WeTalkSecurity ist der deutschsprachige ESET Security Podcast zu den Bereichen Digitalisierung und IT-Sicherheit. Unsere Themen reichen vom Online-Shopping, Cyber-Spionage bis zur Absicherung des Unternehmensnetzwerks. Jeden Monat sprechen wir mit interessanten Gästen über aktuelle Themen aus der IT-Security. Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 110 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 200 Ländern und Niederlassungen u.a. in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de.
Höre unbegrenzt Podcasts und Hörbücher
Zugang zu mehr als 800.000 Podcasts und Hörbüchern
Unbegrenzter Zugang
Bereits mehr als 100.000 Mitglieder
30 Tage kostenlos, dann 4,99€/Monat. Jederzeit kündbar.
Nutze PayPal oder Kreditkarte.
Die neuesten Episoden
Alle anzeigen
11/4 2022
Smart Home - So klappt es mit der Sicherheit Zuhause | Folge 5
Wie ist der Stand beim Internet der Dinge? Wie sieht es beim Thema Sicherheit aus?In der aktuellen Folge geht es um das Thema Smart Home. Wie sieht es 2022 beim Thema Sicherheit aus? Hat der Digitalisierungsschub in den vergangenen Jahren zu einem Umdenken führt? Christian Lueg spricht in dieser Folge mit Markus Bartsch von TÜViT und Thomas Uhlemann von ESET. Die GästeMarkus Bartsch studierte Informatik und arbeitet seit 1995 bei der TÜV Informationstechnik GmbH (TÜViT) –Unternehmensgruppe TÜV NORD. Nach jahrelanger Projektleitertätigkeit, in deren Rahmen IT-Sicherheitsprodukte und –systeme konzeptioniert, bewertet oder zertifiziert wurden, ist Herr Bartsch nun verantwortlich für Querschnitts-Themen innerhalb des TÜV NORD Konzerns, die sich aus dem immer größer werdenden Potential des Einsatzes von verteilter IT und den daraus resultierenden Sicherheitsrisiken insbesondere in folgenden Bereichen ergeben. Thomas Uhlemann ist bei der ESET Deutschland GmbH als Security Specialist für die Präsentation aktueller Malware-Themen, Trends und Awareness zuständig. Dafür wurde er unter anderem bereits mehrfach mit dem "Best Speaker" Award der Vogel IT-Akademie ausgezeichnet. Zudem dient er als Schnittstelle zwischen den ESET Malware- & Research Labors und den Sales & Marketing Abteilungen des Unternehmens. Wie sieht es im Bereich Smart Home aktuell aus?Wie sieht es aus im Bereich Smart Home? Hat sich hier in den letzten Jahren etwas getan? Ist "Security by Design" endlich fester Bestandteil des Entwicklungsprozesses? Wie sieht es im Unternehmensbereich aus? Der Bitkom Verband hat kürzlich eine Umfrage veröffentlicht, die besagt, dass vier von zehn Anwendern Smart Home Geräte in ihrem Haushalt verwenden (Quelle: https://www.bitkom.org/Bitkom/Publikationen/Das-intelligente-Zuhause-Smart-Home-2021) [https://www.bitkom.org/Bitkom/Publikationen/Das-intelligente-Zuhause-Smart-Home-2021)]. Der Trend geht in den letzten Jahren steil nach oben. Smarte Geräte halten Einzug in die Haushalte, auch in dem des Moderators dieser Folge Rauchmelder, Fensterkontakte, Heizkörperthermostate, Lichtsteuerung aber auch Sprachassistenten haben bei ihm nun einen festen Platz. Gerade beim Thema heizen ergeben sich hier sichtbare Vorteile, beispielsweise durch einen niedrigeren Gasverbrauch. Markus Bartsch gibt zunächst einen kurzen Überblick, wie der TÜV die Sicherheit betrachtet. Bei elementaren Aspekten der Sicherheit, wie der Sicherheit des Anwenders bei der Nutzung der Geräte, ist man "safe". Bei der Sicherheit der Geräte vor Datendieben oder Spionen gibt es aber Nachholbedarf. Es gibt auf dem Markt einen Wildwuchs unterschiedlicher Lösungsanbieter, die eine Spannbreite im Bereich IT-Security haben. Viele Anbieter haben das Thema auf dem Schirm, aber es gibt auch negative Beispiele. Smart Home Geräte sind in den vergangenen Jahren deutlich beliebter bei Kriminellen geworden, so die Einschätzung von Thomas Uhlemann beim Blick in die Telemetrie-Daten von ESET. Cyberkriminelle sind wirtschaftlich orientiert und versuchen mit wenig Aufwand einen hohen finanziellen Ertrag zu erzielen. Je stärker sich das Internet der Dinge durchsetzt, desto attraktiver wird es für Hacker. Diese Angriffe konzentrieren sich bisher stark auf Schnittstellen wie Router (Z.B.: https://www.welivesecurity.com/deutsch/2018/10/09/wlan-router-durch-sicherheitsluecken-gefaehrdet/ [https://www.welivesecurity.com/deutsch/2018/10/09/wlan-router-durch-sicherheitsluecken-gefaehrdet/]) oder gezielt auf Schwachstellen (Z.B.: https://www.welivesecurity.com/deutsch/2020/04/22/kritische-sicherheitsluecken-in-3-smart-home-hubs/) [https://www.welivesecurity.com/deutsch/2020/04/22/kritische-sicherheitsluecken-in-3-smart-home-hubs/)]. Hier gibt es viele Meldungen zu geschlossenen Lücken, schließen Anwender oder Hersteller diese aber nicht zeitnah, besteht die Gefahr, dass diese von Kriminellen ausgenutzt werden. "Security by Design": Weiterhin frommer Wunsch oder Realität?Für Markus Bartsch verfolgen die Hersteller in erster Linie das Thema "Design". "Security" ist eher weniger wichtig. Dabei ist aber auch wichtig zu schauen, was mit dem Begriff gemeint ist. Eine verschlüsselte Kommunikation, damit Dritte nicht mithören können, ist das eine. Aber auch der Schutz, dass jemand von Außen Zugriff erhält. Das Umzusetzen ist nicht leicht. Hersteller müssen genau bedenken, was mögliche Angriffsvektoren sein könnten. Dabei ist dann nicht nur das jeweilige Geräte oder das Gateway relevant, sondern auch das Benutzer-Frontend auf dem Mobilgerät oder Desktop-PC. Zudem betreiben viele Hersteller noch ein Backend-System wo dann alle Informationen von verschiedenen Kunden zusammenlaufen. Hier muss aus Sicht des Experten noch viel gemacht werden. Thomas Uhlemann sieht, dass es besser geworden ist beim Thema "Security by Design". Entwicklungsprozesse haben sich deutlich verbessert. Die Kommunikation findet mittlerweile fast immer verschlüsselt statt. Auch die Integration von Geräten und die Sicherheit von Zugängen sind in den letzten Jahren sicherer geworden. Dennoch sieht auch Thomas noch ein Nachholbedarf bei der Absicherung von Frontend-Zugängen. Nicht nur der Besitzer kann jederzeit und von überall auf sein Smart Home zugreifen, Dritte könnten das dann auch. Hier muss bei der Entwicklung und auch beim Betrieb weiterhin ein gesundes Maß an Paranoia bestehen. Ähnlich wie Markus sieht auch Thomas es als elementar an, dass Hersteller sehr genau hinschauen, wo Angriffsvektoren bestehen. Markus beobachtet in den letzten 10 Jahren, dass viele Hersteller mit ihrem Smart Home Geräten viel Wind gemacht haben und mittlerweile verschwunden sind, andere sind dazugekommen. Und je länger auch Anwender IoT-Geräte im Einsatz haben, desto heterogener ist der Aufbau. Geräte verschiedener Hersteller sind miteinander verknüpft und das Ganze soll dann mit einem Sprachassistenten verknüpft werden. Dadurch werden die Herausforderungen aus Security-Sicht nicht einfacher. Es ergeben sich offene Schnittstellen, die es dann abzusichern gilt. Hier muss ein genauer Design- und Netzwerkplan gemacht werden. Was für Anwender natürlich eine Herausforderung darstellt. Was gibt es für den Privatanwender beim Kauf zu beachten?Markus Bartsch empfiehlt genau hinzusehen und die Produktportfolios der Hersteller zu prüfen. Gibt es neben funktionellen auch sicherheitsspezifische Aussagen? Zudem sollten Interessierte einen Anbieter wählen, wo gerade zu Beginn erstmal ein homogenes System aufgesetzt werden kann. Das erleichtert den Einstieg enorm. Darüber hinaus müssen Anwender sich selber fragen, was ihr eigenes Sicherheitsbedürfnis ist. Ein gehackter Lichtschalter ist vielleicht nicht ganz so schlimm wie ein Zutrittskontrollsystem. Hier sollte genau hingeschaut werden. Thomas Uhlemann ergänzt, dass Interessierte vor dem Kauf genau hinschauen. Eine Möglichkeit sind Bewertungen anderer Käufer. Was sagen diese über das Produkt? Was steht vielleicht auch zwischen den Zeilen? Wenn sich sehr gute und sehr schlechte gleichverteilt gegenüberstehen, sollte man einen kritischen Blick werfen und misstrauisch sein. Gleichzeitig empfiehlt der Experte die Anbindung des Smart Homes zu checken. Muss zwingend über die Cloud des Herstellers kommuniziert werden? Gibt der Hersteller Angaben darüber, wie lange diese verfügbar bleibt und wie die Kommunikation gesichert ist? Besteht die Möglichkeit der Steuerung im eigenen Netzwerk? Diese Fragen sollten sich Anwender vor dem Kauf stellen. Einbruch ins Smart Home: Wie klappt es mit der Versicherung?Wie sieht es aus, wenn das smarte Zutrittssystem vom Einbrecher missbraucht wird? Klassische Spuren gibt es dann natürlich nicht. Laut Markus Bartsch sind glücklicherweise die meisten Einbrecher noch keine Hacker. Es ist aber möglich, dass sich das mit zunehmender Verbreitung ändert. Tritt ein solcher Fall ein wird es für das Opfer schwer dies der Versicherung zu erklären. Derzeit gibt es keine generelle Regel, wie Versicherungen damit umgehen. Markus Bartsch empfiehlt Nutzern, die sich ein solches Zutrittssystem anschaffen wollen, vorher mit ihrer Versicherung zu sprechen und nachzufragen, was bei einem Versicherungsfall zu tun ist. Thomas Uhlemann berichtet von einem ähnlichen Fall. Der Server eines Schließsystems ist ausgefallen, durch diesen Notfall haben alle Schlösser einen Öffnungs-Befehl erhalten. Ebenso ist die Frage was passiert, wenn die Stromversorgung ausfällt oder schlicht die Batterie leer ist. Ausblick: IoT im UnternehmenssektorIoT im Unternehmensbereich, bspw. im smarten Bürogebäude oder im Fertigungsbereich, hat laut Markus Bartsch gerade bei der IT-Sicherheit enormen Nachholbedarf. Für Thomas Uhlemann sind hier Schadcode-Angriffe und Überlast-Attacken sehr beliebt. Beispielsweise wurden Energieversorger mit DDoS-Attacken lahmgelegt. Botnetze sind hier ein beliebtes Mittel. Mit Phishing wird versucht sich Zutritt zu verschaffen. Wo geht die Reise im Smart Home hin?Markus Bartsch von TÜViT geht davon aus, dass das Sicherheitsbewusstsein steigen wird. Cyberattacken sind stärker im öffentlichen Fokus. Es wird mehr Prüfungen geben und das Security-Niveau wird steigen. Thomas Uhlemann geht von einem Aufrüsten der Kriminellen aus. Zunehmende Vernetzung setzt sich durch und Angreifer wollen hier ansetzen. Es ist wichtig, dass hier auch die Sicherheit gestärkt wird. Ein bisschen Paranoia sollte immer mit dabei sein. ServiceteilPrüfen Sie vor dem Kauf, welche Funktionen Ihnen im Smart Home wichtig sind, zum Beispiel Sicherheit, Klima oder Beleuchtung. Klären Sie auch, ob der Hersteller seine Geräte regelmäßig mit Updates versorgt und nehmen Sie die Datenschutzerklärung genauestens unter die Lupe. Hier muss der Hersteller angeben, welche Daten er sammelt, speichert und verarbeitet. Die Firmware eines Geräts sollte vom Hersteller automatisch aktualisiert werden. Zumindest sollten Sie über eine Anwendung oder eine E-Mail regelmäßig informiert werden, welche Updates zur Verfügung stehen, um sie zeitnah einspielen zu können. Sichern Sie Ihr Heimnetzwerk ausreichend ab. Nutzen Sie dafür aktuelle Verschlüsselungsmethoden und verwenden Sie sichere individuelle Passwörter. So machen Sie es Hackern schwer, Ihr Netzwerk anzugreifen. Auch mit einem Heimrouter kann ein Netzwerk in verschiedene Segmente unterteilt werden. Viele Heimrouter bieten die Möglichkeit, ein separates WLAN einzurichten, in dem nur IoT-Geräte eingebunden werden. Dabei besteht keine Verbindung zu sensiblen Daten oder Geräten wie Computern. Einige Router bieten zwar keine Netzwerksegmentierung an, aber ein Gäste-WLAN, das Sie für smarte Geräte verwenden können. In dem Fall sollte das Gäste-WLAN ausschließlich für IoT- Geräte genutzt und die Zugangsdaten nicht an Dritte weitergegeben werden.
26M
23/2 2022
Zero Trust und Digitale Souveränität - Warum die Ritterburg keine Lösung ist | Folge 4
Wie lässt sich eine digitale Souveränität herstellen? Wie kann das Zero Trust Modell für mehr Sicherheit in Organisationen sorgen?nfängen des Internets stammt: Zero Trust.Wie schlimm steht es um die Digitalisierung in Deutschland? Die letzten zwei Corona-Jahre haben Defizite schonungslos aufgedeckt. Mit der neuen Bundesregierung besteht die Hoffnung, dass insbesondere IT-Sicherheit stärker auf die politische Agenda gelangt. Die Pandemie hat aber auch die Arbeitswelt für viele Unternehmen und deren Mitarbeiter verändert. Homeoffice ist kein futuristisches Konzept mehr, sondern Realität. Für den Schutz von Organisationen wird von vielen Experten aus diesem Grund ein Modell ins Spiel gebracht, dass aus den Anfängen des Internets stammt: Zero Trust. Wie lässt sich das Umsetzen? Kriegen wir so die Digitalisierung auf staatlicher und unternehmerischer Ebene in den Griff? Christian Lueg spricht hierzu mit Thorsten Urbanski, Leiter der TeleTrust-Arbeitsgruppe "IT-Security made in EU", und Michael Schröder, Security Business Strategy Manager DACH bei ESET. Die GästeMichael Schröder ist als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services. Thorsten Urbanski verfügt über mehr als 20 Jahre Berufserfahrung in der IT-Industrie und speziell in der IT-Sicherheit. Er leitet er unter anderem die TeleTrusT-Arbeitsgruppe „IT-Security made in EU “ und war langjähriges Mitglied des Experten-Panels „Strategische Plattform IKT/ Horizon 2020“ des Bundesministeriums für Bildung und Forschung. Was ist digitale Souveränität und das Problem bei dem Thema?Home-Schooling, kontaktloses Bezahlen, auch die Digitalisierung in Unternehmen wird immer wichtiger. Die digitale Souveränität hat durch die Corona-Pandemie enorm an Bedeutung gewonnen. Digitale Souveränität gerade in Deutschland und Europa ist eine enorme Herausforderung. Aber was steckt hinter diesem sperrigen Wort? Souveränität bedeutet zunächst die Selbstbestimmung über etwas zu behalten und somit auch die Spielregeln bestimmen zu können. Hierbei gibt es unterschiedliche Dimensionen, wie zum Beispiel die staatliche, die unternehmerische und die private. Bei der staatlichen Dimension sind damit Organisationen gemeint wie der Bundestag oder die Kommunen und diese selbständig funktionieren können. Bei Unternehmen sieht es ähnlich aus, hier geht es auch um Selbstbestimmung und Dinge durchsetzen können wie Patente. Bei der digitalen Souveränität spielen natürlich Daten eine zentrale Rolle. Was passiert mit diesen? Bürgerinnen und Bürger sollen Online-Dienste sicher nutzen können. Das ist eine Herausforderung für die Zukunft und es müssen hierbei Spielregeln existieren die im Sinne des Nutzers sind. Es geht aber auch darum die Möglichkeiten des digitalen Fortschritts nicht zu verlangsamen. Gerade Chips, die später in Autos, Computern oder Industrieanlagen verbaut werden, müssen von außerhalb der EU importiert werden. Auch das ist bei der digitalen Souveränität von enormer Bedeutung und muss sichergestellt werden. Vertrauenswürdige IT-Sicherheit ist hier ein wichtiger Punkt. In der TeleTrust-Arbeitgruppe "IT Security made in EU" [https://www.teletrust.de/itsmie/] ist das ein zentrales Thema. Das Ziel ist es einen Rahmen zu schaffen, um personenbezogene und unternehmerische Daten zu schützen. Mehr Infos zu Digitaler Souveränität gibt es im ESET Corporate Blog [https://www.eset.com/de/blog/blog/digitale-souveraenitaet-ist-nur-mit-starker-it-security-moeglich/]. IT-Sicherheit und Zero TrustIT-Sicherheit ist, wie schon gehört, ein wichtiges Element, um digitale Souveränität zu gewährleisten. Hierzu zählt auch die Arbeitswelt. Durch die Corona-Pandemie hat sich hier einiges verändert. Home-Office und mobiles Arbeiten sind keine Zukunftsvisionen mehr, sondern gelebte Realität. Unternehmen können hier das Rad auch kaum noch zurückdrehen und müssen ihre IT-Sicherheit diesen neuen Gegebenheiten anpassen. Hier gibt es das "Zero Trust"-Modell, das in den letzten Jahren enorm an Popularität gewonnen hat. Dabei ist dieses Konzept gar nicht so neu, aber war seiner Zeit voraus. Zero Trust folgt dem Grundsatz: "Vertraue keiner Entität, weder innerhalb noch außerhalb deines Perimeters." Entität kann beispielsweise eine Server, eine Verbindung, eine Applikation, eine Person oder ein Endgerät sein. Man könnte auch sagen "Traue Niemandem!". Perimeter ist ein Begriff aus der IT-Security oder dem militärischen Bereich. Der Begriff beschreibt einen geschützten Bereich, dieser war früher zum Beispiel das Büro. Alle Server, Zugänge oder Rechner standen in einem geschützten Umfeld. Die Arbeitswelt hat sich komplett verändert. Server stehen in der Cloud, Endgeräte sind mobil und außerhalb des Büros, in Bahnhöfen, an Flughäfen oder im Home Office. Zahlreiche externe Dienstleister werden benötigt. Hier muss mehr Sicherheit erreicht werden vor dem Hintergrund der aktuellen Situation. Zero Trust = Dem Mitarbeiter wird nicht mehr vertraut?Diese Frage kommt häufig beim Thema Zero Trust auf. Soll der Geschäftsführer oder der IT-Verantwortliche dann seinen Mitarbeitern misstrauen? Laut Michael Schröder ist das gar kein Bestandteil dieses Modells. Gerade im Bereich Zero Trust Security ist es wichtig einen gewissen Grundschutz sicherzustellen. Home Office ist hier ein gutes Beispiel. Greift dieser Mitarbeiter von zu Hause auf Dienste, Dateien, Programme oder Server zu, kann ich zwar sehen, dass es sein Endgerät ist, aber nicht, ob es auch der Mitarbeiter ist. Daher ist es wichtig hier einen Schritt der Authentifizierung zu implementieren. Ist das der richtige Mitarbeiter oder wurde schlimmstenfalls das Gerät gestohlen? Wichtig ist es natürlich auch, dass Geräte so weit gehärtet werden, dass sie sicherheitstechnisch überall gleichwertig funktionieren. Die Sicherheit muss immer die gleichen Normen erfüllen. **Was erwarten die Experten von der neuen Bundesregierung? ** Die neue Bundesregierung geht einige Dinge, gerade im Bereich Digitalisierung, anders an und versucht frischen Wind in das Thema zu bringen. IT-Sicherheit und "Security by Design" spielen hier eine wichtige Rolle. Ein Schwachstellenmanagement soll implementiert werden. Laut Thorsten Urbanski war es bereits mit der alten Bundesregierung unter der EU Ratspräsidentschaft 2020 schon auf der Agenda. Das Thema ist natürlich eine Herausforderung. Im Koalitionsvertrag steht die Digitalisierung ganz weit oben. Deutschland will eine digitale Gesellschaft werden - hier besteht in vielen Bereichen noch Nachholbedarf. Erstmal muss eine Infrastruktur geschaffen werden, die jedem eine Teilnahme ermöglicht. Dabei ist dann die Frage immanent: Wie mache ich das sicher? Im Bereich Hardware ist "Security by Design" natürlich schwierig, wenn ich gar keinen Einfluss auf die Produktion der Komponenten habe. Hier muss man tunlichst aufpassen, dass IT-Sicherheit nicht wirklich zu ein bisschen "Feenstaub" wird, dass ich verstreue und alles ist sicher. Wenn ich über Digitalisierung rede, muss ich mir bewusst sein, dass Deutschland alleine viel zu klein ist. Zumindest auf EU-Ebene muss es hier eine gemeinsame Anstrengung und Strategie geben. Da ist Deutschland eine der Lokomotiven und das muss die neue Bundesregierung nach vorne bringen. Thorsten Urbanski schiebt hier noch den Punkt ein, dass es in den vergangenen zehn Jahren in Deutschland und der EU einen immensen Ausverkauf an Technologie und Know-How im Bereich IT-Sicherheit an nicht aus der EU-stammende Unternehmen gab. Hier müssen politische Akteure sehr aufpassen, dass dieser Trend nicht fortgesetzt wird. Wie hilft mir Zero Trust bei Schwachstellen in der IT?Sicherheitslücken wie Kaseya, Log4j oder bei Exchange sind eine enorme Gefahr für Unternehmen. Wie kann Zero Trust hier das Sicherheitsprofil eines Unternehmens schärfen? Für Michael Schröder ist das ein sehr breites Feld und darüber könnte man über Stunden referieren. Zero Trust bietet Lösungskonzepte für den Handwerker, aber auch für Großkonzerne. Dieses Konzept verfolgt auch ESET und hat hier einen roten Faden in Form eines Reifegradmodells etabliert. Je nach Schutzbedarf und Komplexität der Infrastruktur gibt es hier verschiedene Stufen. Ein Handwerker mit zwei Auszubildenden und zwei Festangestellten benötigt natürlich keine komplexe Sicherheitslösung für seinen Betrieb, weil er es zum einen kaum betreiben kann und er auch keinen nutzen daraus ziehen kann. Im Gegensatz dazu hat natürlich einen Finanz- oder Versicherungsunternehmen ein ganz anderes Schutzbedürfnis. Zero Trust ist, zumindest in den einfachen Stufen, für jeden umsetzbar, egal ob Verein oder Handwerksbetrieb. Je größer der Betrieb und je umfangreicher die Anforderungen, so umfassendere Schutztechnologien gibt es. Wo bekommt ein interessiertes Unternehmen Unterstützung oder Hilfe bei dem Thema? Wie diese Stufen des Reifegradmodells aussehen und wie ESET dies umgesetzt hat, erläutert Artikel "Warum IT-Security ohne Voraussicht nicht funktioniert" [https://www.eset.com/de/blog/blog/warum-it-security-ohne-voraussicht-nicht-funktioniert/] im Corporate Blog. Michael Schröder hat zu diesem Thema auch ein Webinar gehalten, dass auf Youtube [https://www.youtube.com/watch?v=C22J5vUIP50] verfügbar ist. Was muss bei digitaler Souveränität auf deutscher und EU-Ebene getan werden?Transparenz ist für Thorsten Urbanski ein zentrale Forderungen bei der digitalen Souveränität. Zero Trust ist hier ein Beispiel für. Wenn ich dieses Modell in einem Unternehmen einführen möchte, muss ich wissen, was ich da überhaupt kaufe. Gerade im IT-Sicherheitsbereich ist das enorm wichtig. Habe ich einen Komponentenhersteller, der Technologien aus aller Welt einkauft und dann als sein Produkt zusammenstellt, oder habe ich einen echten Hersteller, der auch die Technologien im Produkt selber entwickelt. Das muss dann auch in einem bestimmten Rechtssystem geschehen. Die EU und ihre Mitgliedsstaaten sind hier absolut in der Lage auf eigene Technologien im Bereich IT-Sicherheit zurückzugreifen. Im Hardware-Bereich ist die Situation viel schwieriger, da hier echte Hersteller Mangelware sind. Bei der IT-Sicherheit ist die Situation günstiger. Daher ist hier Transparenz und eine wertebasierte IT-Security essentiell. So kann digitale Souveränität in der EU gewährleistet werden. Nicht nur die Bandbreite sollte hier das bestimmende Thema sein. Digitale Souveränität auf der privaten EbeneIn der Folge wurde viel von staatlichen Akteuren und Unternehmen gesprochen. Aber wie sieht die digitale Souveränität konkret für eine Privatperson aus? Smartphone, smarte Geräte, Tablets und Computer sind in fast jedem Haushalt zu finden. Für Thorsten Urbanski bedeutet digitale Souveränität Selbstbestimmung. Anwender kaufen ein Gerät und setzen dies ein. Große Player schreiben einem bis zu einem gewissen Grad die Spielregeln bereits vor. Grundsätzlich ist Thorsten Urbanski kein Freund von regulatorischen Maßnahmen durch den Gesetzgeber. Aus seiner Sicht ist es aber wichtig zu einem "digital Mindset" zu kommen. Es setzt voraus, dass die Schule hier bereits ansetzt. Digitale Kompetenz wird den heutigen Schülerinnen und Schülern in vielen Fällen nur am Rande vermittelt. Selbst in MINT-Schulen (MINT steht für Mathematik, Informatik, Naturwissenschaften, Technik) gibt es oft keinen Informatikunterricht. Häufig beschränkt sich die Wissensvermittlung auf PowerPoint und Word. Zudem müssen Anwender, wenn sie wissen, was mit ihren Daten passiert, mündig werden. Hier muss dann aber der Staat schützend eingreifen und klare Spielregeln definieren. Unternehmen aus der EU sind da auch verpflichtet diese Regeln einzuhalten. Ein Beispiel nennt der Experte auch. Vor einigen Jahren wollte er sich eine neue Kaffeemaschine kaufen. Diese hatte einen Netzwerkanschluss. Den Händler fragte er, was es mit diesem Anschluss auf sich hat. Dieser sagte, dass der Hersteller dadurch Updates und neue Services einspielen. Im Umkehrschluss erhält er aber auch Zugriff auf das Netzwerk des Kunden und wie sind da die Schutzmechanismen. Der Händler konnte dies dann nicht beantworten. Thorsten Urbanski rät jedem Konsumenten gerade solche Dinge zu hinterfragen. Hier setzt er Hoffnung in die neue Regierung, dass hier Grundlagen geschaffen werden, und das Thema nicht verschlafen wird. Zero-Trust und digitale Souveränität: Transparenz als Lösung?Bei Michael Schröder schlagen, da er auch Datenschutzbeauftragter ist, verschiedene Herzen. Privat als auch betrieblich herrscht oft noch eine digitale Sorglosigkeit vor. Weiterhin beobachtet er in vielen Unternehmen, dass bestimmte Grundfeste gar nicht überprüft werden. Gerade durch die Pandemie wurden Geräte und Technologien bestellt, ohne sich darüber Gedanken zu machen, ob diese ins Konzept passen. Hier macht Zero Trust als Basis durchaus Sinn, um wieder auf den Boden der Tatsachen zu kommen. Tipps am EndeStatt eines Serviceteils gibt es in dieser Sendung einen Tipp der Experten. Thorsten Urbanski rät Nutzern den Kopf einzuschalten und nicht im Standby durch die digitale Welt zu schreiten. Beim Kauf eines Gerätes oder Technologie sollten Fragen gestellt werden. Beispielsweise wie viele Updates es für ein Gerät gibt. Michael Schröders Top-Tipp ist es aus der eigenen Komfortzone rauszukommen. Denn er sieht oft Situation: "Bequemlichkeit frisst Security". Das gilt sowohl für Privatanwender als auch Unternehmen. Identitätsdiebstahl und andere Gefahren sind die Folgen, wenn diese Bequemlichkeit zu lange anhält.
30M
1/2 2022
Patient Krankenhaus-IT: Sind unsere Kliniken noch zu retten? | Folge 3
Immer mehr Cyberattacken richten sich gegen Kliniken. Wie ist der Stand der Digitalisierung hier und wie sehen Lösungen aus?In dieser Folge von WeTalkSecurity geht es um das Thema Digitalisierung in Krankenhäusern und im speziellen natürlich um die IT-Sicherheit. Angriffe auf Kliniken häufen sich und das Risiko eines Ausfalls steigt. Wie ist die Lage in Deutschland? Wie laufen solche Angriffe ab? Gibt es Lösungen? Thorsten Urbanski spricht hierüber mit Dr. Nicolas Krämer, Klinikgeschäftsführer der Hospital Management Group GmbH, und Maik Wetzel, Strategic Business Development Director DACH bei ESET. Die GästeZu Gast in der Folge ist zum einen Dr. Nicolas Krämer, Klinikgeschäftsführer der Hospital Management Group GmbH. Der Autor, Speaker und Krankenhausmanager Nicolas Krämer gilt bereits seit 2016 als Experte in den Bereichen Digitalisierung und IT-Sicherheit von Kliniken. Damals zeigte er sich als Krankenhausmanager des Lukaskrankenhauses in Neuss, das 2016 Opfer eines Ransomware-Angriffs wurde, als hervorragender Krisenmanager. Der zweite Gast ist in dieser Folge Maik Wetzel, Strategic Business Development Director DACH bei ESET. Maik ist seit 2009 bei ESET. In seiner Funktion soll die Stellung des Unternehmens in bestimmten vertikalen Märkten ausbauen. Ein Fokus liegt hier insbesondere im Gesundheitswesen. Wie läuft ein Cyberangriff auf ein Krankenhaus ab?Nicolas Krämer war als Geschäftsführer eines Krankenhauses 2016 selber von einem Cyberangriff betroffen. Häufig fällt es gar nicht sofort auf, dass die Einrichtung angegriffen wurde. Zunächst starten bildgebende Geräte langsamer oder der OP-Plan stürzt ab. Absolute Gewissheit, dass etwas nicht stimmt, erhält man dann von den Erpressern, die eine Lösegeldforderung an das Krankenhaus stellen. Zum Teil kann man in Deutschland von Glück sprechen, dass der Digitalisierungsgrad von Kliniken so hoch ist, dass ein Offline-Modus im Ernstfall unmöglich wäre. Zwischenfrage: Durch die Schwache Digitalisierung können Kliniken im IT-Notfall weiterarbeiten. Ist das Glück im Unglück?Wenn alle Prozesse im Krankenhaus komplett digitalisiert ablaufen würden, hätten wir ein großes Problem. Nicolas nimmt das Beispiel eines modernen Passagierflugzeugs. Trotz aller Digitalisierung gibt es immer noch die Möglichkeit die Maschine manuell zu fliegen. Daher ist es auch in Kliniken ein Segen, dass es hier genauso geht. Im Ernstfall gehen einem Geschäftsführer dennoch alle Schreckensszenarien durch den Kopf. Man denkt an die Sicherheit der Patienten und ihrer Daten. Es kommt die Frage auf, ob nun alle Systeme heruntergefahren werden müssen, um die Ausbreitung des Virus zu unterbinden. Sollte die Polizei eingeschaltet werden? Und schlussendlich muss auch die Frage gestellt werden, ob ein IT-Notfallplan besteht. Der Medizincampus Bodensee besteht aus zwei Krankenhäusern, die Uni-Klinik in Düsseldurf ist ein Maximalversorger. Beide Häuser sind für die medizinische Versorgung der Region von enormer Bedeutung. Diese Angriffe fanden parallel während der Bewältigung der Corona-Pandemie statt. Angriffe auf Krankenhäuser haben zugenommen und es wird keine Rücksicht auf die aktuelle Pandemie genommen. Bei einem Umschalten von Automatik- auf Offline-Modus ändern sich Prozesse. Das Wichtigste und Beste in so einer Situation ist es die Systeme herunterzufahren und wieder auf Stift und Papier umzusteigen. Eine Pflegekraft oder ein Arzt sind in Deutschland rund vier Stunden pro Tag mit Dokumentation beschäftigt. (Quelle [https://www.aerzteblatt.de/nachrichten/62266/Klinikaerzte-verbringen-44-Prozent-ihrer-Zeit-mit-Dokumentation]) Der Aufwand ist mit Papier und Bleistift dann deutlich höher nach einem Cyberangriff. Wo steht Deutschland bei der Digitalisierung im Gesundheitswesen?Der Digital Health Index 2018 steht Deutschland im europäischen Vergleich auf dem vorletzten Platz. (Quelle [https://www.bertelsmann-stiftung.de/de/unsere-projekte/der-digitale-patient/projektthemen/smarthealthsystems/digital-health-index]) Zudem gibt es rund 24,3 Millionen Patientendatensätze sind frei im Netz zugänglich. (Quelle Lagebericht zur IT-Sicherheit 2020, BSI) Ist Deutschland da überhaupt noch zu retten? Ist ein Security-Booster geplant? Laut Maik Wetzel bietet die Digitalisierung die Möglichkeit Kosten zu senken und eine sinnvolle Unterstützung für Ärzte und Pflegepersonal ist. Es ist aber auch so, dass durch die Digitalisierung die Komplexität in Krankenhäusern steigt. Alles ist vernetzt und dadurch entstehen auch Abhängigkeiten. Umso wichtiger wird dabei die Absicherung der Systeme. Eine wichtige Maßnahme hier war das Krankenhauszukunftsgesetz. Die Bundesregierung hat den Digitalisierungsstau erkannt und ein Paket mit Fördermitteln in einem Umfang von 4,3 Milliarden Euro geschnürt. Das sollte die Motivation steigern, um die Digitalisierung zu beschleunigen. Zudem gibt es in Deutschland einen starken Patientendatenschutz, der gewisse Mindeststandards zur Absicherung vorschreibt. Zwischenfrage: Was für Mindeststandards gibt es?Mindeststandards beschreiben die Integrität der Daten, das Vertrauen und ihre Verfügbarkeit. Überall im Krankenhaus gibt es Computer und IT-Systeme. Diese wachsen zusammen und müssen geschützt werden. Technische und organisatorische Verfahren sind wichtig, um hier den Schutz zu gewährleiten. Stichworte sind hier Verschlüsselung, Authentifizierung, Cloud-Sandboxing. Konnten Krankenhäuser vom Zukunftsgesetz während der Pandemie überhaupt profitieren?Für Nicolas Krämer sind die 3 Milliarden Euro vom Bund und 1,3 Milliarden Euro von den Ländern viel Geld. Aber durch den enormen Digitalisierungsstau ist es dennoch nur ein Tropfen auf den heißen Stein. Was seitens des Bundespolitik mit dem Krankenhauszukunftsgesetz beschlossen wurde, ist aber ein starkes Zeichen. Gerade in einer regulierten Branche wie das Gesundheitswesen ist es sinnvoll, dass der Staat diese Investitionen finanziert. In den letzten Jahren hat sich der Staat hier zurückgezogen. Die Krankenhäuser nehmen das starke Signal zur Digitalisierung wahr. Aber sie müssen auch selbst Geld in die Hand nehmen, damit Deutschland den vorletzten 16. Platz beim Digital Health Index verlässt. Die Bürokratie im Gesundheitswesen ist hoch und schlägt auch beim Krankenhauszukunftsgesetz voll durch. 2021 war das letzte Jahr der Antragsstellung. Das Gesetz wurde erst 2020 verabschiedet. Neben der Covid-Pandemie hatten die Einrichtungen somit auch viel zu tun, um das Verfahren zu bewältigen und die Anträge rechtzeitig zu stellen. Bisher schätzt Nicolas, dass bis zum Januar 2022 erst eine Handvoll Anträge bewilligt wurden und es gibt rund 2.000 Krankenhäuser in Deutschland. Das ist ein Bürokratiemonster. Hier muss der Staat Gas geben. IT-Sicherheitsstandards im KrankenhausEs gibt den branchenspezifischen Sicherheitsstandard B3S der Deutschen Krankenhausgesellschaft (DKG). (Quelle [https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/]) Der Standard soll für die Verbesserung der IT-Sicherheit sorgen und einen Leitfaden geben. Hier hat sich laut Maik Wetzel auch einiges getan. Es gab immer schon bestimmte Vorgaben zum Stand der Technik, die ein gewisses Sicherheitsniveau gewährleistet haben. B3S geht hier einen Schritt weiter und geht auf die speziellen Anforderungen im Krankenhaus ein. Diese Prozesse werden dabei definiert und wie die IT-Bereiche bestmöglich geschützt werden. Die Versorgung der Patienten muss dabei stets sichergestellt sein. Aber ist das auch so möglich? Viele Untersuchungsgeräte im Krankenhaus haben alte Windows-Versionen installiert oder erfüllen moderne Sicherheitsanforderungen nicht mehr. Nicolas Krämer betont, dass dies nicht ungewöhnlich ist. Diese Geräte dürfen dann nicht mit dem Internet verbunden werden. Hier erwähnt er die Anekdote, dass er im Gespräch mit zwei Geschäftsführern von Uni-Kliniken darauf hingewiesen wurde, dass das mit den alten Betriebssystem gar kein Problem sei, denn die Geräte bei ihnen im Haus arbeiten ausschließlich mit MS-DOS. Daher verwundert es nicht, dass Deutschland bei der Digitalisierung hinterherhinkt. Der Umstieg bzw. die besondere Absicherung ist für Maik Wetzel in der Form machbar. Die Digitalisierung kommt aus seiner Sicht voran. Dabei muss die Angemessenheit der IT-Sicherheitsarchitektur im Blick bleiben und modernste Techniken wie Authentifizierung oder Verschlüsselung zum Einsatz kommen. Hierbei müssen auch die Mitarbeiter mitgenommen werden und im Zweifel Dienstleister hinzuziehen, die das eigene Personal unterstützen. Schafft Deutschland den digitalen Anschluss im Gesundheitswesen?Nicolas Krämer geht von einem steinigen und schweren Weg aus. Er bedient sich da dem Fußball und vergleicht die Situation mit den 2000er Jahren als der deutsche Fußball hinterlief aber die Weichen für die Zukunft gestellt wurden. Mit einem klaren Ziel vor Augen, wo das Krankenhauszukunftsgesetz ein starkes Signal darstellt, ist der Anschluss möglich. Maik Wetzel sieht den Anschluss als große Herausforderung. Andere Länder, die vor Deutschland stehen, stellen die Digitalisierung nicht ein. Hier gilt es die Anstrengungen zu verstärken. Eine aktuelle Studie des Bitkom zur allgemeinen Digitalisierung in Deutschland sagt, dass die Ausgaben verdoppelt werden müssten, um zu den führenden Nationen aufzuschließen. Nur um nicht weiter zurückzufallen, müssten wir die Wachstumsraten um den Faktor zwei steigern. (Quelle [https://www.bitkom.org/sites/default/files/2020-01/200113_bitkom_digitalstrategie.pdf]) Serviceteil: Was gilt es jetzt zu tun?Wir haben Fragen formuliert, die sich Geschäftsführer und IT-Verantwortliche in Krankenhäusern stellen sollen, um Handlungsfelder im Bereich IT-Sicherheit zu identifizieren. * Sind die Prozesse und Einrichtung und deren IT-Abhängigkeit bekannt? Diese Frage sollte Sie sich regelmäßig stellen, um die Effektivität und Effizienz der Abläufe zu verbessern, auch ist diese Frage eine wichtige Grundlage für die IT-Risikoanalyse. Eine Übersicht hieraus sollte detailliert die Krankenhausprozesse, deren Zusammenwirken und deren IT-Unterstützung beschreiben. * Verfügen Sie über einen umfassenden Überblick über Ihre Infrastruktur und Komponenten? Ein vollständiges Inventar der IT-Infrastruktur hilft bei der Ermittlung derjenigen IT-Komponenten, die für das Funktionieren der kritischen IT-Anwendungen unverzichtbar sind. Darüber hinaus erleichtert es die Entwicklung eines Sicherheitskonzeptes zum Schutz. * Sind die IT-Netze Ihrer Einrichtung hinreichend abgesichert? Schon der Anschluss des Krankenhausnetzes an öffentliche Netze wie das Internet kann mit hohen Risiken verbunden sein und erfordert eine sorgfältige Absicherung beispielsweise durch ein zentrales Sicherheitsgateway. Es ist aber auch sicherzustellen, dass zentrale Schutzmaßnahmen nicht durch unkontrollierte Netzzugänge, z. B. via WLAN oder mobile Datenverbindungen, ausgehebelt werden können. * Haben Sie ein systematisches Update- und Patchmanagement im Einsatz? Nahezu täglich tauchen neue Schwachstellen in Betriebssystemen und Anwendungssoftware auf. Um die Ausnutzung dieser Sicherheitslücken zu verhindern, müssen regelmäßig Patches und Updates zeitnah installiert werden, insbesondere für kritische IT-Komponenten. Ein Konzept für diese Aufgabe muss auch geeignete Regelungen für die Behandlung medizinischer Spezialanwendungen vorsehen. * Können Sie alle Punkte alleine stemmen? Unsere Fragen spiegeln nur einen Bruchteil der Herausforderungen wider, die ein Verantwortlicher im Krankenhaus zu stemmen hat. Es gäbe noch eine Vielzahl weiterer Fragen, zum Beispiel ob ein Notfallplan vorliegt oder über die Schulung der Mitarbeiter. Im Zweifel sollten Profis von extern hinzugezogen werden. Zahlreiche IT-Systemhäuser haben sich auf die Absicherung von Krankenhäusern spezialisiert und stehen auch im Notfall mit Rat und Tat zur Seite.
31M