von Redaktion IT-A…
Lesezeit
3 Minuten
Gesundheitswesen im Visier von Cyberangreifern
Egal ob in großen Kliniken oder kleinen Praxen: Medizinische Geräte entwickeln sich zu smarten Hightech-Produkten. Um maximalen Nutzen aus ihnen zu ziehen, werden sie miteinander vernetzt und häufig ans bestehende Netzwerk angeschlossen. Teil des Netzwerks sind meist aber auch Rechner mit Patientendaten und allerlei anderen Anwendungen. Es liegt auf der Hand, das Cybersicherheit hier extrem sensibel und komplex ist. Der Beitrag nimmt die Branche und den Status Quo in Sachen IT-Sicherheit unter die Lupe.
Das Gesundheitswesen ist seit längerem schon im Visier von Cyberangreifern. Diese haben es auf vertrauliche Daten abgesehen, sie wollen Lösegeld erpressen mittels Ransomware oder es geht ihnen darum, kritische Infrastruktur zu schädigen. Allzu oft haben versierte Hacker dabei leichtes Spiel. Hierzu tragen verschiedene Rahmenbedingungen und Entwicklungen im Gesundheitswesen bei.
Neben möglichen Gefahren von außen ist der Klinikbetrieb gefährdet durch die Fahrlässigkeit und unbeabsichtigtes Fehlverhalten der Mitarbeiter. Ebenso nicht zu vernachlässigen ist die Bedrohung durch Insider, die vorsätzlich Sicherheitslücken ausnutzen und Zugangsprivilegien missbrauchen, um sich zu sensiblen Bereichen Zugang zu verschaffen oder klinische Prozesse zu stören. Erleichtert wird dies Innentätern oft durch eine unzureichende Umsetzung von Sicherheitsrichtlinien. Ein Problem sind mangelhaft partitionierte Netzwerke und unzureichende Zugangskontrollen. Generell fehlt es den Sicherheitsverantwortlichen an Transparenz und Kontrolle, was im Netzwerk gerade geschieht.
Anfälliger Technologiemix aus Neu und Alt
Zunehmende Vernetzung, der Einzug des Internets der Dinge und damit die Verbreitung von smarten medizinischen Geräten im Gesundheitswesen ist einer der aktuellen Trends. Medizinische Geräte oder Maschinen werden oft ohne Sicherheitsüberprüfung mit dem Netzwerk verbunden, und ohne dass die IT-Abteilung informiert wird.
Kliniken installieren technische Neuerungen, um die Qualität der Behandlungen zu verbessern – die damit verbundenen Sicherheitsrisiken werden häufig übersehen. Alles, was jedoch einmal mit dem Internet verbunden ist, gilt als potenziell gefährdet. Vernetzte medizinische Geräte, von WLAN-fähigen Infusionspumpen bis hin zu intelligenten MRT-Systemen, erhöhen die Angriffsfläche als Teil einer Vielzahl von Geräten, die Informationen austauschen. Die Nutzung der Cloud nimmt ebenfalls zu, da dies mehr Flexibilität, Skalierbarkeit und Kosteneffizienz verspricht. Ärzte arbeiten manchmal für mehrere Krankenhäuser. Dadurch kann es sein, dass sie auf interne IT-Systeme über unsichere externe Netzwerke zugreifen.
Einerseits findet Modernisierung statt, andererseits sind Altsysteme mit nicht mehr aktuellen Betriebssystemen im Einsatz. Selbst wenn es sich um neuere Systeme handelt, wird das Patchen mitunter hintenangestellt, da die Infrastruktur durchgehend verfügbar sein muss. Ärzte und Pflegekräfte benötigen Zugang zu elektronischen Patientenakten, medizinischen Bildern und anderen sensiblen Daten. Größere Kliniken dienen auch als Lehranstalten und Forschungseinrichtungen. Dadurch erhalten auch Medizinstudenten und Forscher oft unkontrollierten Zugang zu sensiblen Daten. Alle diese Faktoren tragen dazu bei, dass in Klinikumgebungen eine große Angriffsfläche mit vielen anfälligen Komponenten entsteht – und durch die voranschreitende Vernetzung weiterwächst.
Analyse der Cyberbedrohungen im Gesundheitswesen
Klinikbetreiber erachten die Bedrohungslage eher als abstrakt. In den letzten Jahren häufen sich jedoch kritischere Vorfälle, über die in den Medien berichtet wird. Vectra, spezialisiert auf die Erkennung und Reaktion auf Cyberbedrohungen, verdeutlicht in seinem jüngsten Branchenreport für das Gesundheitswesen die reale Bedrohungslage. Basierend auf Daten aus dem zweiten Halbjahr 2018, die Kunden für die Studie zur Verfügung gestellt haben, ergibt sich ein Einblick in verschiedene Bedrohungsszenarien und entsprechende Verhaltensweisen der Angreifer:
ln/Andreas Müller, Sales Director DACH bei Vectra
Neben möglichen Gefahren von außen ist der Klinikbetrieb gefährdet durch die Fahrlässigkeit und unbeabsichtigtes Fehlverhalten der Mitarbeiter. Ebenso nicht zu vernachlässigen ist die Bedrohung durch Insider, die vorsätzlich Sicherheitslücken ausnutzen und Zugangsprivilegien missbrauchen, um sich zu sensiblen Bereichen Zugang zu verschaffen oder klinische Prozesse zu stören. Erleichtert wird dies Innentätern oft durch eine unzureichende Umsetzung von Sicherheitsrichtlinien. Ein Problem sind mangelhaft partitionierte Netzwerke und unzureichende Zugangskontrollen. Generell fehlt es den Sicherheitsverantwortlichen an Transparenz und Kontrolle, was im Netzwerk gerade geschieht.
Anfälliger Technologiemix aus Neu und Alt
Zunehmende Vernetzung, der Einzug des Internets der Dinge und damit die Verbreitung von smarten medizinischen Geräten im Gesundheitswesen ist einer der aktuellen Trends. Medizinische Geräte oder Maschinen werden oft ohne Sicherheitsüberprüfung mit dem Netzwerk verbunden, und ohne dass die IT-Abteilung informiert wird.
Kliniken installieren technische Neuerungen, um die Qualität der Behandlungen zu verbessern – die damit verbundenen Sicherheitsrisiken werden häufig übersehen. Alles, was jedoch einmal mit dem Internet verbunden ist, gilt als potenziell gefährdet. Vernetzte medizinische Geräte, von WLAN-fähigen Infusionspumpen bis hin zu intelligenten MRT-Systemen, erhöhen die Angriffsfläche als Teil einer Vielzahl von Geräten, die Informationen austauschen. Die Nutzung der Cloud nimmt ebenfalls zu, da dies mehr Flexibilität, Skalierbarkeit und Kosteneffizienz verspricht. Ärzte arbeiten manchmal für mehrere Krankenhäuser. Dadurch kann es sein, dass sie auf interne IT-Systeme über unsichere externe Netzwerke zugreifen.
Einerseits findet Modernisierung statt, andererseits sind Altsysteme mit nicht mehr aktuellen Betriebssystemen im Einsatz. Selbst wenn es sich um neuere Systeme handelt, wird das Patchen mitunter hintenangestellt, da die Infrastruktur durchgehend verfügbar sein muss. Ärzte und Pflegekräfte benötigen Zugang zu elektronischen Patientenakten, medizinischen Bildern und anderen sensiblen Daten. Größere Kliniken dienen auch als Lehranstalten und Forschungseinrichtungen. Dadurch erhalten auch Medizinstudenten und Forscher oft unkontrollierten Zugang zu sensiblen Daten. Alle diese Faktoren tragen dazu bei, dass in Klinikumgebungen eine große Angriffsfläche mit vielen anfälligen Komponenten entsteht – und durch die voranschreitende Vernetzung weiterwächst.
Analyse der Cyberbedrohungen im Gesundheitswesen
Klinikbetreiber erachten die Bedrohungslage eher als abstrakt. In den letzten Jahren häufen sich jedoch kritischere Vorfälle, über die in den Medien berichtet wird. Vectra, spezialisiert auf die Erkennung und Reaktion auf Cyberbedrohungen, verdeutlicht in seinem jüngsten Branchenreport für das Gesundheitswesen die reale Bedrohungslage. Basierend auf Daten aus dem zweiten Halbjahr 2018, die Kunden für die Studie zur Verfügung gestellt haben, ergibt sich ein Einblick in verschiedene Bedrohungsszenarien und entsprechende Verhaltensweisen der Angreifer:
- IT-Netzwerke im Gesundheitswesen sind durch veraltete Überwachungsmaßnahmen und unsichere Protokollen wie FTP gekennzeichnet. Zudem sind fernverwaltete PCs weit verbreitet und immer mehr medizinische Geräte mit Internetanbindung im Einsatz. Diese Konstellation aus hochgradiger Vernetzung und unzureichender Sicherheit erleichtert es den Angreifern, sich ungehindert seitlich im Netzwerk zu bewegen, um ihre bösartigen Vorhaben auszuführen. Internetangebundene Geräte senden häufig ähnliche Datenmengen an mehrere interne Ziele. Angreifer machen sich dies zunutze, um ihre eigenen Aktivitäten zu verbergen.
- Die sogenannte "Command-and-Control"-Kommunikation zwischen dem Angriffsserver und dem fremden Netzwerk ist ein typisches Verhalten, durch das sich die Cyberangreifer bemerkbar machen könnten. Hacker richten daher versteckte HTTPS-Tunnel ein, damit der darüber laufende Datenverkehr wie regulärer verschlüsselter Webverkehr aussieht.
- Die Auskundschaftung von Netzwerken im Gesundheitswesen nimmt zu. Dies bedeutet, dass sich Angreifer im Netzwerk vorarbeiten und auskundschaften, wo es etwas Wertvolles zu holen gibt. Sie machen sich hierbei unter anderem Protokolle zunutze, die im Klinikbetrieb für die Dateifreigabe verwendet werden.
- Cyberangreifer versuchen immer wieder, Daten aus Kliniknetzwerken zu schleusen. Diese als Datenexfiltration bezeichnete Aktivität erfolgt häufig über versteckte DNS-Tunnel. Ein ähnliches Verhalten kann jedoch auch durch IT- und Sicherheits-Tools verursacht werden, die DNS-Kommunikation verwenden. Auch hier besteht die Herausforderung, bösartige Aktivitäten von regulärem Netzwerkverkehr zu unterscheiden.
- Die Betreiber von Botnets haben meistens nicht bestimmte Branchen im Visier. Die Angreifer übernehmen hierbei die Kontrolle über fremde Rechner oder IoT-Geräte, um Rechenleistung abzuschöpfen, die sie für die Verbreitung von Malware oder für das "Schürfen" von Kryptowährungen benötigen. Während Botnet-Angriffe branchenübergreifend fortbestehen, war ihre Häufigkeit im Gesundheitswesen zuletzt moderat.
- Ransomware-Angriffe waren im aktuellen Untersuchungszeitraum nicht so häufig, werden dennoch weiterhin ein Problem im Gesundheitswesen bleiben. Die Herausforderung liegt darin, einen Ransomware-Angriff frühzeitig zu erkennen, bevor Dateien oder der Zugang zum Netzwerk durch Hacker verschlüsselt werden und der klinische Betrieb beeinträchtigt wird.
ln/Andreas Müller, Sales Director DACH bei Vectra
