Am 10. Juli 2023 reichten Anwälte Klage gegen die Johns Hopkins University und ihr Gesundheitssystem ein und behaupteten, das renommierte Krankenhaus und die medizinische Fakultät hätten es versäumt, ihre IT-Systeme ordnungsgemäß zu sichern, was zu einem massiven Diebstahl sensibler Patientendaten geführt habe. In der Klage wird insbesondere das MOVEit-Dateiübertragungssystem angeführt, das Hopkins intern verwendet und auf einem gehosteten System ausgeführt hat. Nachrichtenberichten zufolge entdeckten Angreifer eine Zero-Day-Schwachstelle im MOVEit-Code und begannen, diese auszunutzen, lange bevor die Schwachstellenwarnung herauskam. Seit diesen ersten Schwachstellenwarnungen haben Forscher eine Reihe weiterer potenzieller Sicherheitslücken im weit verbreiteten MOVEit-System identifiziert.
Hopkins ist nicht der einzige Gesundheitsdienstleister, der von der MOVEit-Schwäche betroffen ist. Auch Harris Health, ein großes Krankenhaussystem in Texas, wurde gefährdet. Da immer mehr Krankenhäuser und Gesundheitsdienstleister angegriffen werden, gehen viele schnell dazu über, SaaS-Anwendungen einzuführen, um die Belastung ihrer IT-Teams zu verringern. Letztlich erhoffen sie sich dadurch auch eine Verringerung ihres Risikos und ihrer Angriffsfläche.
Es überrascht nicht, dass die Kriminellen ihnen einen Schritt voraus sind und bereits TTPs für Ransomware und andere Angriffe auf SaaS-Tools erstellen. Ein Beispiel hierfür ist der jüngste Angriff auf Jumpcloud, einen SaaS-Anbieter von SSO und Verzeichnisdiensten, der aufgrund eines Sicherheitsvorfalls gezwungen war, alle API-Schlüssel seiner Kunden zurückzusetzen. SSO und Verzeichnisdienste stellen die Schlüssel zum SaaS-Königreich dar und sind ein ergiebiges Ziel für Angreifer, die nicht nur auf E-Mails und Dateien, sondern auch auf SaaS-Anwendungen zugreifen möchten. Der neue Fokus auf Angriffe auf SaaS zwingt viele Anbieter von SaaS-Produkten für Gesundheitsorganisationen dazu, ihre Sicherheitsmaßnahmen zu erhöhen und neu zu überdenken, wie sie eine bessere Sicherheit sowohl in der Infrastruktur als auch auf der Benutzerebene ihrer Apps implementieren können.
Basierend auf unserer Erfahrung bei der Bereitstellung von Identitätsmanagementdiensten für SaaS-Unternehmen im Gesundheitswesen finden Sie hier fünf Regeln für die Entwicklung sichererer SaaS-Anwendungen. Diese Regeln sind allgemein anwendbar, berücksichtigen jedoch in einigen Fällen die Besonderheiten der Gesundheitsbranche. Die Liste kann sowohl für Gesundheitsorganisationen, die wichtige Abläufe auf SaaS verlagern möchten, als auch für Hersteller von SaaS-Anwendungen für Kunden im Gesundheitswesen als Leitfaden dienen.
Regel 1: Null Vertrauen für alle kritischen Daten
Implementieren Sie zunächst ein Zero-Trust-Modell. Es bedeutet im Grunde, dass man baut, um Verstöße zu vermuten. Gemäß ZT müssen Sie jede Zugriffsanfrage auf kritische Systeme überprüfen, als ob sie von einem offenen Netzwerk oder von Angreifern stammt. Dies scheint ein offensichtlicher Rat zu sein. Die Implementierung von ZT in Gesundheitsanwendungen kann jedoch schwierig sein. Beispielsweise ist es möglicherweise nicht sinnvoll, die Authentifizierung für unkritische Systeme ständig zu erzwingen, was zu Reibungsverlusten in den Arbeitsabläufen der Benutzer führen kann. Und für einige Zugriffsarten könnte eine einzige Authentifizierung pro Sitzung ausreichend sein, während für Sitzungen, die mit PII interagieren, eine zeitbasierte erneute Sitzungsautorisierung die Norm sein sollte. Im Idealfall sollte ZT für Endbenutzer relativ schmerzlos sein, und neuere Technologien wie Passkeys machen dies möglich. Darüber hinaus sollte sich ZT von hackbareren Authentifizierungsmechanismen wie SMS oder sogar E-Mail verabschieden (Angreifer zielen nun auf SSO-Anbieter ab, um Zugriff auf E-Mails zu erhalten).
Regel 2: Erstellen Sie eine intuitive, hervorragende Sicherheits-UX
Traditionell war die Sicherheits-UX einer SaaS-Anwendung ein Bürger zweiter Klasse. Dies ist einigermaßen verständlich, da Benutzer im Allgemeinen wenig Zeit mit der Verwaltung ihrer Sicherheit verbringen. Leider bedeutet die Zunahme von Ransomware, dass jeder Benutzer sich besser mit Sicherheitsthemen auskennen muss. Es ist von entscheidender Bedeutung, eine Benutzeroberfläche zu schaffen, die es Benutzern erleichtert, ihre Sicherheitseinstellungen zu verstehen und zu verwalten. Dazu gehören klare Erläuterungen zu den einzelnen Einstellungen und zu den Auswirkungen, die sich aus dem Ein- und Ausschalten ergeben. Der Schnüffeltest? Benutzer ohne technische Kenntnisse müssen in der Lage sein, ihre Sicherheitseinstellungen auf Kontoebene einfach zu verwalten und zu ändern, und zwar ohne IT-Unterstützung.
Regel 3: Ermöglichen Sie Benutzern die Kontrolle ihrer eigenen Sicherheitsrichtlinien
Im Zusammenhang mit dem oben Gesagten ist es wichtig, Benutzern oder ihren direkten IT-Mitarbeitern die Möglichkeit zu geben, die Sicherheitseinstellungen an ihre individuellen Bedürfnisse und Risikotoleranz anzupassen. Dazu können Optionen für die Zwei-Faktor-Authentifizierung, Sitzungs-Timeout-Regeln, Passwortkomplexität und mehr gehören. Zu aufwändige Sicherheitsrichtlinien können Benutzer verärgern und die Produktivität beeinträchtigen. Zu umfassende Sicherheitsrichtlinien können dazu führen, dass SaaS nicht effektiv geschützt werden kann. Beispielsweise bietet ein großer Authentifizierungsanbieter sogenannte „risikobasierte“ MFA-Step-up-Einstellungen an, die es Benutzern nicht ermöglichen, die Parameter hinter dem Risiko zu konfigurieren. Indem nur die grundlegendsten Risikomaßnahmen einbezogen werden – unmögliche Reise, IP-Adresse, Domain – lässt sich dieses risikobasierte System recht einfach umgehen. Das Ergebnis? Benutzer zu befähigen bedeutet nicht nur zwei Optionen (ein oder aus); es bedeutet, ihnen umfangreiche Kontrollen zu geben.
Regel 4: Segmentierung und Mandantenfähigkeit sind der Schlüssel
Die Trennung von SaaS-Kunden und ihren Daten zur Verhinderung oder Begrenzung von Schäden durch einen Verstoß ist zwingend erforderlich. Dies kann am besten durch Mandantenfähigkeit erreicht werden, bei der die Daten jedes Kunden in einer separaten „Mandanten“-Umgebung isoliert werden. Die Mandantenfähigkeit kann auf Namespace-Ebene, auf Container-Ebene oder sogar auf der Ebene der virtuellen Maschine erfolgen, sollte jedoch für jeden Kunden eine starke Sandbox schaffen. Für ein noch höheres Maß an Sicherheit möchten Sie möglicherweise nach Lösungen suchen, die es Unternehmen ermöglichen, Informationen innerhalb ihrer Mandantenebene weiter zu trennen und so unterschiedliche Schutzniveaus für verschiedene Datentypen zu bieten. Auch die geografische Segmentierung wird immer wichtiger. Florida beispielsweise hat gerade ein Gesetz verabschiedet, das vorschreibt, dass alle Krankenakten von Einwohnern Floridas physisch auf Systemen in den kontinentalen USA oder Kanada gespeichert werden müssen. Verschiedene Bundesstaaten erlassen unterschiedliche Cybersicherheitsgesetze und schaffen so einen Flickenteppich von Risiken, die am besten durch geografische Kontrolle angegangen werden können, die nur durch granulare Segmentierung und Mandantenfähigkeit möglich ist.
Regel 5: Wenn Ihre Kunden Institutionen sind, machen Sie es ihnen leicht, ihre eigenen Sicherheitsereignisse zu analysieren
Im Gesundheitswesen ist der Echtzeitzugriff auf Benutzerprotokolle für die Erkennung und Abwehr von Angriffen von entscheidender Bedeutung. SaaS-Anbieter für das Gesundheitswesen sollten ihre Systeme so gestalten, dass Kunden bei Bedarf alle benötigten Protokolle herunterladen können. SaaS-Anbieter sollten ihren Kunden niemals Gebühren für den Protokollzugriff berechnen. Auch wenn dies wie eine nette Möglichkeit erscheint, Geld zu verdienen, kann es die Reaktionszeiten verzögern. Dies ist einfach nicht akzeptabel, wenn es sich bei den Benutzern um Ärzte und andere handelt, die möglicherweise auf Ihr SaaS angewiesen sind, um lebensrettende Dienste bereitzustellen.
Fazit: Höhere Standards und weniger Spielraum für Fehler bei SaaS im Gesundheitswesen
Der Gesundheitssektor ist der geschäftskritischste aller unserer Geschäftsbereiche. Wenn die Technologie versagt, kann die Intensivpflege unterbrochen werden und Patienten können sterben. SaaS für das Gesundheitswesen muss auf höhere Toleranzen und mehr Sicherheit und Zuverlässigkeit ausgelegt sein. Dies geht über die üblichen Erwartungen von SOC-2, HIPAA und SLAs mit hoher Verfügbarkeit hinaus. Es erfordert die Gestaltung von SaaS-Apps nach einem anderen Regelwerk, das Mandantenfähigkeit und Segmentierung bietet, die Benutzererfahrung verbessert und letztendlich die Wahrscheinlichkeit verringert, dass Angriffe erfolgreich sind und die wichtigen Aktivitäten unserer Ärzte und Krankenhäuser unterbrechen.
Foto: Traitov, Getty Images
