Wie eine Klinik KIM-Dienste gegen Malware absichert

Die Kommunikation im Medizinwesen (KIM) revolutioniert den Datenaustausch zwischen Kliniken, Praxen und Patienten. Doch während der Standard selbst durch Verschlüsselung geschützt ist, entstehen Sicherheitslücken an den Ein- und Austrittspunkten. Ein Klinikum in Baden-Württemberg zeigt, wie sich dieser Schwachpunkt durch intelligente Integration von Multi-Scanner-Technologie schließen lässt.

Digitalisierung im Gesundheitswesen: Chancen und Risiken

Das im Dezember 2023 verabschiedete Digital-Gesetz (DigiG) treibt die Digitalisierung des Gesundheitswesens massiv voran. Elektronische Patientenakte (ePA), E-Rezept und elektronische Arbeitsunfähigkeitsbescheinigung (eAU) sind bereits im Einsatz – wenn auch noch nicht reibungsfrei.

Als zentrale Infrastruktur dient die Kommunikation im Medizinwesen (KIM), ein einheitlicher Standard für den verschlüsselten Austausch medizinischer Daten. Durch Signierung und Ende-zu-Ende-Verschlüsselung schützt KIM Befunde, Dokumente und Nachrichten vor unbefugtem Zugriff während der Übertragung.

Das Sicherheitsdilemma: Verschlüsselung verhindert Malware-Prüfung

Die Stärke von KIM birgt gleichzeitig eine Herausforderung: Die durchgängige Verschlüsselung macht eine Malware-Analyse während der Übertragung unmöglich. Erst an den Endpunkten – beim Empfang oder Versand – lassen sich Dateien entschlüsseln und auf Schadcode untersuchen.

Besonders kritisch wird es, wenn Patienten selbst Daten einbringen: Uploads in Klinik-Portale oder mitgebrachte USB-Sticks mit Röntgenbildern können unbemerkt Malware ins interne Netzwerk einschleusen. Für solche Szenarien sieht der KIM-Standard keine verbindlichen Prüfmechanismen vor.

Praxisfall: Malware-Schutz mit ICAP-Integration

Das von der ProSoft GmbH betreute Klinikum in Baden-Württemberg stand vor genau dieser Problematik. Die IT-Verantwortlichen suchten nach einer Lösung, um alle eingehenden Dateien vor der Weiterverarbeitung zu scannen – ohne die bestehende KIM-Infrastruktur grundlegend umbauen zu müssen.

Die technische Ausgangslage

• Im Einsatz: proGOV KIM-Dienst als Mail-Server und Client
• Problem: Begrenzte Schnittstellen für Malware-Scans zwischen Server und Client
• Anforderung: Höchste Erkennungsraten durch Multi-Scanner-Technologie

ICAP als Schlüsseltechnologie

Das Internet Content Adaptation Protocol (ICAP) etabliert sich zunehmend als Standard für die Weiterleitung von HTTP-, HTTPS- und FTP-Verkehr. Der Vorteil: ICAP kann Inhalte vor der Zustellung an Endanwender modifizieren oder prüfen.

Da KIM-Dienste ICAP-Schnittstellen bereits integriert haben, bot sich dieses Protokoll als gemeinsamer Nenner an. Als Scanner-Lösung fiel die Wahl auf den Anti-Malware Multiscanner MetaDefender von OPSWAT.

Die implementierte Architektur

Der Proof of Concept (PoC) wurde erfolgreich in folgenden Schritten umgesetzt:

Konfiguration der Komponenten

Die ICAP-Schnittstelle der KIM-Dienste wurde so konfiguriert, dass eine nahtlose Kommunikation mit den OPSWAT-Lösungen möglich ist. Die OPSWAT-Infrastruktur wurde entsprechend für den lückenlosen Malware-Scan aufgesetzt.

Der Scan-Prozess im Detail

1. Empfang und Zwischenspeicherung: Eingehende E-Mails mit Anhängen werden auf dem Host der KIM-Dienste temporär gespeichert
2. ICAP-Weiterleitung: Die Mail wird über die KIM-ICAP-Schnittstelle an den OPSWAT-ICAP-Server übermittelt
3. Analyse durch MetaDefender: Der ICAP-Server leitet die Daten an den MetaDefender Core zur detaillierten Untersuchung weiter
4. Statusabfrage: Der OPSWAT-ICAP-Server hält die Verbindung aktiv, bis das Scan-Ergebnis vorliegt
5. Entscheidung: Basierend auf dem Rückgabecode entscheiden die KIM-Dienste über Blockierung oder Freigabe
6. Zustellung: Nur unbedenkliche Mails erreichen den Mail-Client des Empfängers

Compliance und finanzielle Konsequenzen

Die Notwendigkeit robuster Sicherheitsmaßnahmen wird durch die Sanktionsmechanismen der Krankenkassen unterstrichen. Bei bekannt werdenden Sicherheitsvorfällen droht betroffenen Einrichtungen der zeitweise Ausschluss vom Abrechnungssystem – mit erheblichen finanziellen Folgen.

Mehrwert durch Multi-Scanning

Der parallele Einsatz mehrerer Scan-Engines im MetaDefender erhöht die Erkennungsrate deutlich gegenüber Single-Scanner-Lösungen. Verschiedene Engines erkennen unterschiedliche Malware-Signaturen und -Verhaltensmuster, sodass auch neuartige oder verschleierte Bedrohungen zuverlässiger identifiziert werden.

Fazit: KIM braucht ergänzende Sicherheitsmaßnahmen

Der Praxisfall zeigt exemplarisch, dass KIM als Standard zwar die Übertragungswege absichert, jedoch keine Mechanismen für die Prüfung der übertragenen Inhalte bereitstellt. Diese Lücke müssen Einrichtungen selbst schließen.

Die Integration von Multi-Scanner-Technologie über ICAP-Schnittstellen bietet einen praktikablen Weg, ohne die bestehende KIM-Infrastruktur grundlegend verändern zu müssen. Das Baden-Württemberger Klinikum hat die Lösung nach erfolgreichem PoC bereits produktiv im Einsatz und verhindert damit wirkungsvoll die Einschleusung von Schadcode in den medizinischen Datenkreislauf.

Für IT-Verantwortliche im Gesundheitswesen gilt: KIM allein reicht nicht aus. Erst die Kombination aus verschlüsselter Übertragung und intelligenter Malware-Analyse an den Endpunkten schafft das notwendige Sicherheitsniveau für den Umgang mit hochsensiblen Patientendaten.

Ursprünglich veröffentlicht von: ProSoft GmbH

Weiteres

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk