Ransomware in kritischen Infrastrukturen stellt ein gewaltiges Risiko dar. In seinem Gastbeitrag für mednic.de verdeutlicht Klaus Gheri, Vice President & General Manager Network Security des Security-Spezialisten Barracuda Networks, dass bestehende Infrastruktur im Gesundheitswesen stets eine Reihe latenter Bedrohungen enthält. Doch es gibt realistische Wege für eine effektive Erkennung und Prävention von Ransomware-Angriffen, sagt Gheri.
Gastbeitrag von Klaus Gheri
Nicht erst die globale WannaCry-Attacke hat gezeigt, dass Organisationen im Gesundheitswesen wie der britische National Health Service (NHS) ein besonders verletzliches Ziel für Ransomware-Angriffe sind. Erpressungssoftware machte auch früher schon Schlagzeilen. Etwa als vor rund zwei Jahren in Nordrhein-Westfalen mehrere Krankenhäuser lahmgelegt wurden. Operationen mussten verschoben, Notfallpatienten in anderen Kliniken aufgenommen werden. Allein im Fall des Lukaskrankenhauses in Neuss beliefen sich die Kosten für Analyse des Angriffs und Wiederherstellung des IT-Betriebs auf circa eine Million Euro, rechnete seinerzeit das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor.
Cyberkriminelle nutzen Ransomware branchenübergreifend, um Geld von Organisationen aller Größenordnungen zu erpressen, jedoch sind gerade Gesundheitsorganisationen wie Krankenhäuser besonders attraktive Ziele. Denn sie sind nicht nur mit den persönlichsten und intimsten Informationen betraut, von Finanzdaten, bis hin zu privaten Gesundheits- und Behandlungsgeschichten, sondern häufig ist auch die IT-Sicherheit im Gesundheitswesen im Vergleich zu anderen Branchen veraltet oder weniger effektiv. Viele dieser Einrichtungen sind nicht darauf vorbereitet große Netzwerke zu betreiben, die von Gästen, Patienten oder Personal benutzt werden. Angreifer wissen auch, dass Organisationen im Gesundheitswesen hohe Kosten bei Ausfallzeiten haben, im schlimmsten Fall ist die Gesundheit der Patienten gefährdet. Daher ist es wahrscheinlicher, dass sie ein Lösegeld für verschlüsselte Daten zahlen. Zudem steht nicht nur die Gesundheit von Patienten, sondern auch der Ruf einer Organisation und das Patientenvertrauen auf dem Spiel.
Fortschritte, aber es gibt noch viel zu tun
Das deutsche IT-Sicherheitsgesetz („Verordnung zu kritischen Infrastrukturen“, kurz „KRITIS“), definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind. Im Sommer 2017 hat die Bundesregierung nun auch für das Gesundheitswesen kritische Infrastrukturen konkret definiert, die besonders gegen Cyber-Angriffe zu schützen sind: Großkliniken, medizinische Labors, Hersteller bestimmter, lebenswichtiger Medizinprodukte und große Arzneihändler. Von der KRITIS-Verordnung erfasste Einrichtungen müssen bei Cyber-Angriffen unverzüglich Meldung ans BSI machen. Außerdem müssen sie binnen zwei Jahren nachweisen, dass sie wirksame Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern und eine Kontaktstelle für das BSI nennen. Dennoch gibt es noch viel Raum für Verbesserungen, denn Lösegeldangriffe sind nach wie vor eine ernstzunehmende und wachsende Herausforderung. Die wirksame Bekämpfung von Ransomware erfordert eine durchdachte Kombination aus technischen Maßnahmen und Verhaltensregeln.
Schwachstellen aufdecken
Um das Netzwerk frei von Ransomware und anderer fortschrittlicher Malware zu halten, ist eine Kombination aus effektiver Perimeterfilterung, strategisch konzipierter Netzwerkarchitektur und der Fähigkeit zur Erkennung und Eliminierung von Malware erforderlich, die bereits im Netzwerk vorhanden ist. Bestehende Infrastruktur enthält stets eine Reihe latenter Bedrohungen: E-Mail-Posteingänge sind voller bösartiger Anhänge und Links, die nur darauf warten, angeklickt zu werden. Ebenso müssen alle Anwendungen, ob lokal gehostet oder Cloud-basiert, regelmäßig gescannt und auf Schwachstellen gepatcht werden. Hierfür sollte es einen regelmäßigen Zeitplan geben. Der Aufbau einer solchen soliden Basis ist ein wichtiger Start für eine effektive Erkennung und Prävention von Ransomware-Angriffen.
Prävention von Angriffen
Es gibt einige sehr effektive Sicherheitstechnologien, die in der heutigen Bedrohungslandschaft erforderlich sind, um Ransomware und andere Angriffe zu verhindern. Das Blockieren von Bedrohungen, die in das Netzwerk eindringen, erfordert eine moderne Firewall oder E-Mail-Gateway-Lösung, welche die meisten Bedrohungen herausfiltert. Sie sollte eingehenden Datenverkehr scannen, mithilfe von Signaturabgleich, fortschrittlicher Heuristik, Verhaltensanalyse, Sandboxing und der Fähigkeit, Ergebnisse mit globalen Bedrohungsdaten in Echtzeit abzugleichen. Darüber hinaus bieten neue Lösungen unter Verwendung von Machine Learning und künstlicher Intelligenz die Erkennung ausgefeilter Angriffe wie etwa Spear-Phishing.
Um die Verbreitung von Bedrohungen zu minimieren, sollte zudem der Netzwerkzugriff kontrolliert und segmentiert werden. Verwaltung, Pflegepersonal und technisches Personal sollte jeweils nur begrenzten, spezifischen Zugriff auf notwendige Online-Ressourcen haben. Ebenso muss sichergestellt werden, dass Patienten und Besucher Malware nur innerhalb ihres eigenen, begrenzten Bereichs verbreiten können. Das Risiko für Organisationen im Gesundheitswesen wird erheblich reduziert, wenn solche Lösungen im Rahmen einer umfassenden Sicherheitsstrategie eingesetzt werden.
Backup-Strategie als grundlegende Verteidigung
Wenn ein Ransomware-Angriff erfolgreich ist, werden kritische Dateien – HR, Gehaltsabrechnung, elektronische Gesundheitsakten, Finanz- und Versicherungsinformationen für Patienten, strategische Planungsunterlagen oder E-Mail-Datensätze – durch Verschlüsselung unbrauchbar gemacht. Mithilfe eines effektiven Backup-Systems können wichtige Daten jedoch wiederhergestellt werden. Automatisierte, Cloud-basierte Backup-Dienste bieten eine Vielzahl von einfach zu verwendenden und sicheren Serviceoptionen an, die sich für Organisationen jeder Größe eignen und nur minimalen Personalaufwand erfordern. Mit fortschrittlichen Lösungen kann sogar eine virtuelle Kopie der Server in der Cloud erstellt werden und der Zugriff auf kritische Dateien und Anwendungen innerhalb weniger Minuten nach einem Angriff oder anderen Vorfällen wiederhergestellt werden.
Ransomware und andere Bedrohungen werden in naher Zukunft nicht verschwinden und das Gesundheitswesen wird auch weiterhin ein Angriffsziel sein. Doch wenn Fachkräfte die IT-Sicherheit im Blick behalten, und eine starke Kombination unterschiedlicher Sicherheitsmaßnahmen beachtet werden, sind Gesundheitsorganisationen gut gerüstet, um Ransomware-Angriffe effektiv zu stoppen. Eine wirklich sichere Netzwerk-Infrastruktur in Krankenhäuser enthält wahrscheinlich mehr Firewalls als Patienten!
Klaus Gheri verantwortet als Vice President Network Security & General Manager bei Barracuda Networks weltweit das Produktmanagement und die Entwicklung der Barracuda Firewall, Barracuda NG Firewall und Barracuda SSL VPN-Lösungen.
Zu Barracuda Networks kam Gheri im Herbst 2009 im Zuge der Übernahme der Phion AG. Dieses Unternehmen hatte Gheri 2000 mit Wieland Alge und Peter Marte gegründet und war wesentlich an der Architektur und Entwicklung der Barracuda NG Firewall beteiligt. Als Chief Technology Officer (CTO) war er danach für die strategische Produktausrichtung und strategische Partnerschaften des börsennotieren Unternehmens mit Sitz in Innsbruck verantwortlich.
Der habilitierte Physiker mit Abschluss in Theoretischer Physik von der University of Auckland, Neuseeland, forschte und dozierte vor der Gründung von Phion im Bereich der Quantenkommunikation. Gheri verfügt über mehr als 14 Jahre Erfahrung im Security-Bereich und ist ein gefragter Referent zu Themen der Netzwerksicherheit in Unternehmen.