Fachartikel

Gesundheitswesen im Visier von Cyberangreifern

Egal ob in großen Kliniken oder kleinen Praxen: Medizinische Geräte entwickeln sich zu smarten Hightech-Produkten. Um maximalen Nutzen aus ihnen zu ziehen, werden sie miteinander vernetzt und häufig ans bestehende Netzwerk angeschlossen. Teil des Netzwerks sind meist aber auch Rechner mit Patientendaten und allerlei anderen Anwendungen. Es liegt auf der Hand, das Cybersicherheit hier extrem sensibel und komplex ist. Der Beitrag nimmt die Branche und den Status Quo in Sachen IT-Sicherheit unter die Lupe.
Der Mix aus verschiedensten Technologien macht Krankenhaus-IT besonders anfällig für Angriffe.
Das Gesundheitswesen ist seit längerem schon im Visier von Cyberangreifern. Diese haben es auf vertrauliche Daten abgesehen, sie wollen Lösegeld erpressen mittels Ransomware oder es geht ihnen darum, kritische Infrastruktur zu schädigen. Allzu oft haben versierte Hacker dabei leichtes Spiel. Hierzu tragen verschiedene Rahmenbedingungen und Entwicklungen im Gesundheitswesen bei.

Neben möglichen Gefahren von außen ist der Klinikbetrieb gefährdet durch die Fahrlässigkeit und unbeabsichtigtes Fehlverhalten der Mitarbeiter. Ebenso nicht zu vernachlässigen ist die Bedrohung durch Insider, die vorsätzlich Sicherheitslücken ausnutzen und Zugangsprivilegien missbrauchen, um sich zu sensiblen Bereichen Zugang zu verschaffen oder klinische Prozesse zu stören. Erleichtert wird dies Innentätern oft durch eine unzureichende Umsetzung von Sicherheitsrichtlinien. Ein Problem sind mangelhaft partitionierte Netzwerke und unzureichende Zugangskontrollen. Generell fehlt es den Sicherheitsverantwortlichen an Transparenz und Kontrolle, was im Netzwerk gerade geschieht.

Anfälliger Technologiemix aus Neu und Alt
Zunehmende Vernetzung, der Einzug des Internets der Dinge und damit die Verbreitung von smarten medizinischen Geräten im Gesundheitswesen ist einer der aktuellen Trends. Medizinische Geräte oder Maschinen werden oft ohne Sicherheitsüberprüfung mit dem Netzwerk verbunden, und ohne dass die IT-Abteilung informiert wird.

Kliniken installieren technische Neuerungen, um die Qualität der Behandlungen zu verbessern – die damit verbundenen Sicherheitsrisiken werden häufig übersehen. Alles, was jedoch einmal mit dem Internet verbunden ist, gilt als potenziell gefährdet. Vernetzte medizinische Geräte, von WLAN-fähigen Infusionspumpen bis hin zu intelligenten MRT-Systemen, erhöhen die Angriffsfläche als Teil einer Vielzahl von Geräten, die Informationen austauschen. Die Nutzung der Cloud nimmt ebenfalls zu, da dies mehr Flexibilität, Skalierbarkeit und Kosteneffizienz verspricht. Ärzte arbeiten manchmal für mehrere Krankenhäuser. Dadurch kann es sein, dass sie auf interne IT-Systeme über unsichere externe Netzwerke zugreifen.

Einerseits findet Modernisierung statt, andererseits sind Altsysteme mit nicht mehr aktuellen Betriebssystemen im Einsatz. Selbst wenn es sich um neuere Systeme handelt, wird das Patchen mitunter hintenangestellt, da die Infrastruktur durchgehend verfügbar sein muss. Ärzte und Pflegekräfte benötigen Zugang zu elektronischen Patientenakten, medizinischen Bildern und anderen sensiblen Daten. Größere Kliniken dienen auch als Lehranstalten und Forschungseinrichtungen. Dadurch erhalten auch Medizinstudenten und Forscher oft unkontrollierten Zugang zu sensiblen Daten. Alle diese Faktoren tragen dazu bei, dass in Klinikumgebungen eine große Angriffsfläche mit vielen anfälligen Komponenten entsteht – und durch die voranschreitende Vernetzung weiterwächst.
Analyse der Cyberbedrohungen im Gesundheitswesen
Klinikbetreiber erachten die Bedrohungslage eher als abstrakt. In den letzten Jahren häufen sich jedoch kritischere Vorfälle, über die in den Medien berichtet wird. Vectra, spezialisiert auf die Erkennung und Reaktion auf Cyberbedrohungen, verdeutlicht in seinem jüngsten Branchenreport für das Gesundheitswesen die reale Bedrohungslage. Basierend auf Daten aus dem zweiten Halbjahr 2018, die Kunden für die Studie zur Verfügung gestellt haben, ergibt sich ein Einblick in verschiedene Bedrohungsszenarien und entsprechende Verhaltensweisen der Angreifer:

  • IT-Netzwerke im Gesundheitswesen sind durch veraltete Überwachungsmaßnahmen und unsichere Protokollen wie FTP gekennzeichnet. Zudem sind fernverwaltete PCs weit verbreitet und immer mehr medizinische Geräte mit Internetanbindung im Einsatz. Diese Konstellation aus hochgradiger Vernetzung und unzureichender Sicherheit erleichtert es den Angreifern, sich ungehindert seitlich im Netzwerk zu bewegen, um ihre bösartigen Vorhaben auszuführen. Internetangebundene Geräte senden häufig ähnliche Datenmengen an mehrere interne Ziele. Angreifer machen sich dies zunutze, um ihre eigenen Aktivitäten zu verbergen.
  • Die sogenannte "Command-and-Control"-Kommunikation zwischen dem Angriffsserver und dem fremden Netzwerk ist ein typisches Verhalten, durch das sich die Cyberangreifer bemerkbar machen könnten. Hacker richten daher versteckte HTTPS-Tunnel ein, damit der darüber laufende Datenverkehr wie regulärer verschlüsselter Webverkehr aussieht.
  • Die Auskundschaftung von Netzwerken im Gesundheitswesen nimmt zu. Dies bedeutet, dass sich Angreifer im Netzwerk vorarbeiten und auskundschaften, wo es etwas Wertvolles zu holen gibt. Sie machen sich hierbei unter anderem Protokolle zunutze, die im Klinikbetrieb für die Dateifreigabe verwendet werden.
  • Cyberangreifer versuchen immer wieder, Daten aus Kliniknetzwerken zu schleusen. Diese als Datenexfiltration bezeichnete Aktivität erfolgt häufig über versteckte DNS-Tunnel. Ein ähnliches Verhalten kann jedoch auch durch IT- und Sicherheits-Tools verursacht werden, die DNS-Kommunikation verwenden. Auch hier besteht die Herausforderung, bösartige Aktivitäten von regulärem Netzwerkverkehr zu unterscheiden.
  • Die Betreiber von Botnets haben meistens nicht bestimmte Branchen im Visier. Die Angreifer übernehmen hierbei die Kontrolle über fremde Rechner oder IoT-Geräte, um Rechenleistung abzuschöpfen, die sie für die Verbreitung von Malware oder für das "Schürfen" von Kryptowährungen benötigen. Während Botnet-Angriffe branchenübergreifend fortbestehen, war ihre Häufigkeit im Gesundheitswesen zuletzt moderat.
  • Ransomware-Angriffe waren im aktuellen Untersuchungszeitraum nicht so häufig, werden dennoch weiterhin ein Problem im Gesundheitswesen bleiben. Die Herausforderung liegt darin, einen Ransomware-Angriff frühzeitig zu erkennen, bevor Dateien oder der Zugang zum Netzwerk durch Hacker verschlüsselt werden und der klinische Betrieb beeinträchtigt wird.
Die Kombination aus verschiedenen Verhaltensweisen während des gesamten Angriffslebenszyklus und dem Kontext bestimmter Bedrohungsszenarien liefert wertvolle Hinweise auf einen Cyberangriff. Daraus lassen sich Motive wie finanzieller Gewinn, Datenklau und Datenvernichtung ableiten. Erkanntes Verhalten kann aber in einer bestimmten Umgebung auch legitim und normal sein . Sicherheitsanalysten müssen daher erkennen, was erlaubt ist und was nicht erlaubt ist, um zu entscheiden, welche Vorfälle sie näher untersuchen sollten. KI-basierte Bedrohungsanalyse unterstützt die Fachkräfte heute bei diesen Aufgaben. Eine entsprechend ausgestattete Sicherheitsplattform ermöglicht die automatisierte Erkennung und Priorisierung von Cyberangriffen im Netzwerk und beschleunigt die Reaktion auf Vorfälle.
4.09.2019/ln/Andreas Müller, Sales Director DACH bei Vectra

Nachrichten

Festplattenverschlüsselung auch ohne TPM [13.11.2019]

ESET hat sein Portfolio an Verschlüsselungslösungen für Unternehmen erweitert. Die neue "ESET Full Disk Encryption" codiert komplette Festplatten von Windows-Clients und -Notebooks auch ohne TPM-Chip. Administratoren können die Verschlüsselung in den Managementkonsolen des Herstellers aktivieren und anschließend dort überwachen. [mehr]

Deutliche Zunahme von DDoS-Angriffen [11.11.2019]

Im dritten Quartal 2019 stieg die Anzahl der DDoS-Angriffe gegenüber dem Vorquartal um 30 Prozent an. Zu diesem Schluss kommt eine Untersuchung von Kaspersky Lab. 53 Prozent der Attacken fanden demnach im September statt. Darüber hinaus gab es einen Anstieg einfacherer DDoS-Angriffe, die vor allem akademische Webseiten im Visier hatten. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen