08014 Privileged Access Management – PAM
|
Die digitale Transformation, hybride Arbeitsmodelle und der rasante Fortschritt Künstlicher Intelligenz (KI) verändern nicht nur die klinischen Arbeitsprozesse – sie transformieren die Bedrohungslage für Krankenhäuser und Kliniken grundlegend. In einer hochdynamischen IT-Landschaft, in der medizinische Geräte, Cloud-Plattformen und mobile Arbeitsplätze zusammenarbeiten, wird die digitale Identität zum Zentrum der Sicherheit. Privileged Access Management (PAM) ist dabei ein IT-strategischer Schlüssel, um die Cyber-Resilienz moderner Medizintechnik-Infrastrukturen zu gewährleisten. von: |
1 Ausgangslage: Neue Bedrohungen
Wenn KI zum Angreifer wird
Cyberkriminelle rüsten für Angriffe gegen ein Krankenhaus oder Klinikum auf. Durch den Einsatz von KI durch Cyberkriminelle erreichen Angriffsmethoden eine Präzision und Automatisierung in neuen Dimensionen (komplexe neuartige Cyberangriffe).
Cyberkriminelle rüsten für Angriffe gegen ein Krankenhaus oder Klinikum auf. Durch den Einsatz von KI durch Cyberkriminelle erreichen Angriffsmethoden eine Präzision und Automatisierung in neuen Dimensionen (komplexe neuartige Cyberangriffe).
Im Fokus stehen dabei vor allem Identitäten: Angreifer zielen auf Zugangsdaten von IT-Systemen und vernetzten Medizingeräten, Tokens oder API-Schlüssel ab. Die Methoden reichen von KI-generierten Phishing-Mails bis hin zu Deepfakes, die Mitarbeitende in stressigen Situationen zu fatalen Freigaben verleiten. Auch Ransomware-Angriffe gewinnen an Gefährlichkeit, da KI Schwachstellen automatisch identifiziert und Angriffe in Echtzeit steuert.
Eine besondere Herausforderung für das Klinikpersonal stellen sogenannte „Push-Bombing-Angriffe” dar. Dabei werden Nutzer mit einer Flut von Multi-Faktor-Authentication (MFA)-Anfragen konfrontiert, bis sie – meist aus purer Überlastung – eine Freigabe erteilen. Ein oft unterschätztes Risiko in der Medizintechnik sind zudem maschinelle Identitäten. In modernen DevOps-Umgebungen oder bei der Vernetzung medizinischer Großgeräte sind sie allgegenwärtig. Fest codierte Zugangsdaten und mangelnde Transparenz machen diese „stillen Teilnehmer” zu einem leichten Ziel für die Infiltration bei Cyberangriffen.
Fachbegriffe
| • | Maschinelle Identität: Eine maschinelle Identität bezeichnet die digitale Identität von nicht-menschlichen Entitäten wie Anwendungen, Diensten, Geräten oder IoT-Komponenten. Im Gegensatz zu Benutzeridentitäten, die an Personen gebunden sind, dienen maschinelle Identitäten dazu, Systeme eindeutig zu authentifizieren und autorisieren. Beispiel im Krankenhaus:Ein PACS-System (Bildarchiv) kommuniziert mit einem KI-Diagnose-Service. Beide Systeme nutzen maschinelle Identitäten, um sich gegenseitig sicher zu authentifizieren, bevor sensible Bilddaten übertragen werden. |
| • | DevOPs-Umgebungen: DevOps-Umgebungen bezeichnen eine integrierte Plattform, in der Entwicklung (Development) und Betrieb (Operations) eng verzahnt sind. Das Ziel ist es, Software schneller, sicherer und automatisiert bereitzustellen. Typische Merkmale sind Continuous Integration (CI), Continuous Deployment (CD), automatisierte Tests und Infrastruktur als Code. |
2 PAM: Zugriffsmanagement
Privileged Access Management (PAM) setzt genau hier an. Als spezialisierter Teil einer umfassenden Identity- und Access-Management-Strategie (IAM) fokussiert sich PAM auf den Schutz besonders sensibler Konten – etwa von Administratoren, Dienstkonten oder den maschinellen Identitäten.
Die Implementierung einer PAM-Lösung im klinischen Umfeld bietet tiefgreifende technische Vorteile, die weit über eine reine Passwortverwaltung hinausgehen.
Zentraler Gateway
Durch die Etablierung eines zentralen Gateways wird die direkte Kommunikation zwischen potenziell unsicheren Endgeräten – etwa von externen Dienstleistern – und kritischen medizinischen Systemen vollständig unterbunden. Dies realisiert eine Protokollisolierung, bei der Zugangsdaten wie Administrator-Passwörter oder API-Keys sicher in einem verschlüsselten Vault verwaltet und lediglich automatisiert in die Sitzung injiziert werden. Der Anwender kommt somit nie in Kontakt mit den eigentlichen Anmeldedaten, was das Risiko durch Keylogging oder Credential Theft (Diebstahl von Anmeldedaten) nahezu eliminiert.
Durch die Etablierung eines zentralen Gateways wird die direkte Kommunikation zwischen potenziell unsicheren Endgeräten – etwa von externen Dienstleistern – und kritischen medizinischen Systemen vollständig unterbunden. Dies realisiert eine Protokollisolierung, bei der Zugangsdaten wie Administrator-Passwörter oder API-Keys sicher in einem verschlüsselten Vault verwaltet und lediglich automatisiert in die Sitzung injiziert werden. Der Anwender kommt somit nie in Kontakt mit den eigentlichen Anmeldedaten, was das Risiko durch Keylogging oder Credential Theft (Diebstahl von Anmeldedaten) nahezu eliminiert.
Just-in-Time-Zugriffe
Ein weiterer entscheidender technischer Vorzug ist die Einführung von Just-in-Time-Zugriffen, wodurch dauerhafte (persistente) Privilegien durch temporäre, kontextbasierte Berechtigungen ersetzt werden. Dies verkleinert die digitale Angriffsfläche des Krankenhauses massiv, da privilegierte Konten nur während aktiver Wartungsfenster existieren oder nutzbar sind. Parallel dazu ermöglicht das integrierte Session-Monitoring eine lückenlose Überwachung und Aufzeichnung aller Aktivitäten auf Systemebene.
Ein weiterer entscheidender technischer Vorzug ist die Einführung von Just-in-Time-Zugriffen, wodurch dauerhafte (persistente) Privilegien durch temporäre, kontextbasierte Berechtigungen ersetzt werden. Dies verkleinert die digitale Angriffsfläche des Krankenhauses massiv, da privilegierte Konten nur während aktiver Wartungsfenster existieren oder nutzbar sind. Parallel dazu ermöglicht das integrierte Session-Monitoring eine lückenlose Überwachung und Aufzeichnung aller Aktivitäten auf Systemebene.
KI-gestützte Analyse
Durch den Einsatz von KI-gestützter Verhaltensanalyse können Abweichungen vom Normalbetrieb, wie untypische Datenabflüsse oder unbefugte Befehlseingaben, in Echtzeit erkannt und durch automatisierte Sicherheitsreaktionen unterbunden werden.
Durch den Einsatz von KI-gestützter Verhaltensanalyse können Abweichungen vom Normalbetrieb, wie untypische Datenabflüsse oder unbefugte Befehlseingaben, in Echtzeit erkannt und durch automatisierte Sicherheitsreaktionen unterbunden werden.
Zero-Trust-Architektur
Nach Beendigung einer Sitzung sorgt die automatisierte Passwortrotation dafür, dass jeder Zugang für zukünftige Angriffsversuche wertlos wird. Insgesamt transformiert PAM die IT-Infrastruktur von einer vertrauensbasierten hin zu einer Zero-Trust-Architektur, die sowohl menschliche als auch maschinelle Identitäten lückenlos absichert und gleichzeitig die strengen regulatorischen Anforderungen an die Revisionssicherheit im Krankenhaus oder Klinikum technisch vollautomatisiert erfüllt. Abbildung 1 stellt vereinfacht die Komponenten von PAM in einem Krankenhaus dar.
Nach Beendigung einer Sitzung sorgt die automatisierte Passwortrotation dafür, dass jeder Zugang für zukünftige Angriffsversuche wertlos wird. Insgesamt transformiert PAM die IT-Infrastruktur von einer vertrauensbasierten hin zu einer Zero-Trust-Architektur, die sowohl menschliche als auch maschinelle Identitäten lückenlos absichert und gleichzeitig die strengen regulatorischen Anforderungen an die Revisionssicherheit im Krankenhaus oder Klinikum technisch vollautomatisiert erfüllt. Abbildung 1 stellt vereinfacht die Komponenten von PAM in einem Krankenhaus dar.
Zentrale Vorteile von PAM im Überblick:
| • | Vollständige Sichtbarkeit: IT-Verantwortliche von Krankenhaus Rechenzentren erhalten die Kontrolle darüber, wer wann auf welche Systeme (z. B. das KIS oder Bildarchivierungssysteme) zugegriffen hat. |
| • | Minimierung der Angriffsfläche: Durch das Prinzip des Least Privilege und automatisierte Passwortrotation besonders auch bei Zugängen für vernetzte Medizinprodukte wird das Risiko missbräuchlicher Nutzung drastisch gesenkt. Das Least-Privilege-Prinzip (PoLP) ist ein zentrales Konzept der Informationssicherheit. Es besagt, dass Benutzer ausschließlich die Zugriffsrechte erhalten, die für die Ausführung ihrer Aufgaben unbedingt erforderlich sind. |
| • | Just-in-Time-Zugriffe (JIT): Berechtigungen werden nicht dauerhaft, sondern nur für den Zeitraum der benötigten Aufgabe vergeben. |
| • | Echtzeit-Reaktion: Ungewöhnliche Aktivitäten werden sofort erkannt; verdächtige Sitzungen können automatisiert beendet werden. |
| • | Compliance & Auditierung: Die lückenlose Protokollierung erfüllt die strengen regulatorischen Anforderungen des Gesundheitswesens und unterstützt interne wie externe Prüfungen. |
2.1 Technische Umsetzung des PAM
Eine wirksame PAM-Strategie ist kein einmaliges IT-Projekt, sondern ein kontinuierlicher Prozess. Der Weg zu einer resilienten Infrastruktur lässt sich in vier Phasen unterteilen (s. Tab. 1). Beispiele:
Tabelle 1: Phasen und Maßnahmen als Prozess einer PAM-Strategie
Phase | Maßnahmen |
Definition | Festlegung der Governance: Welche Konten (menschlich/maschinell) sind privilegiert? |
Identifikation | Einsatz von Discovery-Tools zur Aufdeckung von Schatten-IT und verborgenen Zugängen. |
Sicherung | Speicherung der Zugangsdaten in verschlüsselten Tresoren; Erzwingung von MFA-Workflows. |
Analyse | Echtzeit-Monitoring und KI-gestützte Verhaltensanalyse zur Incident Response. |
Abbildung 2 stellt vereinfacht die Integration einer PAM-Plattform in einem Krankenhaus IT-Netzwerk dar.
3 Fallbeispiel 1: PAM in der vernetzten Medizintechnik
Ein Universitätsklinikum betreibt ein vernetztes OP-System, in dem chirurgische Geräte, Bildgebungssysteme und Patientenmonitore über ein zentrales Netzwerk verbunden sind. Für Wartung und Updates benötigen interne IT-Techniker und eigene Medizintechniker privilegierte Zugänge zu diesen Systemen. Früher wurden dafür statische Administrator-Passwörter genutzt, die oft über Jahre unverändert blieben – ein erhebliches Sicherheitsrisiko. Mit der Einführung eines PAM-Systems wurde ein rollenbasierter Zugriff eingeführt:
| • | Just-in-Time-Zugriff: Techniker erhalten temporäre, automatisch ablaufende Berechtigungen. |
| • | Starke Authentifizierung: Zugriff erfolgt nur über Multi-Faktor-Authentifizierung und Identitätsprüfung. |
| • | Session Recording & Audit: Jede Wartungssitzung wird protokolliert und kann später (z. B. im Rahmen von Audits durch den Informationssicherheitsbeauftragten) überprüft werden. |
Im Ergebnis minimiert das Klinikum das Risiko des Missbrauchs privilegierter Konten, erfüllt regulatorische Anforderungen (z. B. DSGVO, KRITIS) und schützt kritische Medizingeräte vor internen Cyberangriffen.
4 Fallbeispiel 2: PAM bei der Fernwartung von vernetzten Medizingeräten
Anwendungsszenario: Sicherer Drittzugriff auf bildgebende Systeme. In diesem Szenario muss ein externer Servicetechniker Wartungsarbeiten an einem PACS-Server (Picture Archiving and Communication System) durchführen.
| 1. | Der Anforderungs-Workflow (Just-In-Time) |
Anstatt einen permanent aktiven Zugang zu besitzen, nutzt der Techniker ein sogenanntes Request-Portal. Das bedeutet:
| • | Identifizierung: Der Techniker meldet sich am PAM-Gateway mit seiner persönlichen Identität und Multi-Faktor-Authentisierung (MFA) an. |
| • | Freigabe: Ein interner IT-Verantwortlicher des Krankenhauses erhält eine Benachrichtigung und gibt den Zugriff für ein definiertes Zeitfenster (z. B. zwei Stunden) frei. |
| 2. | Isolierung und Protokollierung (Privileged Session Management) |
Der Zugriff erfolgt nicht direkt vom Endgerät des Technikers auf das Zielsystem, sondern über einen sogenannten Jump Server (Proxy) innerhalb der PAM-Lösung. Das bedeutet:
| • | Verschleierung der Credentials: Das Passwort für den Administrator-Account des PACS-Servers wird automatisch aus dem verschlüsselten Passwortvorrat (Vault) in die digitale Wartungs-Session injiziert. Der externe Techniker bekommt das Passwort niemals im Klartext zu sehen. |
| • | Session-Recording: Die gesamte Sitzung wird als Video-Log aufgezeichnet. Dies dient nicht nur der Kontrolle, sondern auch der Dokumentation durchgeführter Änderungen für das Qualitätsmanagement (eine Aufzeichnung als reines Logfile auf dem Server ist auch möglich). |
| 3. | Granulare Befehlskontrolle |
Die PAM-Lösung überwacht die Session in Echtzeit auf verdächtige Aktivitäten.
| • | Blacklisting: Bestimmte riskante Befehle (z. B. Formatieren von Festplatten oder Export ganzer Datenbanken) können für externe Profile gesperrt werden. |
| • | Terminierung: Erkennt die KI-Komponente des PAM-Systems untypisches Verhalten (z. B. massenhaftes Kopieren von Bilddaten), wird die Verbindung sofort automatisch getrennt. |
| 4. | Abschluss und automatische Bereinigung |
Sobald die Wartung des PACS-Servers beendet ist oder das Zeitfenster abläuft passiert Folgendes:
| • | Die Sitzung wird geschlossen. |
| • | Das PAM-System führt eine automatische Passwortrotation durch. Das bedeutet, das Administrator-Passwort des Zielsystems wird sofort geändert, sodass selbst bei einem eventuellen Keylogging während der Session der Zugang für Cyber-Angreifer wertlos bleibt. |