Das Sicherheitsparadoxon

Gesundheitswesen im Fokus von Cyberkriminalität

23. August 2017, 11:00 Uhr | Rob Bathurst

Fortsetzung des Artikels von Teil 2

Regulierungsinstrumente: Sicherheitsgaranten oder Blockade?

Ob freiwilliges Rahmenwerk oder strikte Regulierung – in den allermeisten Fällen gelten sie als weitgehend akzeptiert. Sie sorgen schließlich dafür, dass Anbieter, Hersteller und Nutzer die technischen und methodischen Lücken adressieren. 2016 veröffentlichte das Institute for Critical Infrastructure Technology, »dass die FDA in praktisch allen Fällen (von Sicherheitsvorfällen, Anm. d. Verf.) Hinweise und Empfehlungen gegeben hat, wo Sicherheitsrichtlinien verbessert werden müssen (Tabelle 2) – und zwar aufgrund kontinuierlicher Mängel bei der Sicherheitspflege seitens der Industrie, der Möglichkeit, Schwachstellen auszunutzen und der neuen durch das Internet der Dinge entstandenen Bedrohungsszenarien.« Traditionelle Antiviren- und Anti-Malware-Lösungen basieren auf Signaturen und Heuristik.

Aktuelle Malware ist aber inzwischen in der Lage »Sandboxing« zu erkennen und zu umgehen. Vor diesem Hintergrund wirken die Empfehlungen der FDA und anderer Regulierungsbehörden eher antiquiert, weil sie die strategischen und technischen Möglichkeiten von Angreifern unterschätzen – eine Einschätzung mit unter Umständen fatalen Folgen.

Schwachstellen in der Medizintechnik und Cybersicherheit

Für diejenigen, die sich schon länger mit IT-Sicherheit befassen, ist meta- oder polymorphische Malware nichts Neues. Was aber aktuelle Angriffe von früheren unterscheidet ist, dass sie – anders als noch vor wenigen Jahren – zusätzlich hohen finanziellen Schaden nach sich ziehen.

Nach Angaben der ISACA hat sich die Zahl der Unternehmen und Organisationen, die Opfer einer Ransomware-Attacke geworden sind und die bereit waren, ein Lösegeld zu zahlen, von ehemals 2,9 % auf aktuell 41 %(!) erhöht.
Im Februar 2016 wurde das Hollywood Presbyterian Medical Center Opfer eines spektakulären Ransomware-Angriffs, der auch außerhalb der USA für Schlagzeilen sorgte. Berichte sprechen von einer Lösegeldforderung in Höhe von potenziell 3,6 Millionen US-Dollar. Der Zugriff auf kritische Systeme war für mehr als eine Woche blockiert und ein Teil der Patienten musste in andere Kliniken verlegt werden.
CryptoWall v3 hat weltweit Kosten von über 325 Millionen Dollar verursacht
Auch in Deutschland werden Cyberattacken im Gesundheitswesen deutlich bedrohlicher, wie das Ärzteblatt meldete.
Neue Malware-Stämme, die andere Verschlüsselungsprinzipien nutzen, erblicken regelmäßig das Licht der Welt. 2015 und 2016 sind zunehmend Freiwilligen- und Non-Profit-Organisationen wie auch Repräsentanten der öffentlichen Sicherheit ins Visier von Cyberkriminellen geraten. Eine Hackergruppierung ist soweit gegangen, den Hippokratischen Eid in ihrem Sinne zu manipulieren, dass er besser ins digitale Zeitalter passt – was die Sicherheitsanforderungen an Hersteller und Anbieter im Gesundheitswesen anbelangt.

Warum maschinelles Lernen nicht gleich maschinelles Lernen ist

Spektakuläre Hacks nicht zuletzt in der Gesundheitsbranche haben gezeigt, dass das Modell »Erkennen und Reagieren« ungenügend ist. Mit den damit einhergehenden umfangreichen manuellen Kontrollen wird primär Schadensbegrenzung betrieben – die einzigen Variablen im System sind die Zeit bis zum Erkennen und die Dauer der Isolation. Dabei sind ungefähr 60 % aller Angriffe binnen weniger Minuten erfolgreich [1] und es dauert im Durchschnitt 229 Tage, bis ein solcher Angriff erkannt wird [2]. Sicherheit geht einher mit dem Wunsch, das Risiko zu kontrollieren. Zuviel davon verlangsamt aber bestehende Prozesse und beeinträchtigt das organisatorische/betriebliche Gefüge. Unternehmen müssen also ausbalancieren zwischen dem Wunsch, Informationen zugänglich zu machen, und dem Bedürfnis, sensible Informationen vor unbefugten und missbräuchlichen Zugriffen zu schützen. Das heißt einerseits effiziente Methoden zu finden, um existierende und bislang unbekannte Bedrohungen abzuwehren. Andererseits gilt es, die zahlreichen teils komplexen Sicherheitsalarme zu reduzieren und nicht vor lauter Bäumen den Wald zu übersehen.

Eine Möglichkeit, mit schlanken Ressourcen effektiv zu agieren, bietet die künstliche Intelligenz (Bild). Maschinelles Lernen und künstliche Intelligenz werden inzwischen in etlichen Bereichen eingesetzt, vielfach ohne dass wir uns dessen bewusst sind. Inzwischen auch in der IT-Sicherheit. Gerade dort aber hat der inflationäre Gebrauch der beiden Termini teilweise mehr Verwirrung gestiftet als zur Erhellung beigetragen. Inzwischen gibt es Technologien, die genuin auf maschinellem Lernen und künstlicher Intelligenz basieren, um Angriffe und Malware-Attacken möglichst vorausschauend zu verhindern. Dazu dient die statistische Analyse von identischen Blöcken oder Dateien im Code einer Schadsoftware. Die Software wertet Beobachtungen aus, erkennt wiederkehrende beziehungsweise übereinstimmende Muster und erlaubt auf dieser Basis eine vorausschauende Analyse. Hier dienen mathematische Modelle als Grundlage, anders als bei der überwiegenden Zahl traditioneller Antiviren- oder Anti-Malware-Lösungen, die sich meistenteils auf Signaturen oder Heuristik verlassen.

Etliche Hersteller reklamieren maschinelles Lernen für sich und ihre Lösungen. Praktisch aber brauchen alle für ihre Analysen den berühmten »Patient Zero«. Erst auf Basis dieses ersten Falls erfolgt die Analyse. Unternehmen wie das in Kalifornien beheimatete Cylance gehen anders vor. Bereits vor zwei Jahren wurde ein Modell maschinellen Lernens als Grundlage seiner Software-Entwicklung benutzt und dieses jetzt erfolgreich gegen einen aktuellen Zero-Day-Exploit aus dem Jahr 2016 getestet. Die Technik kann bei Bedrohungen funktionieren, die es bei ihrer Entwicklung noch nicht gegeben hat.

Literatur

[1] Verizon Data Breach Report, 2016

[2] 2016 Cost of Data Breach Study: Global Analysis, Ponemon Institute, Mai 2016

Über den Autor:

Rob Bathurst ist Managing Director Healtcare and Life Sciences bei Cylance