Fachartikel

Gesundheitswesen im Visier von Cyberangreifern

Egal ob in großen Kliniken oder kleinen Praxen: Medizinische Geräte entwickeln sich zu smarten Hightech-Produkten. Um maximalen Nutzen aus ihnen zu ziehen, werden sie miteinander vernetzt und häufig ans bestehende Netzwerk angeschlossen. Teil des Netzwerks sind meist aber auch Rechner mit Patientendaten und allerlei anderen Anwendungen. Es liegt auf der Hand, das Cybersicherheit hier extrem sensibel und komplex ist. Der Beitrag nimmt die Branche und den Status Quo in Sachen IT-Sicherheit unter die Lupe.
Der Mix aus verschiedensten Technologien macht Krankenhaus-IT besonders anfällig für Angriffe.
Das Gesundheitswesen ist seit längerem schon im Visier von Cyberangreifern. Diese haben es auf vertrauliche Daten abgesehen, sie wollen Lösegeld erpressen mittels Ransomware oder es geht ihnen darum, kritische Infrastruktur zu schädigen. Allzu oft haben versierte Hacker dabei leichtes Spiel. Hierzu tragen verschiedene Rahmenbedingungen und Entwicklungen im Gesundheitswesen bei.

Neben möglichen Gefahren von außen ist der Klinikbetrieb gefährdet durch die Fahrlässigkeit und unbeabsichtigtes Fehlverhalten der Mitarbeiter. Ebenso nicht zu vernachlässigen ist die Bedrohung durch Insider, die vorsätzlich Sicherheitslücken ausnutzen und Zugangsprivilegien missbrauchen, um sich zu sensiblen Bereichen Zugang zu verschaffen oder klinische Prozesse zu stören. Erleichtert wird dies Innentätern oft durch eine unzureichende Umsetzung von Sicherheitsrichtlinien. Ein Problem sind mangelhaft partitionierte Netzwerke und unzureichende Zugangskontrollen. Generell fehlt es den Sicherheitsverantwortlichen an Transparenz und Kontrolle, was im Netzwerk gerade geschieht.

Anfälliger Technologiemix aus Neu und Alt
Zunehmende Vernetzung, der Einzug des Internets der Dinge und damit die Verbreitung von smarten medizinischen Geräten im Gesundheitswesen ist einer der aktuellen Trends. Medizinische Geräte oder Maschinen werden oft ohne Sicherheitsüberprüfung mit dem Netzwerk verbunden, und ohne dass die IT-Abteilung informiert wird.

Kliniken installieren technische Neuerungen, um die Qualität der Behandlungen zu verbessern – die damit verbundenen Sicherheitsrisiken werden häufig übersehen. Alles, was jedoch einmal mit dem Internet verbunden ist, gilt als potenziell gefährdet. Vernetzte medizinische Geräte, von WLAN-fähigen Infusionspumpen bis hin zu intelligenten MRT-Systemen, erhöhen die Angriffsfläche als Teil einer Vielzahl von Geräten, die Informationen austauschen. Die Nutzung der Cloud nimmt ebenfalls zu, da dies mehr Flexibilität, Skalierbarkeit und Kosteneffizienz verspricht. Ärzte arbeiten manchmal für mehrere Krankenhäuser. Dadurch kann es sein, dass sie auf interne IT-Systeme über unsichere externe Netzwerke zugreifen.

Einerseits findet Modernisierung statt, andererseits sind Altsysteme mit nicht mehr aktuellen Betriebssystemen im Einsatz. Selbst wenn es sich um neuere Systeme handelt, wird das Patchen mitunter hintenangestellt, da die Infrastruktur durchgehend verfügbar sein muss. Ärzte und Pflegekräfte benötigen Zugang zu elektronischen Patientenakten, medizinischen Bildern und anderen sensiblen Daten. Größere Kliniken dienen auch als Lehranstalten und Forschungseinrichtungen. Dadurch erhalten auch Medizinstudenten und Forscher oft unkontrollierten Zugang zu sensiblen Daten. Alle diese Faktoren tragen dazu bei, dass in Klinikumgebungen eine große Angriffsfläche mit vielen anfälligen Komponenten entsteht – und durch die voranschreitende Vernetzung weiterwächst.
Analyse der Cyberbedrohungen im Gesundheitswesen
Klinikbetreiber erachten die Bedrohungslage eher als abstrakt. In den letzten Jahren häufen sich jedoch kritischere Vorfälle, über die in den Medien berichtet wird. Vectra, spezialisiert auf die Erkennung und Reaktion auf Cyberbedrohungen, verdeutlicht in seinem jüngsten Branchenreport für das Gesundheitswesen die reale Bedrohungslage. Basierend auf Daten aus dem zweiten Halbjahr 2018, die Kunden für die Studie zur Verfügung gestellt haben, ergibt sich ein Einblick in verschiedene Bedrohungsszenarien und entsprechende Verhaltensweisen der Angreifer:

  • IT-Netzwerke im Gesundheitswesen sind durch veraltete Überwachungsmaßnahmen und unsichere Protokollen wie FTP gekennzeichnet. Zudem sind fernverwaltete PCs weit verbreitet und immer mehr medizinische Geräte mit Internetanbindung im Einsatz. Diese Konstellation aus hochgradiger Vernetzung und unzureichender Sicherheit erleichtert es den Angreifern, sich ungehindert seitlich im Netzwerk zu bewegen, um ihre bösartigen Vorhaben auszuführen. Internetangebundene Geräte senden häufig ähnliche Datenmengen an mehrere interne Ziele. Angreifer machen sich dies zunutze, um ihre eigenen Aktivitäten zu verbergen.
  • Die sogenannte "Command-and-Control"-Kommunikation zwischen dem Angriffsserver und dem fremden Netzwerk ist ein typisches Verhalten, durch das sich die Cyberangreifer bemerkbar machen könnten. Hacker richten daher versteckte HTTPS-Tunnel ein, damit der darüber laufende Datenverkehr wie regulärer verschlüsselter Webverkehr aussieht.
  • Die Auskundschaftung von Netzwerken im Gesundheitswesen nimmt zu. Dies bedeutet, dass sich Angreifer im Netzwerk vorarbeiten und auskundschaften, wo es etwas Wertvolles zu holen gibt. Sie machen sich hierbei unter anderem Protokolle zunutze, die im Klinikbetrieb für die Dateifreigabe verwendet werden.
  • Cyberangreifer versuchen immer wieder, Daten aus Kliniknetzwerken zu schleusen. Diese als Datenexfiltration bezeichnete Aktivität erfolgt häufig über versteckte DNS-Tunnel. Ein ähnliches Verhalten kann jedoch auch durch IT- und Sicherheits-Tools verursacht werden, die DNS-Kommunikation verwenden. Auch hier besteht die Herausforderung, bösartige Aktivitäten von regulärem Netzwerkverkehr zu unterscheiden.
  • Die Betreiber von Botnets haben meistens nicht bestimmte Branchen im Visier. Die Angreifer übernehmen hierbei die Kontrolle über fremde Rechner oder IoT-Geräte, um Rechenleistung abzuschöpfen, die sie für die Verbreitung von Malware oder für das "Schürfen" von Kryptowährungen benötigen. Während Botnet-Angriffe branchenübergreifend fortbestehen, war ihre Häufigkeit im Gesundheitswesen zuletzt moderat.
  • Ransomware-Angriffe waren im aktuellen Untersuchungszeitraum nicht so häufig, werden dennoch weiterhin ein Problem im Gesundheitswesen bleiben. Die Herausforderung liegt darin, einen Ransomware-Angriff frühzeitig zu erkennen, bevor Dateien oder der Zugang zum Netzwerk durch Hacker verschlüsselt werden und der klinische Betrieb beeinträchtigt wird.
Die Kombination aus verschiedenen Verhaltensweisen während des gesamten Angriffslebenszyklus und dem Kontext bestimmter Bedrohungsszenarien liefert wertvolle Hinweise auf einen Cyberangriff. Daraus lassen sich Motive wie finanzieller Gewinn, Datenklau und Datenvernichtung ableiten. Erkanntes Verhalten kann aber in einer bestimmten Umgebung auch legitim und normal sein . Sicherheitsanalysten müssen daher erkennen, was erlaubt ist und was nicht erlaubt ist, um zu entscheiden, welche Vorfälle sie näher untersuchen sollten. KI-basierte Bedrohungsanalyse unterstützt die Fachkräfte heute bei diesen Aufgaben. Eine entsprechend ausgestattete Sicherheitsplattform ermöglicht die automatisierte Erkennung und Priorisierung von Cyberangriffen im Netzwerk und beschleunigt die Reaktion auf Vorfälle.
4.09.2019/ln/Andreas Müller, Sales Director DACH bei Vectra

Nachrichten

Cloud: Viel genutzt, wenig gesichert [11.09.2019]

Unternehmen haben mit der rasanten Expansion der Cloud zu kämpfen. Dies geht aus dem neuen Cloud Security Threat Report (CSTR) von Symantec hervor. Dabei geben 53 Prozent der Organisationen in Deutschland an, dass ihre Cloudsicherheit nicht ausgereift genug ist, um mit der rasanten Expansion von Cloudanwendungen Schritt zu halten. [mehr]

Erfolgreiche Betrugsmasche: Deepfakes [6.09.2019]

Bereits seit Längerem sind Foto- und Video-Deepfakes im Umlauf, die von echtem Bildmaterial kaum mehr zu unterscheiden sind. Jetzt hat erstmals in größerem Ausmaß ein Voice-Deepfake zugeschlagen. Mit einer KI-basierten Software und der Imitation der Stimme eines CEO ist es Angreifern gelungen, in den Besitz von 243.000 US-Dollar zu gelangen. [mehr]

Ungleicher Kampf [6.09.2019]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen