16.06.2021 | Digital Innovation

Pharma und Cyberkriminalität

Nigel Thorpe, Technischer Direktor des europaweit tätigen IT-Experten Secure Age Technology, befasst sich mit Datenlecks in der Gesundheitsbranche und erklärt, warum es an der Zeit ist, sich auf die Daten selbst zu konzentrieren.

Cyberangriffe sind in der Pharmaindustrie keine Seltenheit. Laut dem 2020 Cost of a Data Breach Report von IBM und dem Ponemon Institute waren Pharma- und Biotech-Unternehmen von mehr Cyberangriffen betroffen als jede andere Branche, wobei 53 Prozent davon auf böswillige Aktivitäten zurückzuführen sind. Die Studie ergab, dass die durchschnittlichen Kosten eines Datenlecks in der pharmazeutischen Industrie bei 5,06 Millionen Dollar liegen, noch vor dem Gesundheitswesen, dem Energiesektor und dem Finanzsektor.

COVID-19 und die Dringlichkeit, Tests, Impfstoffe und Therapien zu entwickeln, haben die Branche noch stärker in das Fadenkreuz von Cyberkriminellen und staatlich geförderten Hackergruppen gerückt. Im Juli 2020 half das britische National Cyber Security Centre (NCSN) bei der Aufdeckung russischer Angriffe auf die Entwicklung von Coronavirus-Impfstoffen, während die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) im Oktober eine Warnung an alle Pharmaunternehmen und Forschungseinrichtungen herausgab, in der sie auf die Notwendigkeit hinwies, die IT-Sicherheit in der Branche zu verbessern. Im Dezember wurden mindestens sechs Pharmaunternehmen in den USA, dem Vereinigten Königreich und Südkorea, die an COVID-19-Behandlungen arbeiten, von nordkoreanischen Hackern angegriffen, wie das Wall Street Journal berichtet. Die Zunahme der Angriffe unterstreicht die Tatsache, dass Pharmaunternehmen äußerst lukratives geistiges Eigentum entwickeln und große Mengen an Patienten- und Gesundheitsdaten verarbeiten, was sie alle zu einem bevorzugten Ziel für Kriminelle macht, die Informationen kompromittieren, stehlen und ausnutzen wollen. Die größten Herausforderungen für all diese großen Organisationen werden durch mehrere Standorte und unterschiedlich komplexe Beziehungen innerhalb von Bereichen wie Krankenhäusern, Gesundheitsdienstleistern, Lieferanten, Händlern sowie Regierungen verschärft, die alle Online-Zugriff auf verschiedene Systeme und Daten benötigen, die durch Vorschriften kontrolliert werden.

Der Healthcare Data Risk Report 2021 des Cybersicherheitsunternehmens Varonis untersuchte den Zustand der Datensicherheit in Organisationen des Gesundheitswesens, darunter Krankenhäuser, Biotech- und Pharmaunternehmen. Dabei wurde eine Stichprobe der Datenrisikobewertungen für 58 Unternehmen - und insgesamt drei Milliarden Dateien - analysiert, um festzustellen, wie gefährdet die Daten sind. Dabei wurde festgestellt, dass fast 20 Prozent aller Dateien für jeden Mitarbeiter einsehbar sind und dass ein durchschnittliches Gesundheitsunternehmen 31.000 sensible Dateien hat, die für jeden zugänglich sind - darunter auch solche mit HIPAA-geschützten Informationen, Finanzdaten und geschützten Forschungsergebnissen. Das sind eine Menge Daten, die es in zwei Formen gibt. Strukturierte Daten sind die Art von Informationen, die in vielen herkömmlichen, aus Spalten und Zeilen bestehenden Datenbanken gespeichert werden können, z. B. in einer Kunden- oder Studiendatenbank, die Namen, Adressen und Telefonnummern enthält.

Unstrukturierte Daten sind alles andere, von E-Mail-Protokollen oder Chat-Protokollen bis hin zu Berichten und Präsentationen, Bildbibliotheken oder Videos. Tatsächlich sind etwa 80 Prozent der Daten unstrukturiert und viele davon sind sensible Informationen. Angesichts der Vorliebe der Industrie für Tabellenkalkulationen, die durch die Track-and-Trace-Probleme im Vereinigten Königreich unterstrichen wird, stellt dies ein besonderes Datensicherheitsproblem dar, da sie oft hochsensible Daten enthalten, aber nur unzureichend geschützt sind.

Zeit, sich auf die Daten zu konzentrieren

In jedem Unternehmen extrahieren die Mitarbeiter routinemäßig Informationen aus Datenbanken und Anwendungen für Berichte, Präsentationen und Adhoc-Datenanalysen. In der pharmazeutischen Welt, wo Forschung und Datenanalyse weit verbreitet sind, wird dies um ein Vielfaches vergrößert. Die extrahierten Daten werden an verschiedenen Orten gespeichert, von gemeinsamen Dateien bis hin zu lokalen Festplatten und Wechseldatenträgern, und die meisten Unternehmen werden zugeben, dass sie nicht wissen, wo sich all ihre Informationen befinden - ob sie nun sensibel sind oder nicht. Dies stellt eine große Herausforderung für den traditionellen Ansatz dar, nur die sensibelsten Daten streng zu schützen. Das mobile Arbeiten stellt eine zusätzliche Schwachstelle dar. Mitarbeiter, die von zu Hause aus arbeiten, sind zu attraktiven Zielen geworden, da die meisten Heimnetzwerke weniger gut geschützt sind als Unternehmensnetzwerke. Ist der Hacker erst einmal drin, hat er eine große Chance, auf den Firmenlaptop zuzugreifen, lokal gespeicherte Dokumente zu finden und dann in das Firmennetz einzudringen.

Traditionell haben wir versucht, alle Daten mit mehreren Sicherheitsebenen zu schützen, um den Zugriff zu verhindern, aber die unaufhörliche Flut von Schlagzeilen über erfolgreiche Cyberangriffe und Sicherheitsverletzungen beweist, dass dies nicht funktioniert. Und wie der Varonis-Bericht zeigt, ist jede beliebige Datei wahrscheinlich auch für Mitarbeiter zugänglich, die keinen Grund haben, diese Informationen zu sehen. Wenn wir also weder die Cyber-Kriminellen fernhalten noch den Menschen in unserer Umgebung vertrauen können, müssen wir die herkömmlichen Schutzmethoden überdenken und einen datenzentrierten Ansatz verfolgen, bei dem die Sicherheit in die Daten selbst eingebaut wird.

Eine vollständige Festplattenverschlüsselung schützt strukturierte und unstrukturierte Daten auf einer Festplatte/einem USB-Stick. Das ist zwar gut, wenn man seinen Laptop verliert, aber es nützt nichts, wenn die Daten vor unbefugtem Zugriff oder Diebstahl von einem laufenden System geschützt werden sollen. Die Daten müssen daher nicht nur im Speicher, sondern auch bei der Übertragung und bei der Nutzung vor Ort oder in der Cloud geschützt werden.

Dies ist jedoch keine leichte Aufgabe. In dem von IBM und Ponemon erstellten Bericht für das Jahr 2020 gaben 67 Prozent der Befragten an, dass die größte Herausforderung bei der Planung und Ausführung einer Datenverschlüsselungsstrategie darin besteht, herauszufinden, wo sich sensible Daten im Unternehmen befinden. Datenklassifizierungstechnologien werden häufig eingesetzt, um "wichtige" oder "sensible" Daten zu identifizieren, aber der Bericht ergab, dass 31 Prozent der Befragten die Klassifizierung der zu verschlüsselnden Daten als schwierig bezeichneten. Wo legen Sie also die "Wichtigkeitsgrenze" fest? Selbst scheinbar triviale Informationen können für Cyber-Kriminelle nützlich sein, die es verstehen, kleine Daten zu einem größeren Bild zusammenzufügen, zum Beispiel für einen Spear-Phishing-Angriff.

Ein universeller Ansatz

Warum ist es dann die akzeptierte Norm, nur die "wichtigsten", also "sensiblen" Daten zu verschlüsseln? Das Problem ist, dass die Verschlüsselung traditionell als komplex und kostspielig galt und die Leistung und Produktivität beeinträchtigte. Mit der fortgeschrittenen Technologie und den hohen Verarbeitungsgeschwindigkeiten kann nun eine nahtlose Datenverschlüsselung zum Schutz aller Daten - strukturierter und unstrukturierter - eingesetzt werden. Auf diese Weise wird die Klassifizierung für Datensicherheitszwecke irrelevant und gestohlene Informationen bleiben geschützt und für Cyber-Kriminelle nutzlos.

Ein universeller Ansatz zur Datenverschlüsselung vereinfacht die Datensicherheit. Die Regeln zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) können vereinfacht und auf spezifischere Datenverlustszenarien ausgerichtet werden; manuelle Datenklassifizierungsentscheidungen wirken sich nicht mehr auf die Sicherheit aus; und es spielt keine Rolle mehr, wo die Daten gespeichert werden - sie werden immer verschlüsselt sein.

Während die pharmazeutische Industrie mit COVID-19 erstaunliche Fortschritte machte, stiegen die bestätigten Datenmissbrauchsfälle im gleichen Zeitraum um unglaubliche 58 Prozent. Und so wie die Welt auf eine Pandemie völlig unzureichend vorbereitet war, so waren auch die Gesundheitsunternehmen auf diese Angriffe nicht vorbereitet. Indem wir uns aktiv dafür entscheiden, alle Daten zu verschlüsseln - unabhängig davon, ob sie gespeichert, übertragen oder verwendet werden -, schaffen wir endlich Sicherheit für das Einzige, was einen Wert hat: die Daten selbst.

Eine kurze Geschichte der Datenverschlüsselung

Die Datenverschlüsselung reicht Jahrtausende zurück. Die Ägypter verwendeten zuerst ungeordnete Hieroglyphen, die Griechen Steganographie, die Spartaner Scytale und die Römer die Caesar-Shift-Cypher, die alle den Grundstein für die moderne Kryptographie legten. Es haben sich zwei grundlegende Ansätze herausgebildet, die auf komplizierter Mathematik basieren: die "symmetrische" und die "asymmetrische" Kryptografie.

Bei der symmetrischen Kryptografie wird der Klartext durch einen Chiffretext ersetzt, der wie ein Kauderwelsch aussieht. Der Absender der Nachricht verwendet einen Algorithmus und einen "Schlüssel", um die Nachricht zu verschlüsseln, und der Empfänger übernimmt die Verschlüsselung mit demselben Algorithmus und Schlüssel. Die Person, die die Nachricht verschlüsselt, muss jedoch in der Lage sein, den Schlüssel sicher an den Empfänger zu übermitteln, da sonst die Nachricht kompromittiert werden kann.

Um diese Probleme zu überwinden, haben die Forscher die asymmetrische oder "Public-Key"-Kryptografie entwickelt, bei der zwei eng miteinander verbundene Schlüssel pro Person erstellt werden. Der eine ist ein öffentlicher Schlüssel, der andere ein privater Schlüssel. Wenn Bob eine Nachricht mit dem öffentlichen Schlüssel von Alice verschlüsselt, kann sie sie mit ihrem eigenen privaten Schlüssel entschlüsseln. Alice kann jedem ihren öffentlichen Schlüssel geben, da sie weiß, dass nur sie Nachrichten für sich selbst entschlüsseln kann, da sie ihren privaten Schlüssel geheim hält. Vor kurzem wurde die PKI - Public Key Infrastructure - entwickelt, um Identitäts- und Leistungsprobleme zu lösen. PKI ist vergleichbar mit einem Reisepass, verwendet aber digitale Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) und nicht von einer Regierung "unterzeichnet" werden.

Alice, Bob und Villanelle haben also alle Zertifikate, die ihre öffentlichen Schlüssel enthalten, die von einer vertrauenswürdigen Zertifizierungsstelle signiert sind. Die Signatur besteht aus dem oben erwähnten Verschlüsselungsprozess, allerdings in umgekehrter Reihenfolge. Die Zertifizierungsstelle hat ihre eigenen öffentlichen und privaten Schlüssel und verwendet dieses Mal ihren privaten Schlüssel, um die öffentlichen Schlüssel aller anderen zu verschlüsseln (oder zu signieren). Die resultierenden Signaturen sind sicher in einem digitalen Zertifikat enthalten. Bob kann nun den öffentlichen Schlüssel von Alice abrufen, indem er ein digitales Zertifikat von einem zertifizierten Verzeichnis abruft, in der Gewissheit, dass dies die einzig wahre Identität von Alice ist.

Die Römer, Griechen und Ägypter haben uns den Weg gewiesen. Hätten wir mehr über den Schutz von Daten nachgedacht und weniger versucht, den Zugriff darauf mit Firewalls, Benutzerkontrollen und anderen "Burg- und Graben"-Techniken zu verhindern, wäre die moderne Informationssicherheit vielleicht einen anderen Weg gegangen. Aber wir haben jetzt das Wissen, die Technologie und die Rechenleistung, um das Versprechen einzulösen, alle Daten jederzeit durch Verschlüsselung zu schützen.

| Originalversion veröffentlicht in ACHEMA Inspire, Ausgabe Juni 2021/Deutsche Übersetzung durch DECHEMA Ausstellungs-GmbH |

Autor

Nigel Thorpe

Technischer Direktor der paneuropäischen IT-Experten SecureAge Technology

Schlagwörter in diesem Artikel:

#produkt- und prozesssicherheit, #pharma

Weitere Beiträge finden:

Zur Magazin-Detailsuche

Newsletter

Immer informiert

Mit unserem Newsletter erhalten Sie aktuelle Informationen rund um die ACHEMA frei Haus. So verpassen Sie garantiert keine wichtigen Termine.

Jetzt abonnieren

Tickets
Kontakt