Zeitgemäße Mikro-Segmentierung für eine anspruchsvolle Klinikumgebung – Krebsforschungszentrum setzt auf Zero Networks.
Als eine der führenden wissenschaftlichen Kliniken und Behandlungseinrichtungen Europas unterstützt das Istituto Nazionale Tumori lebenswichtige klinische Abläufe. Die Klinik treibt gleichzeitig die Krebsforschung für eine Region mit sechs Millionen Einwohnern im Großraum Neapel voran. Geschäftskontinuität ist im Gesundheitswesen nicht verhandelbar, doch herkömmliche Segmentierungsstrategien hinterließen blinde Flecken und eine geringe Durchsetzungssicherheit. Angesichts des steigenden Compliance-Drucks benötigte die Klinik einen nachweisbaren Weg, um kritische Abläufe zu sichern.
Zusammenfassung (TL; DR):
- Das Istituto Nazionale Tumori in Neapel ersetzte seine traditionelle Netzwerksegmentierung durch die agentenlose Lösung von Zero Networks, um laterale Angriffswege ohne Betriebsunterbrechungen zu blockieren.
- Die automatisierte Analyse des internen Datenverkehrs ermöglichte eine perfekte Bewertung im NIS-2-Compliance-Audit.
- Zudem konnte die Klinik ihre Cyberversicherungsprämien durch das erhöhte Sicherheitsniveau senken.
Mit Zero Networks erschloss sich das Institut durchgängige Sichtbarkeit und detaillierte Kontrolle, um dynamischen Schutz über seine komplexe Umgebung hinweg skalieren zu können. Ziel war es, die Patientenversorgung vor Störungen zu schützen. Die Klinik bestätigte ihre verbesserte Cyber-Resilienz mit einem einwandfreien Ergebnis bei der behördlichen Prüfung – weit über dem Branchendurchschnitt.
Herausforderung: Komplexe Umgebung schützen und Verfügbarkeit gewährleisten
Das Istituto Nazionale Tumori stand vor einer praktischen Herausforderung, die im Gesundheitswesen nur allzu gut bekannt sind: Es musste eine zunehmend komplexe Umgebung schützen, ohne den Betrieb zu beeinträchtigen. Herkömmliche Strategien hinterließen Lücken, die mit einem schlanken IT-Team nur schwer zu schließen waren. Die begrenzte interne Sichtbarkeit verstärkte das Risiko durch Verbindungen zu Dritten.
Herkömmliche Segmentierung bot keine Sicherheit. VLANs, Subnetze, Zugriffskontrolllisten und Firewall-Richtlinien boten dem Istitut einen Basisschutz, doch diese herkömmlichen Segmentierungsstrategien lieferten nicht die erforderliche Gewissheit, dass der interne Datenverkehr ausreichend kontrolliert wurde. Die eingeschränkte Ost-West-Sichtbarkeit verhinderte fundiertere Richtlinienentscheidungen. Ohne einen klaren Überblick über den internen Datenverkehr war es schwierig, Richtlinien für Maschinen und Server, die bestimmten Funktionen gewidmet sind, effektiv zu definieren. Gleiches galt für die Vielzahl von Drittanbietern und Auftragnehmern, die sich mit dem Netzwerk verbinden.
Ohne eine detaillierte interne Durchsetzung erhöhten diese Verbindungen das Risiko, insbesondere, wenn sie Änderungen ermöglichten, die außerhalb der Sichtweite des Sicherheitsteams lagen. Manuelle Ansätze waren somit angesichts begrenzter IT-Ressourcen nicht tragbar. Die Verwaltung der Segmentierung durch herkömmliche Kontrollen war für ein Team ohne umfangreiche Kapazitäten im Bereich Sicherheitstechnik zu arbeitsintensiv.
„Die herkömmliche Segmentierung gab uns Struktur, aber kein Vertrauen. Wir hatten keinen vollständigen Überblick darüber, was im Netzwerk vor sich ging. Wir mussten unsere internen Kontrollen stärken, ohne die Verfügbarkeit der Gesundheitsdienste zu beeinträchtigen – diese Balance war entscheidend“, sagt Rocco Saviano, Director of Digital Transformation am Istituto Nazionale Tumori.
Entscheidung
Das Institut prüfte, wie die Sicherheit ohne Beeinträchtigung kritischer Abläufe gestärkt werden könnte. Schnell wurde klar, dass es eine Lösung benötigte, die sofortige Sichtbarkeit bietet, den Zugriff nach dem Prinzip der geringsten Berechtigungen sicher durchsetzt und interne Risiken reduziert – selbst bei umfangreichen Verbindungen zu Drittanbietern.
Zero Networks gewann das Vertrauen der Klinik durch seine präzise Automatisierung und Benutzerfreundlichkeit und lieferte die Sichtbarkeit und den Schutz, die erforderlich waren, ohne wichtige Funktionen zu gefährden. Das Institut prüfte zuvor mehrere Lösungen, erkannte jedoch schnell, dass sich Zero Networks durch seine agentenlose Architektur und sein unterbrechungsfreies Bereitstellungsmodell von anderen abhob. So konnte die Organisation eine granulare Segmentierung erreichen, ohne zusätzliche Agenten installieren, Systeme neu strukturieren oder Ausfallzeiten riskieren zu müssen. Die Bereitstellung erfolgte reibungslos, ohne Betriebsunterbrechungen.
Im Gegensatz zu Lösungen, die eine manuelle Kennzeichnung, die Erstellung von Gruppierungsrichtlinien und deren Durchsetzung erfordern, generiert die deterministische Automatisierungs-Engine von Zero präzise Richtlinien auf der Grundlage des beobachteten Netzwerkverhaltens. Die Genauigkeit des „Human-on-the-Loop“-Ansatzes von Zero schuf sofort Vertrauen. „Zero Networks hat uns von einem reaktiven Modell zu einem kontrollierten Modell geführt – wenn etwas nicht ausdrücklich definiert und genehmigt ist, ist es nicht erlaubt“, erklärt Saviano.
Zero ermöglichte umfassende Sichtbarkeit über interne Datenverkehrsmuster mit Echtzeit-Einblicken in die Kommunikation zwischen Systemen und Benutzern. Dies verschaffte dem Institut ein neues Maß an Vertrauen und Kontrolle und deckte sogar nicht genehmigte Geräte und zuvor verborgene Datenverkehrsmuster auf. Mit Zero konnte die Klinik zudem von freizügigen Standardeinstellungen zu einer kontrollierten Durchsetzung übergehen, wobei Aktivitäten von Drittanbietern detailliert nachverfolgt und streng an den geschäftlichen Zugriffsbedürfnissen ausgerichtet wurden. „Die Genauigkeit der durch die Automatisierung von Zero generierten Regeln gab uns die Gewissheit, dass die Segmentierung den Betrieb nicht stören würde“, fügt Saviano hinzu.
Überzeugende Ergebnisse
Mit Zero Networks setzte das Institut Sichtbarkeit und Durchsetzung in messbare, extern validierte Ergebnisse um. Zero lieferte eine einfache, skalierbare Lösung zur Sicherung der komplexen Umgebung und zur Optimierung der Compliance. Die Klinik validierte die Auswirkungen von Zero Networks auf seine Sicherheitslage im Rahmen einer Cybersicherheits-Reifegradbewertung im Zusammenhang mit der NIS2-Durchsetzung. Die Organisation erhielt eine perfekte Bewertung von fünf von fünf Punkten, obwohl der regionale Durchschnitt im Gesundheitswesen bei nur drei von fünf Punkten liegt.
Die Risikobewertung für die Cyberversicherung wurde neugestaltet und die Prämien konnten gesenkt werden. Als der Versicherungsanbieter eine Risikobewertung bei mehreren Gesundheitseinrichtungen durchführte, um die Prämiensätze festzulegen, stach die Tiefe der Segmentierung deutlich hervor. „Unser Grad an Mikrosegmentierung war anders als alles, was der Versicherer in unserer Region bisher gesehen hatte. Das führte zu einer anderen Diskussion darüber, wie Cyberrisiken bewertet werden sollten“, so Saviano. Die Sicherheitslage der Organisation veranlasste den Versicherer dazu, seine Methoden zur Messung der Segmentierungsreife und des Risikoausmaßes zu überdenken.
Nach der Implementierung von Zero stellte die Klinik einen unerwarteten betrieblichen Vorteil fest. Als ein Netzwerkingenieur das Institut verließ, blieben die Sicherheitslage und der Netzwerkbetrieb dank des automatisierten Ansatzes von Zero stabil. Das schlanke IT-Team konnte dadurch mit geringerem Aufwand eine strenge Durchsetzung aufrechterhalten. Zero deckte zudem Geräte, Datenverkehrsmuster und Berechtigungen auf, die zuvor verborgen geblieben waren – eine häufige Herausforderung für große Organisationen im Gesundheitswesen. Dies ermöglichte es der Klinik, übermäßige Berechtigungen zu identifizieren, unerwartete Datenströme zu blockieren, den Zugriff von Drittanbietern zu begrenzen und laterale Bewegungen standardmäßig einzuschränken.
„Zero ermöglichte ein Maß an Sichtbarkeit und Kontrolle, was es zuvor einfach nicht gab. Wir haben die Sicherheit im gesamten Unternehmen gestärkt, ohne jemals die Patientenversorgung zu beeinträchtigen. Audits und Bewertungen bestätigen, dass wir mit der dynamischen, identitätsbasierten Mikrosegmentierung von Zero Networks einen neuen Standard für herausragende Cybersicherheit in unserer Region und Branche gesetzt haben“, fasst Saviano abschließend zusammen.
