problem ist nicht, “wer”, denn sonst schieben alle den Schwarzen Peter weiter, bis es einen von ihnen erwischt, zum Beispiel den CISO: und wenn etwas passiert, muss er oder sie die volle Verantwortung übernehmen. Das Thema muss mit einem echten Governance-Thema besetzt werden, damit es zu einem gemeinsamen Thema wird. Es ist nicht mehr möglich, dass jeder in seiner eigenen Ecke agiert.

Das Thema muss auf eine globale Art und Weise angegangen werden. Der CISO wird bei der Formulierung von Empfehlungen eine Rolle spielen, denn es ist seine Aufgabe, die verschiedenen Berufe abzusichern, aber er braucht die Unterstützung der IT-Abteilung und des Personals (Krankenschwestern, Ärzte, Mitarbeiter im Labor usw.).

Die Schwierigkeit besteht darin, alle an Bord zu bekommen. Es ist schwierig, Arbeitsgewohnheiten zu ändern. Sensibilisierung und Schulung sind daher bei der Umsetzung von Cybersicherheitsprojekten unerlässlich. Ohne echtes Änderungsmanagement könnte das Projekt scheitern. Alle Mitarbeiter des Unternehmens müssen sich das Thema zu eigen machen, um Verstöße zu vermeiden.

Was die Vorwegnahme von Angriffen betrifft, so gibt es eine Reihe von Einrichtungen, die derzeit Lösungen wie das VPN (Virtual Private Network) nutzen können, um zu wissen, wer ein- und ausgeht. Wenn zum Beispiel eine Person zum Reinigen kommt, kann sie sich mit einem Ausweis ein- und ausweisen. Aber welche Garantie haben wir, dass es die Person ist, die putzt? Zumal diese Person mit dieser Art von Ausweis überall in der Einrichtung hingehen kann. Das ist eines der Hauptprobleme: Wir wissen nicht, was die Menschen in der Organisation tatsächlich tun. Es gibt keine Rückmeldung. Zum Beispiel wurde Uber Ende 2016 gehackt (und auch letzten September…). Es handelt sich um ein großes US-Unternehmen mit vielen Ressourcen, aber es hat 2 Jahre gedauert, bis sie wussten, dass sie gehackt worden waren. Sie hatten keine Beweise.

Heute müssen wir in der Lage sein, alle potenziellen Einstiegspunkte für Hacker zu sichern. Solange es Menschen gibt, wird es auch Risiken geben. Die Frage ist nicht, “ob” ich angegriffen werde, sondern “wann”.

“Vorschriften sind gut, sie durchzusetzen ist besser”

Sollten besondere Vorschriften erlassen werden? Sind Sie der Meinung, dass der Cyber Resilience Act, der derzeit auf europäischer Ebene für vernetzte Objekte ausgearbeitet wird, erweitert werden sollte?

Vorschriften sind gut, sie durchzusetzen ist besser. Wenn ich Sie bitte, 50 Aufgaben an einem Tag zu erledigen, ist das nicht möglich. Aber es gibt tatsächlich Dinge, die gesetzlich geregelt werden müssen. So gibt es zum Beispiel viele biomedizinische Geräte, die von ausländischen Herstellern produziert werden, für die andere Gesetze gelten als für unsere. Einige von ihnen werden sich an die französische Gesetzgebung halten müssen: Sie können nicht mehr so handeln, wie sie wollen, sondern es gibt eine Zeit der Unsicherheit.

Einige unserer Kunden stehen bereits mit uns (WALLIX) in Kontakt, um zu sehen, wie wir unsere Lösungen miteinander verbinden können, damit wir nachvollziehen können, was sie tun, denn heutzutage sollte jede Gesundheitseinrichtung wissen, was zu Hause vor sich geht.

Bislang hatten diese Hersteller die Möglichkeit, sich bestimmten Kontrollen oder Vorschriften zu entziehen. Heute ist dies nicht mehr möglich. Hier hilft die europäische Verordnung: Wir nähern uns dem Prinzip “Sie haben keine Wahl mehr”. Es sind nicht mehr die Institutionen, die sich an die Hersteller anpassen, sondern die Hersteller passen sich den Bedürfnissen der Institutionen an. Deshalb haben wir bereits mit vielen von ihnen Gespräche aufgenommen, um diesen Wandel einzuleiten. In diesem Zusammenhang sind die französische und die europäische Gesetzgebung sehr wichtig.

Andererseits ist es für die Krankenhäuser intern, wie ich bereits sagte, vor allem das Mittel, das sie brauchen.

“Der France Recovery Plan war für viele Krankenhäuser ein Lebensretter.

Eine aktualisierte Version des HDS-Zertifizierungsstandards ist in Arbeit und die neue französische Roadmap für das digitale Gesundheitswesen 2023-2027 sollte die Cybersicherheit zu den Prioritäten zählen: Welche Erwartungen haben Sie hinsichtlich dieser regulatorischen Änderungen?

Sie müssen über Sicherheit “by design” nachdenken: Wenn Sie eine Lösung entwickeln, müssen Sie sich von Anfang an fragen, wie Sie sicherstellen können, dass sie sicher ist, oder zumindest, wie Sie sie einfach sichern können. Wenn Sie im Operationssaal eine Kamera installieren und sie an die IT-Infrastruktur anschließen, woher wissen Sie dann, woher sie kommt und ob das System sicher ist? Sie müssen alles kontrollieren, was in das Krankenhaus kommt, und dafür sorgen, dass die Ausrüstung “sicher” und/oder sicher ist.

Bei WALLIX haben wir zum Beispiel Sensibilisierungsveranstaltungen in den großen Schulen für die Führungskräfte von morgen, die zukünftigen technischen und administrativen Manager, entwickelt. Wenn sich jemand bei seiner E-Mail anmeldet und eine seltsame E-Mail sieht, sollte sein erster Instinkt sein, sie nicht zu öffnen, seine IT-Abteilung zu informieren und sie zu löschen. Wenn wir in Unternehmen einen Phishing-Test durchführen, stellen wir fest, dass die Personen, die auf Phishing reagieren, nicht immer diejenigen sind, an die wir denken. Es kann sich um einen Manager oder eine Empfangsdame handeln: die Auswirkungen sind je nach Profil nicht die gleichen.

Unser Ziel ist es, diese Reflexe bei den neuen, jungen Generationen zu entwickeln, indem wir über das Erlernen der Grundlagen hinausgehen. Die Idee ist, das Bewusstsein schon im frühesten Alter, ab der Grundschule, zu schärfen, denn Kinder fangen schon sehr früh an, digitale Werkzeuge zu benutzen. Gute Cybersicherheitspraktiken müssen zu einem Reflex werden, so wie man Kindern beibringt, die Straße zu überqueren, indem man nach rechts und links schaut.

Glauben Sie, dass sich das allgemeine Bewusstsein für das Thema Cybersicherheit bereits weiterentwickelt hat?

Außerdem waren bisher alle der Meinung, dass PAM-Lösungen (Privileged Access Management) zwar nützlich sind, aber es gab kein wirkliches Bewusstsein für ihre Notwendigkeit. Das ist nicht mehr das Problem: Es ist jetzt offensichtlich, dass Sie diese Lösungen brauchen, um Identitäten zu verwalten und zu wissen, was intern vor sich geht, aber auch, was die Dienstleister tun, denn ein Krankenhaus hat mehrere hundert Dienstleister, die sich jeden Tag anmelden. Es ist ein Bienenstock von Menschen, die ein- und ausgehen. Mit dieser Art von Lösungen können wir Kameras und Zugangskontrollen einrichten, seltsames Verhalten erkennen und Blockiermechanismen einrichten.

In diesem Sinne ist der France Relance-Plan wirklich hilfreich: Er hat es den Krankenhäusern ermöglicht, Lösungen zu erwerben, die sie zuvor aufgrund fehlender finanzieller Mittel nicht kaufen konnten. Der einzige Nachteil ist, dass es eine Finanzierung zu einem “T”-Moment ermöglicht. Es gibt ein wiederkehrendes Element, das in den kommenden Jahren zu erwarten ist.

In jedem Fall war der France Relance-Plan für zahlreiche Gesundheitseinrichtungen die Rettung. Es ist eine Schande, dass es so lange gedauert hat, aber jetzt, wo es da ist, ist es ein Schritt nach vorn.

Lösegeldzahlungen: “Ein massives EU-weites Nein” ist nötig

Was ist Ihre Meinung zu Lösegeldzahlungen?

Ich persönlich halte es für einen Irrweg, das von den Hackern geforderte Lösegeld zu zahlen. Sobald der Staat das Prinzip der Lösegeldzahlungen durch Versicherungsunternehmen bestätigt (dies könnte für diese Unternehmen von Interesse sein), ist dies aus Sicht eines Cyberangreifers ein Geschenk des Himmels. Alle Hacker der Welt werden sich an Frankreich wenden!

Hier sind die europäischen Vorschriften entscheidend. In Frankreich sind wir in diesem Bereich sehr fortschrittlich, aber auf der anderen Seite haben wir die amerikanischen Giganten (GAFAM), die bis jetzt gemacht haben, was sie wollten. Europa hat mehr als jedes andere Interesse daran, sich aufzudrängen und seine Regeln zu diktieren. Frankreich allein kann nichts tun: ein massives “Nein” ist auf der Ebene der gesamten Europäischen Union erforderlich.

Lesen Sie das Interview auf der Website von Health & Tech Intelligence (auf Französisch)