Health-IT
Stärkung des digitalen Immunsystems
So gelingt der Vorsorge-Check für die Healthcare-IT
Im Sommer 2021 wechselte zuletzt das Klinikum Wolfenbüttel auf Notbetrieb mit Stift und Papier, als ein Cyberangriff über Nacht weite Teile des IT-Systems des Krankenhauses lahmlegte. Kriminellen Angreifern war es gelungen, mehrere Server mit Schadsoftware zu infizieren. Nur gegen Zahlung eines Lösegelds wollten die Hacker die verschlüsselten Dateien wieder freischalten. Die Klinikleitung wollte darauf allerdings nicht eingehen und setzte die betroffenen IT-Systeme über eine Datensicherung in den darauffolgenden Tagen stattdessen wieder neu auf.
Andere Klinken zahlen dagegen notgedrungen selbst hohe Forderungen der Erpresser — nicht zuletzt mit Blick auf die Folgen für ihre Patienten bei längeren IT-Ausfallzeiten. Sicherheitsexperten verzeichnen einen massiven Anstieg an Attacken mit Schadprogrammen auf Geschäftsumgebungen, wie der gerade veröffentlichte Malware Threat Report 2021 von BeyondTrust zeigt. Seit Monaten dominieren demnach die Schadprogramme Emotet und Trickbot sowie die im Anschluss auf infizierten Systemen ausgerollte Ransomware Ryuk die Bedrohungslandschaft.
Schadprogramme als Dienstleistung
Ein gefährlicher Trend sind dabei Angriffswerkzeuge, die als Malware-as-a-Service (MaaS) eingesetzt werden. Waren früher noch ausgewiesene Spezialisten für die Aushebelung von IT-Sicherheitstechnologien erforderlich, können heute unterschiedliche Malware-Bestandteile in einer einzigen Kampagne zusammengefasst werden. Im Ergebnis lässt sich so eine Ransomware-Attacke von mehreren Bedrohungsakteuren, IT-Werkzeugen und Plattformen ausführen, die nicht nur einzelne Server, sondern eine ganze Klinikumgebung als Ziel angreifen können.
Gerade in Pandemiezeiten verspricht das »Hackergeschäft« hohe Einnahmen. In Krisenzeiten stehen alle Abteilungen unter extremem Dauerstress — entsprechend schnell steigt dann auch die Fehlerquote im IT-Umfeld. Zur Aufrechterhaltung der Patientenversorgung kann es in der Folge zu Situationen kommen, in denen die Zahlung von Lösegeldern an Cyber-Erpresser unvermeidbar wird. Das Erpressungspotential ist also riesig und IT-Angreifer machen sich die Notlage zunutze, indem sie ganz gezielt Produktionsprozesse oder Lieferketten stören. So sind beispielsweise wiederholte Cyberangriffe auf die Verteilung der Covid-19-Impfstoffe bekannt geworden – mutmaßlich durch staatliche Akteure.
Maßnahmen für eine verbesserte Cyber-Gesundheit
Hacker nutzen identifizierte Sicherheitslücken aus, um IT-Netzwerke zu kompromittieren. Die folgenden Maßnahmen unterstützen Gesundheitsorganisationen bei der Absicherung ihrer IT-Umgebung und beim Schutz häufiger Angriffspunkte:
3-2-1-Backup-Strategie. Regelmäßige Datensicherungen sind vorbeugende
Maßnahmen für die (Cyber)-Gesundheitsvorsorge — beispielsweise für den Fall, dass Angreifern tatsächlich die Verschlüsselung von IT-Systemen gelingt. Ein robustes Backup-Programm reduziert die Ausfallzeit und kann womöglich die Zahlung von Lösegeld überflüssig machen.
Einfache Backups reichen als Vorsichtsmaßnahme indes nicht aus. Experten empfehlen daher die konsequente Implementierung des 3-2-1-Prinzips. Drei Datenkopien, zwei verschiedene Medien wie beispielsweise NAS-System (Network Attached Storage) plus Cloud-Speicher, und ein externes Offline-Backup, das auch bei einem Ransomware-Befall der Backup-Systeme noch zur Verfügung steht.
Segmentierung und Aktualisierung
Grundsätzlich gilt immer die Sicherheitsregel, dass alle Systeme stets auf dem aktuellsten Stand bleiben und Sicherheitspatches schnellstmöglich ausgerollt werden sollten. Allerdings können medizinische Spezialgeräte nicht immer gepatcht werden. Mitunter veröffentlichen Hersteller wichtige Patches nicht schnell genug.
Und manchmal ist die medizinische Anwendung, die auf dem Gerät ausgeführt wird, nur für eine ältere Betriebssystemversion zertifiziert. Deshalb ist die Segmentierung eines Netzwerks in unterschiedliche Sicherheitszonen eine entscheidende Vorsichtsmaßnahme zur Eindämmung von Angriffen.
Diese Unterteilung nach IT-Security-Gesichtspunkten kann sowohl durch die räumliche Trennung von IT-Komponenten als auch durch ein softwarebasiertes Management über SDN-Lösungen (Software-Defined Networking) erfolgen.
Entfernung von Adminrechten
Die Durchsetzung des Least-Privilege-Prinzips in der gesamten IT-Umgebung zählt zu den wirksamsten Maßnahmen gegen bekannte und unbekannte Bedrohungen. Zugriffsrechte werden dabei nur nach dem Minimal-Prinzip vergeben. Anstatt alle Anwender mit Administratorrechten — also »Alles-oder-nichts«-Berechtigungen — auszustatten, deren unbedachte Verwendung das Schadenspotential exponentiell steigert, steuern IT-Verantwortliche vielmehr bedarfsgerecht, wer wann auf welche Ressourcen zugreifen darf. Auf diese Weise erhält jeder Mitarbeiter genau die Zugriffsrechte, die zur Erledigung der eigenen Aufgaben benötigt werden.
Schutz der Anmeldedaten
Der Missbrauch gestohlener Anmeldeinformationen für kriminelle Zwecke ist Bestandteil fast aller Cyberangriffe – da bildet Ransomware keine Ausnahme. Mit gestohlenen Passwörtern können Eindringlinge gefährliche Angriffswege in Unternehmensnetze einschlagen und sensible Computersysteme kompromittieren.
Hier sollte eine solide Abwehrstrategie ansetzen, denn durch die effektive Kontrolle der Rechte und Zugangsdaten mittels Privileged Access Management (PAM) lässt sich Schaden vom Unternehmen abwenden. PAM-Lösungen stellen sicher, dass Zugangsdaten gemäß einer starken Passwortrichtlinie regelmäßig ausgetauscht und Zugriffe auf kritische Zielsysteme nur autorisierten Nutzern ermöglicht werden. Durch kontext- und anlassbezogene Ereignisse können Administratoren passende Privilegien zeitgesteuert zuteilen, anstatt dauerhafte Zugangsprivilegien gewähren zu müssen.
Zero-Trust-Sicherheitsmodell
Zero Trust verbessert die Sicherheit, indem nur geschützte und authentifizierte Ressourcenzugriffe zugelassen werden. Bei einer umfassenden Umsetzung von Zero-Trust-Sicherheitsvorgaben werden Aktivitäten nicht automatisch zugelassen, sondern vom Grundsatz her erst einmal unterbunden. Zugriffe auf IT-Systeme sind nur möglich, wenn die Authentifizierung der richtigen Identität bestätigt ist. Auf diese Weise lassen sich Nutzerzugriffe auf diejenigen IT-Ressourcen beschränken, die auch tatsächlich zur Erfüllung der Aufgaben erforderlich sind.
Benötigen privilegierte Nutzer sicheren Zugriff auf Remote-Systeme, bieten Zero-Trust-Strategien einen besseren Schutz, weil sie jeden Schritt nach Sicherheitskriterien überprüfen, Sitzungen überwachen und im Anschluss die protokollierten Daten zur Auswertung bereitstellen.
Fazit & Ausblick
Vorsicht bei fehlendem Schutz der IT-Architektur sowie Management von Identitäten und Zugangsdaten in IT-Umgebungen! Die IT-Verantwortlichen einer Organisation müssen sich stets der Cyberbedrohungen bewusst sein, die einen produktiven Geschäftsbetrieb torpedieren.
Aktuell verfügen IT-Angreifer über deutlich mehr Angriffspunkte als noch vor der Corona-Pandemie. Neben Phishing-Nachrichten setzen sie bevorzugt auf Social-Engineering-Angriffe und Drive-by-Downloads. Besonders brisant sind solche Attacken in Arbeitsumgebungen mit vielen Remote-Zugriffsmöglichkeiten, aber auch zu weit gefasste Nutzerrechte und der Einsatz von Softwareprogrammen mit bekannten Schwachstellen können fatale Konsequenzen haben.
Mit den skizzierten Maßnahmen betreiben medizinische Kliniken eine effektive IT-Gesundheitsvorsorge zur Abwehr von häufigen Angriffsversuchen. Mit Blick auf die Absicherung digitaler Gesundheitsplattformen und die komplexen Herausforderungen beim sicheren Betrieb großer Lieferketten handelt es sich indes um eine permanente Aufgabe.
Hier treten neben den genannten Sicherheitsvorkehrungen insbesondere datenschutzrechtliche Aspekte noch stärker in den Vordergrund. Gesundheitseinrichtungen müssen ihr digitales Immunsystem dauerhaft stärken — von der Datensicherung und den netzwerkbasierten Segmentierungsmaßnahmen bis zur Durchsetzung höchster Sicherheitsstandards beim Umgang mit Personendaten und medizinischen Informationen.
Link
(me)
Lesen Sie mehr zum Thema
