Auswirkung von Sicherheitsherausforderungen in der Cloud auf die Pharma- und Medizintechnik?
2. Oktober 2023Im Jahr 2022 erlitten fast 40 % der Unternehmen eine Datenverletzung in ihrer Cloud-Umgebung und nur etwas mehr als ein Drittel wendete Zero Trust Kontrollen (never trust always verify) in ihrer Cloud-Umgebung an (Thales, 2023). Eines der größten Probleme in der Cloud-Sicherheit ist, laut der Cloud Security Alliance (CSA), der Schattenzugang (Shadow Access), das heißt der unbefugte, nicht überwachte und unsichtbare Zugriff auf Cloud-Daten, -Anwendungen und -Software. Dies resultiert aus der zunehmenden Vernetzung von Cloud-Diensten in Verbindung mit automatisierter Infrastruktur und fehlender Governance.
Moderne Cloud-Anwendungen sind eine Ansammlung verteilter Dienste, die über Tausende von Schnittstellen (APIs), nicht nur innerhalb einer bestimmten Cloud, sondern auch mit Diensten anderen Clouds verbunden sind. Wenn Entwickler Cloud-Services kombinieren und Infrastructure-as-Code einsetzen, um virtuelle Umgebungen zu schaffen und Ressourcen (wie virtuelle Maschinen, Speicher, Datenbanken, Netzwerkkomponenten, Sicherheitseinstellungen usw.) zu definieren, erzeugen sie automatische Identitäten mit entsprechenden Zugriffswegen. Der Umfang der Berechtigungen ist wesentlich größer und um ein Vielfaches komplexer als in herkömmlichen „on-premises„-Umgebungen – ohne dass diese Berechtigungen überwacht werden. Cloud IAM (Identitäts- und Zugriffsmanagement) umfasst einen beträchtlichen Teil nicht-menschlicher Identitäten (fast 50 nicht-menschliche IDs pro menschliche ID (CyberArk, 2023)) und mit dem wachsenden Markt der IoT (Internet der Dinge) wird dieser Bereich der Berechtigungen schnell weiterwachsen.
Auswirkungen für Pharma und MedTech:
„Im Wesentlichen ist der wahre Sicherheitszustand einer Umgebung nie bekannt, und die Mechanismen und Prozesse zur Ableitung dieser Informationen sind in der Regel veraltet, bevor die Analyse abgeschlossen ist. Das Ergebnis ist eine anfällige Umgebung, und die Besitzer der Umgebung haben keine Möglichkeit, das Risiko wirklich zu bewerten.„ (CSA – Cloud Security Alliance)
Das Verständnis des Schattenzugangs steckt noch in den Kinderschuhen, und vorhandene Tools sind nicht in der Lage, die Vielzahl von Cloud-Identitäten und Zugangswegen zu erkennen. Diese Lücke in der Sichtbarkeit können Schäden verursachen, die über Datenschutzverletzungen hinausgehen, und machen es technisch schwierig, die Einhaltung von Vorschriften zu gewährleisten.
In regulierten Branchen liegt die Verantwortung für die Einhaltung der Vorschriften beim regulierten Unternehmen, und die neue NIS2-Verordnung sieht saftige Geldstrafen für die Nichteinhaltung von Sicherheitsprotokollen vor (bis zu 10 Millionen Euro).
Die Validierung von Cloud-Umgebungen erfordert daher Fachwissen und ausgefeilte Ansätze, um die Einhaltung von Vorschriften und Industriestandards zu gewährleisten und damit höchste Sicherheitsstandards zu erreichen. Die DHC Consulting Gruppe unterstützt Sie dabei vollumfänglich – von der Analyse bis zur Umsetzung.
Trotz der beträchtlichen Herausforderungen, welche Cloud-Dienste im regulierten Umfeld mit sich bringen, ermutigt SAP derzeit seine Kunden nachdrücklich, den Übergang zur Cloud zu vollziehen, da sonst Innovationen verpasst werden können. Dies wirft zwei interessante Fragen auf:
- Wenn eine Cloud, von einem schwerwiegenden Cyberangriff betroffen ist, in der mehrere Pharma-/MedTech-Unternehmen angesiedelt sind, hat dies dann weltweit Auswirkungen auf das Gesundheitssystem?
- Wenn SAP, die ERP-Software mit dem größten Marktanteil, eine Sicherheitslücke aufweist und mehrere SAP-Systeme durch laterale Bewegung in einer Cloud erreicht werden können, wie wirkt sich dies auf die weltweite Stabilität des Gesundheitssystems aus?
Das Risiko beider Vorfälle ist wahrscheinlich nicht hoch, aber definitiv auch nicht gering. Die Auswirkungen beider Szenarien könnten jedoch „schlimmer als das Worst-Case Szenario„ sein. Technologie ist wie ein Thriller: äußerst interessant und fesselnd, aber wie in jedem Thriller gibt es auch einen Killer.
Sind Sie darauf vorbereitet?