Informationstechnik
IT-Teams im Gesundheitswesen liegen im Branchenvergleich auf Platz zwei bei der Behebung von Sicherheitslücken. Doch an anderer Stelle müssen sie aufholen. Das sind u.a. Ergebnisse aus dem „State of Software Security Report“, der auch Empfehlungen liefert.
Für die optimale Pflege, Behandlung und Diagnose von Patienten benötigt medizinisches Personal umfassende Informationen. Im Rahmen der fortschreitenden Digitalisierung im Gesundheitswesen ist es daher eine zentrale Aufgabe der IT, diese sensiblen Daten zu schützen. Der elfte „State of Software Security (SoSS) Report“ von Veracode bietet einen Überblick über den Status Quo der Anwendungssicherheit in verschiedenen Branchen. Der Report zeigt: Das Gesundheitswesen ist bei der Behebung von Sicherheitsrisiken schneller als andere Branchen. Julian Totzek-Hallhuber, Principal Solution Architect von Veracode, fasst alle wichtigen Erkenntnisse zusammen und gibt Handlungsempfehlungen.
Die elfte Ausgabe der branchenweit umfangreichsten Studie im Bereich Anwendungssicherheit bietet einen umfassenden Überblick über den Status Quo. Zusätzlich werden Sicherheitslücken identifiziert und im Detail analysiert. Insgesamt untersuchte Veracode 130.000 Anwendungen aus der Finanzbranche, dem Gesundheitswesen, dem Einzelhandel/Gastgewerbe, der Produktionsbranche, der Technologiebranche und behördlichen Institutionen. Durch den Vergleich der unterschiedlichen Branchen wurde gezeigt, dass IT-Teams Sicherheitslücken mit unterschiedlicher Geschwindigkeit beheben. Einen großen Einfluss darauf hat das Entwicklerverhalten. Dabei muss zwischen zwei beeinflussenden Faktoren unterschieden werden:
- Zum einen die gegebenen Eigenschaften der Entwicklungsumgebung („Nature“) und
- zum anderen den beeinflussbaren Faktoren bei der Entwicklung („Nurture“).
Der elfte SoSS-Report deckt auf: Bedingt durch Faktoren wie Anwendungsgröße und Fehlerdichte haben es Entwickler in Unternehmen des Gesundheitswesens beim „Nature“-Element mit einem weniger herausfordernden Umfeld zu tun als in anderen Branchen. Dadurch ergibt sich, das Unternehmen aus der Branche eine höhere Wahrscheinlichkeit haben, Sicherheitsrisiken zu beheben, als Unternehmen aus anderen. Aber: Eine effiziente „Nurture“ steckt noch in den Kinderschuhen. DevSecOps-Praktiken sind zwar angekommen, jedoch noch nicht umfassend etabliert.
1001 Sicherheitslücken
Der Report zeigt, dass lediglich 75 Prozent aller gescannten Anwendungen im Gesundheitswesen mindestens eine Sicherheitslücke aufweisen. Damit belegt die Branche hinter dem Finanzsektor (74 Prozent) den zweiten Platz. Im Gegensatz dazu belegt das Gesundheitswesen bei der Anzahl der Hochrisiko-Anwendungen mit 26 Prozent lediglich den vierten Platz. Diesen teilt es sich mit dem Einzelhandel/Gastgewerbe. Mit 28 Prozent weist lediglich die Technologie-Branche mehr Anwendungen auf, von denen ein großes Risiko ausgeht.
Auch bei der Fehlerbehebungsrate ist noch Luft nach oben: Mit einer Rate von 70 Prozent belegt das Gesundheitswesen in dieser Kategorie ebenfalls Platz vier. Nur behördliche Einrichtungen (66 Prozent) und die Produktionsbranche (59 Prozent) haben eine geringere Fehlerhebungsrate. Auch die Dauer, bis die Hälfte der Sicherheitslücken behoben wird (149 Tage), sollte niedriger sein.
Um eine detaillierte Analyse der identifizierten Sicherheitslücken zu ermöglichen, teilt der SoSS diese in Kategorien ein. Im Vergleich zu anderen Branchen werden im Gesundheitswesen kategorienübergreifend durchschnittlich weniger Sicherheitslücken gefunden, als in anderen Branchen. Die drei häufigsten Fehlerarten sind Datenlecks (49 Prozent), CLRF-Injections (48 Prozent) und die Qualität des Codes (46 Prozent). Im Vergleich: Der branchenübergreifende Durchschnitt bei Datenlecks liegt bei 58 Prozent.
„Nature“ und „Nurture“ im Gesundheitswesen
Der „Nature“-Aspekt von Anwendungen im Gesundheitswesen stellt eine relativ sichere und stabile Umgebung für Entwickler dar. Im Vergleich zu den anderen untersuchten Branchen belegen Gesundheits-Einrichtungen bei dem durchschnittlichen Alter der Anwendungen, der Anwendungsgröße und der Fehlerdichte den jeweils zweiten Platz. Ein Problem für das „Nature“-Element stellt lediglich die durchschnittliche Größe der Einrichtungen dar – hier belegt die Branche den vierten Platz.
In Bezug auf den „Nurture“-Aspekt lassen sich positive Punkte identifizieren: So belegen die Organisationen den ersten Platz bei der Scan-Kadenz. Bei der Integration von Sicherheitsaspekten im Entwicklungsprozess belegen sie jedoch nur Platz vier, bei der Häufigkeit von Sicherheitsscans sogar Platz fünf. Dies zeigt: Es scheint zwar eine konsistente Strategie vorzuliegen, aber die Häufigkeit der Scans muss noch nach oben skaliert werden.
Auch im Bereich der Scan-Typen finden sich schon Ansätze der DevSecOps-Praktiken, da verschiedene Arten kombiniert werden. So belegen Einrichtungen aus dem Gesundheitswesen bei der Häufigkeit der Nutzung der dynamischen Analyse (DAST) den ersten Platz – bei der Nutzung der Software-Composition-Analyse (SCA) jedoch lediglich den letzten. Hier wird deutlich, dass der Einzug von DevSecOps-Praktiken Schritt für Schritt stattfindet.
Chance für die „Nurture“: Das Krankenhauszukunftsgesetz
Zusammenfassend kann festgehalten werden: Der „Nature“-Aspekt von Anwendungen im Gesundheitssystem birgt bereits Vorteile für Entwickler. Im Gegensatz dazu weist das „Nurture“-Element noch einige Schwächen auf. Die umfassende Etablierung von DevSecOps-Praktiken kann darauf eine Antwort sein . Dafür sollten Entwickler Sicherheitsaspekte in den Entwicklungsprozess integrieren. Auch häufigere Sicherheitsscans und eine Kombination aus verschiedenen Scan-Typen können die Fehlerhebungsrate verbessern. Entwickler, die auf eine Kombination aus SAST und DAST zurückgreifen, beheben die Hälfte der Fehler 24,5 Tage schneller.
Unternehmen aus dem Gesundheitswesen sollten also zukünftig ihr „Nurture“-Element durch DevSecOps-Praktiken optimieren. Eine Chance für dieses Vorhaben bietet die Förderung im Rahmen des Krankenhauszukunftsgesetzes. Dieses verspricht ab dem 1. Januar 2021 drei Milliarden Euro für moderne Notfallkapazitäten, die Digitalisierung und die IT-Sicherheit in Krankenhäusern. Akteure im Gesundheitswesen können die vorgestellten Erkenntnisse nutzen, um in eine effiziente und sichere digitale Transformation kombiniert mit DevSecOps-Praktiken zu investieren.