WAF in der Gesundheitsbranche: Zum Schutz der Patientendaten

Die moderne Vernetzung im Gesundheitswesen bedeutet, dass der Zugriff auf Patientendaten jederzeit und überall möglich ist. Dies hat jedoch auch zur Folge, dass traditionelle Abwehrmassnahmen, welche Gesundheitseinrichtungen und sensible Daten bisher vor Hackern geschützt haben, an Wirkung verloren haben.

WAF statt Firewalls im Gesundheitswesen

Viele Organisationen des Gesundheitswesens schützten ihre Daten, indem sie Firewalls um ihr Netzwerk errichteten und den Internetverkehr in diesem Netzwerk einschränkten.

Mit dem Aufkommen elektronischer Krankenakten – und auch bestimmter Gesundheitsakten, die einen direkten Zugriff des Patienten über das Content-Management-System einer Gesundheitseinrichtung erfordern – ist dies keine praktikable Option mehr.

Die einfache Begrenzung des Netzwerkverkehrs ist keine praktische und sichere Methode mehr, um Eindringlinge fernzuhalten. An dieser Stelle kommen WAFs (Web Application Firewalls) ins Spiel.

 

Die Rolle von WAFs über die Einhaltung von Vorschriften hinaus

Viele Unternehmen entscheiden sich aufgrund von Compliance-Anforderungen für die Einführung einer WAF in ihre Cybersicherheitsstrategie. Angesichts der strengen Anforderungen für die Einhaltung der Richtlinien, die den Weg für den Schutz von Gesundheitsdaten vorgibt, sind Organisationen im Gesundheitswesen keine Ausnahme.

Allerdings werden WAFs oft mit „Out-of-the-Box“-Richtlinien implementiert und dann in Ruhe gelassen. Mit anderen Worten: Ein Krankenhaus installiert manchmal eine WAF vor Ort, konfiguriert sie einmal und ignoriert sie dann.

Aufgrund dieser mangelnden WAF-Konfiguration bieten viele WAFs möglicherweise nicht das volle Ausmaß an Schutz, das Krankenhäuser, Kliniken und andere Einrichtungen erwarten. Ihrer Meinung nach sollte eine WAF nicht nur dazu beitragen, die Compliance-Anforderungen zu erfüllen, sondern auch das Gesundheitswesen und die Patientendaten so gut wie möglich schützen.

 

Probleme, die durch die Nichtkonfiguration einer WAF entstehen

Eine WAF arbeitet mit einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien legen fest, wie die WAF bestimmte Angriffe erkennt und blockiert, um Anwendungen zu schützen; aus diesem Grund sind benutzerdefinierte WAF-Regeln verfügbar.

Einige WAFs sind zwar in der Lage, die Richtlinien automatisch zu aktualisieren, um der zunehmenden Komplexität und Unklarheit der aktuellen Cybersecurity-Bedrohungslandschaft Rechnung zu tragen, doch für eine optimale Leistung wird eine Überprüfung dieser Richtlinien dringend empfohlen.

Unabhängig davon, ob Organisationen des Gesundheitswesens mit einem Managed Service Provider zusammenarbeiten, um eine WAF zu implementieren, oder direkt mit einer lokalen WAF arbeiten, ist die Konfiguration von entscheidender Bedeutung. Werfen Sie einen Blick auf einige der Gründe dafür:

 

  1. Erfüllung von Compliance-Anforderungen

Einer der offensichtlichsten Gründe, warum eine nicht ordnungsgemäß konfigurierte WAF für Organisationen des Gesundheitswesens von Bedeutung sein kann, ist die Einhaltung von Compliance-Anforderungen. Glücklicherweise können Organisationen des Gesundheitswesens eine WAF so konfigurieren, dass sie ihre spezifischen Anforderungen erfüllt.

Die aktuellen Standards enthalten beispielsweise spezifische technische Bestimmungen zum Schutz von Gesundheitsdaten. Eine der geforderten technischen Schutzmaßnahmen ist die Zugriffskontrolle, bei der eine Einrichtung „technische Richtlinien und Verfahren implementieren muss, die nur autorisierten Personen den Zugriff auf elektronische geschützte Gesundheitsinformationen (e-PHI) ermöglichen“.

Um diese Anforderung zu erfüllen, können WAF-Administratoren Zugriffsregeln definieren, indem sie explizite Aktionen für Anfragen erstellen, die verschiedene Bedingungen erfüllen (bestimmte IP-Adressen, Regionen, URLs usw.). Diese Regelaktionen können dann so eingestellt werden, dass sie eingehende Anfragen zulassen, erkennen oder blockieren.

 

  1. Neue Bedrohungen blockieren

Ohne die richtige Konfiguration können neue Bedrohungen durch die WAF eindringen und möglicherweise eine hohe Anzahl von Fehlalarmen erzeugen, was sich letztendlich auf die Gesamtleistung auswirken kann. Das bedeutet, dass die WAF so konfiguriert werden muss, dass sie Angriffe, die in Unternehmen des Gesundheitswesens häufig vorkommen, optimal abwehren kann.

Um beispielsweise Angriffe wie Ransomware zu erschweren, ist eine geeignete Konfiguration in der WAF erforderlich – genauer gesagt eine Richtlinie oder Regel im Zusammenhang mit Dateiuploads. Diese WAF-Richtlinie verhindert das Hochladen von bösartigen Dateien und blockiert das Hochladen von Dateien, die auf dem Webserver ausgeführt werden können.

 

  1. Verringerung der Latenzzeit

Wie viele andere Unternehmen möchten auch Organisationen des Gesundheitswesens den Website-Besuchern ein nahtloses Erlebnis bieten. Jede Verzögerung oder Latenz, die durch die WAF verursacht wird, kann sich negativ auf die Erfahrung des Endbenutzers auswirken.

Da die Überprüfung von Anfragen und Antworten von Natur aus rechenintensiv ist, können WAFs je nach Komplexität der Richtlinie und der verwendeten Anwendungen Latenzzeiten verursachen. Das bedeutet auch, dass zu viele WAF-Konfigurationen zu Latenz führen können.

Administratoren von Organisationen des Gesundheitswesens sollten WAF-Konfigurationen sorgfältig prüfen, da dies nicht immer bedeutet, dass die vorgeschlagenen WAF-Richtlinien mit den bestehenden konsolidiert werden können.

 

Beispiel einer WAF-Konfiguration

Um zu verdeutlichen, warum die WAF-Konfiguration für Organisationen des Gesundheitswesens wichtig ist, sehen Sie sich das folgende Beispiel an: Eine lokale Klinik, die nur mit Patienten innerhalb ihrer Region resp. Bundeslandes arbeitet, könnte eine WAF so konfigurieren, dass der Datenverkehr aus dem Rest der Welt blockiert wird, um unbefugten Zugriff aus diesen Ländern zu verhindern. Diese WAF-Konfiguration würde auch dazu beitragen, den Datenverkehr zu reduzieren, der die WAF durchläuft, und damit die Leistung zu steigern.

Die Implementierung von WAFs kann komplex sein, da Organisationen im Gesundheitswesen effiziente Richtlinien für den wirksamen Schutz von Gesundheitsdaten festlegen müssen. In Anbetracht der Tatsache, dass die Gesundheitsbranche ein Hauptziel von Hackern ist, sollten Gesundheitsorganisationen die WAF genau auf ihre Sicherheitsanforderungen abstimmen und die Regeln regelmäßig überprüfen, um die Leistung zu kontrollieren.

 

Webinar am 15. September: Die ideale WAF für ihr Patientenportal – am Beispiel des Universitätsspital Zürich

Erfahren Sie im Webinar vom 15. September 2022 wie das Universität Spital Zürich ein Web Application Firewall im Einsatz haben. Im Gespräch haben Tibor Szabo (USZ) und Sascha Jooss die Vorzüge dieser Sicherheitslösung für das Gesundheitswesen vorgestellt.

Webinar Recording ansehen