Meldung

Besserer Schutz für vernetzte Medizingeräte

Gesundheitsdienstleister setzen digitale Geräte wie Diagnose- und Überwachungssysteme, Ambulanzgeräte und Operationsroboter ein, um die Patientenversorgung zu verbessern. Die Sicherheit dieser Geräte ist daher ebenso wichtig wie ihre primäre Funktion. Palo Alto Networks hat nun "Medical IoT Security" vorgestellt, das dank Machine Learning für Schutz sorgen soll.
Palo Alto Networks Medical IoT Security verspricht eine umfassende Zero-Trust-Sicherheit für medizinische Geräte.
Die damit gebotene Zero-Trust-Sicherheit für medizinische Geräte soll es Gesundheitsorganisationen ermöglichen, neue vernetzte Technologien schnell und sicher einzusetzen und zu verwalten. Zero Trust ist ein strategischer Ansatz für die Cybersicherheit, der eine Organisation absichert, indem er implizites Vertrauen eliminiert, wobei jeder Benutzer und jedes Gerät kontinuierlich verifiziert werden.

"Die Verbreitung vernetzter medizinischer Geräte im Gesundheitswesen bringt eine Fülle von Vorteilen mit sich, aber diese Geräte sind oft nicht gut geschützt. Laut Unit 42 wiesen beispielsweise alarmierende 75 Prozent der untersuchten intelligenten Infusionspumpen in den Netzwerken von Krankenhäusern und Gesundheitsorganisationen bekannte Sicherheitslücken auf", so Anand Oswal, Senior Vice President of Products, Network Security bei Palo Alto Networks [1]. "Das macht die Sicherheitsgeräte zu einem attraktiven Ziel für Cyberangreifer, die möglicherweise Patientendaten preisgeben und damit die Patienten gefährden."

Unterstützung durch Machine Learning
Durch automatisierte Geräteerkennung, kontextbezogene Segmentierung, Empfehlungen für die am wenigsten privilegierten Richtlinien und die Durchsetzung von Richtlinien mit nur einem Klick soll Palo Alto Networks Medical IoT Security einen Zero-Trust-Ansatz auf nahtlose, vereinfachte Weise liefern. Medical IoT Security verspricht außerdem einen zuverlässigen Schutz vor Bedrohungen durch die Integration mit den in der Cloud bereitgestellten Sicherheitsdiensten von Palo Alto Networks, wie etwa Advanced Threat Prevention und Advanced URL Filtering.

Palo Alto Networks Medical IoT Security nutzt dabei maschinelles Lernen (ML), um Einrichtungen im Gesundheitswesen Folgendes zu ermöglichen:

  • Erstellen von Geräteregeln mit automatisierten Sicherheitsreaktionen: Durch das Erstellen von Regeln lassen sich die Geräte auf Verhaltensanomalien überwachen und automatisch entsprechende Reaktionen auslösen. Wenn zum Beispiel ein medizinisches Gerät, das normalerweise nur kleine Datenmengen sendet, unerwartet anfängt, viel Bandbreite zu verbrauchen, kann das Gerät vom Internet abgeschnitten und die Sicherheitsteams können alarmiert werden.
  • Automatisierung von Empfehlungen für Zero-Trust-Richtlinien und deren Durchsetzung: Die empfohlenen Richtlinien für den am wenigsten privilegierten Zugriff für medizinische Geräte sind mit einem Klick durchsetzbar mittels der Palo Alto Networks Next-Generation Firewalls oder unterstützter Network-Enforcement-Technologien. Damit soll die fehleranfällige und zeitaufwendige manuelle Erstellung von Richtlinien entfallen, und diese ließen sich problemlos auf eine Reihe von Geräten mit demselben Profil übertragen.
  • Überblick über die Schwachstellen und die Risikolage von Geräten: Benutzer können auf die Software Bill of Materials (SBOM) der einzelnen medizinischen Geräte zugreifen und diese den Common Vulnerability Exposures (CVEs) zuordnen. Diese Zuordnung helfe bei der Identifizierung der auf medizinischen Geräten verwendeten Softwarebibliotheken und der damit verbundenen Schwachstellen. Benutzer sollen sofortige Einblicke in die Risikolage jedes Geräts erhalten, einschließlich des End-of-Life-Status, der Rückrufbenachrichtigung, der Warnung vor Standardpasswörtern und der nicht autorisierten Kommunikation mit externen Websites.
  • Verbesserung der Compliance: Ebenso sei es möglich, sich einen Überblick über die Schwachstellen medizinischer Geräte, den Patch-Status und die Sicherheitseinstellungen zu verschaffen. Benutzer erhielten Empfehlungen, um die Geräte in Übereinstimmung mit Regeln und Richtlinien wie dem Health Insurance Portability Accountability Act (HIPAA), der DSGVO und ähnlichen Gesetzen und Vorschriften zu bringen.
  • Überprüfung der Netzwerksegmentierung: Die gesamte Karte der angeschlossenen Geräte ließen sich visualisieren und so sicherstellen, dass jedes Gerät in dem ihm zugewiesenen Netzwerksegment platziert sei. Eine ordnungsgemäße Netzwerksegmentierung soll gewährleisten, dass ein Gerät nur mit autorisierten Systemen kommuniziert.
  • Vereinfachung des Betriebs: Zwei verschiedene Dashboards ermöglichen es IT- und Biomedizintechnik-Teams, jeweils die für ihre Aufgaben wichtigen Informationen zu sehen. Die Integration in bestehende Informationsmanagementsysteme für das Gesundheitswesen, wie AIMS und Epic Systems, trägt zur Automatisierung von Workflows bei.
5.12.2022/dr

Tipps & Tools

Im Test: senhasegura GO Endpoint Manager 3 [2.02.2023]

Der senhasegura GO Endpoint Manager kümmert sich um die Verwaltung und die zielgerichtete Verwendung administrativer Zugangsdaten und Berechtigungen. Das System führt Applikationen mit erhöhten Rechten aus, ohne dass Endanwender dazu dauerhaft privilegierte Rechte benötigen. Im Test zeigte sich, dass diese Rechtevergabe detailliert und flexibel hilft, die Sicherheit zu verbessern. [mehr]

Download der Woche: Alle meine Passworte [25.01.2023]

IT-Profis bewahren ihre Zugangsdaten meist in einem Passwortmanager auf. Ein solcher ist "Alle meine Passworte". Das Tool bringt neben seiner Kostenfreiheit als weitere Vorteile eine Exportfunktion sowie mehrere Verschlüsselungsarten mit. Ebenso möglich ist das automatische Einfügen der relevanten Daten in die entsprechenden Eingabefelder. [mehr]

Fachartikel

Sicherheit mit Penetrationstests erhöhen [1.02.2023]

Jedes Unternehmen kann zum Ziel eines Cyberangriffs werden. Externe Fachleute, sogenannte Ethical Hacker oder White Hats, führen deshalb Penetrationstests durch, um die Verwundbarkeit der IT einer Organisationen auf den Prüfstand zu stellen. Aber viele IT-Entscheider scheuen den Aufwand und die Kosten. Für eine solide Cyberresilienz ist Ethical Hacking aber unverzichtbar. Der Artikel liefert sechs Argumente, warum Pentesting sinnvoll ist. [mehr]

Buchbesprechung

Der Weg zum Python-Profi

von Al Sweigart

Anzeigen