Health-ISAC veröffentlicht Zero-Trust-Implementierungsleitfaden für CISOs im Gesundheitswesen

Die Herausforderungen bei der Einführung eines Zero-Trust-Sicherheitsmodells im Gesundheitswesen lassen sich auf zwei Hauptprobleme zurückführen: die schnelle Verbreitung von IoT-Geräten und die Komplexität der Authentifizierung im Zusammenhang mit „der Roaming-Natur einiger Mitarbeiter im Gesundheitswesen“, so ein neues Weißbuch von Health-ISAC.

Link zum Artikel:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Diese Hürden müssen vor der Umstellung auf Zero Trust überwunden werden, denn „die Implementierung einer Zero-Trust-Architektur ist nicht so einfach, wie zu einem Anbieter zu gehen und sich eine Lösung von der Stange auszusuchen.“

Wie bereits berichtet, Zero Trust ist ideal für das Gesundheitswesen, aber die Mehrheit der Anbieterorganisationen hat aufgrund der Systemkomplexität und anderer Hindernisse Schwierigkeiten, diesen Schritt zu wagen.

Doch während das Gesundheitsministerium weiterhin Fortschritte bei der Interoperabilität macht, die stark auf APIs angewiesen ist, Einführung von Zero-Trust sollte Priorität haben, damit sich Krankenhäuser besser an ausgedehnte Netzwerke anpassen können.

Identität ist der „Kern von Zero Trust“, einschließlich Multi-Faktor-Authentifizierung, Autorisierungs-Governance und „der ordnungsgemäßen Bereitstellung von Rollen und Attributen für den Zugriff“, so Health-ISAC. „Zugriffsregeln müssen so detailliert wie möglich sein, um das Prinzip der geringsten Privilegien zu ermöglichen, und alle Subjekte, Assets und Workflows müssen explizit authentifiziert und autorisiert werden.“

Beispielsweise stellt Zero Trust sicher, dass Mitarbeiter nur auf Elemente zugreifen können, die sie für die Ausführung ihrer Aufgaben benötigen. Das Modell stellt sicher, dass das Netzwerk auf der Grundlage des Zugriffs mit den geringsten Berechtigungen segmentiert ist und nur minimalen Zugriff auf der Grundlage auf den Benutzer zugeschnittener Vertrauensrichtlinien bietet.

Das Papier zielt darauf ab, leitende Informationssicherheitsbeauftragte im Gesundheitswesen dabei zu unterstützen, Zero-Trust-Sicherheit und den empfohlenen Ansatz für die Architektur des Modells besser zu verstehen, um einen identitätszentrierten Ansatz für die Cybersicherheit aufzubauen.

Health-ISAC weist darauf hin, dass der Leitfaden CISOs über Zero Trust und dessen erforderliche Grundlagen informieren soll, zusammen mit Grundprinzipien, üblichen Herausforderungen bei Zero-Trust-Migrationen und wie man die Umstellung einleitet. Der Leitfaden wurde für Unternehmen aller Größen und Reifegrade geschrieben, in der Hoffnung, dass diese CISOs die Bedeutung eines identitätszentrierten Ansatzes für die Cybersicherheit verstehen.

Sicherheitsverantwortliche werden feststellen eine Definition für Zero Trust, Implikationen des Sicherheitsmodells und konkrete Schritte zur Implementierung von Zero Trust im Gesundheitswesen. Das Dokument ergänzt außerdem Zero-Trust-Komponenten in der Health-ISAC-Framework zur Verwaltung der Identität in 2020 veröffentlicht.

Das Framework wurde mit Zero-Trust-Konzepten aktualisiert und „integriert zusätzliche Kontrollen, um Kernelemente einer Zero-Trust-Architektur bereitzustellen“, darunter Standards zur Sicherung der Kommunikation, zur Anlagenüberwachung, zu Perimetern für die Zugriffsgewährung, zur richtlinienbasierten Autorisierung und zum Hinzufügen von Geräten zu Zielsystemen und -ressourcen.

CISOs im Gesundheitswesen können den Leitfaden nutzen, um die spezifischen Herausforderungen zu beurteilen, denen ihre Organisation bei der Einführung des Modells gegenüberstehen könnte. Health-ISAC bittet auch um Feedback von Branchenvertretern.

„Die Kriterien mögen zunächst entmutigend erscheinen, werden aber langfristig zu einer besseren Sicherheit der Organisationen führen“, so Health-ISAC abschließend. „Die Zeiten, in denen man jemanden durch die Vordertür hereinließ, ihm eine Rolle mit Zugriffsrechten zuwies und ihn dann einfach seines Weges gehen ließ, sind vorbei.“

• Verwandte Ressourcen und Neuigkeiten
• Gesundheit-ISAC Hacking Healthcare 4
• Mythos und ähnliche KI-Tools erhöhen die Anforderungen an die Cybersicherheit im Gesundheitswesen
• Krankenhaus in Massachusetts weist nach Cyberangriff Krankenwagen ab
• Podcast: Phil Englert über Cybersicherheit von Medizinprodukten
• Die Bedrohung durch Insider nimmt wieder zu.
• „Verpasste Gelegenheit“: Die Abwesenheit der US-Regierung von der RSAC-Konferenz hinterlässt eine deutliche Lücke.
• Gesundheit-ISAC Hacking Healthcare 3
• Gesundheit-ISAC Hacking Healthcare 3
• Health-ISAC Monatsnewsletter – April 2026
• Abschlussbericht: Health-ISAC-Resilienzübungsreihe 2025