Die voranschreitende Digitalisierung im medizinisch-pharmazeutischen Umfeld erfordert wachsende Datenschutz-Bemühungen. Zwei IT-Security-Experten schildern im mednic-Gastbeitrag anhand eines konkreten Falls, mit welcher Sicherheitsstrategie sich Unternehmen im Gesundheitsbereich vor Cyberbedrohungen aussichtsreich schützen können.
Gastbeitrag von Viviane Werner und Christoph Harburg, Netzlink Informationstechnik GmbH
Ob Operationen durch Software unterstützt, oder Patientendaten verwaltet werden: Die Digitalisierung ist im Gesundheitswesen angekommen. Den hierdurch entstandenen, neuen Möglichkeiten stehen wachsende Herausforderungen im Datenschutz und steigende Sicherheitsrisiken gegenüber. Mit Ransom-Software werden Computer gesperrt und Datenbanken verschlüsselt, der Betrieb wird empfindlich gestört und hohe Summen müssen an kriminelle Erpresser gezahlt werden, um noch größeren Schaden abzuwenden. Die laufende Überwachung der IT-Sicherheit, beispielsweise durch das Schwachstellenanalyse-Tool Detective Netleak der in Braunschweig ansässigen Netzlink Informationstechnik, hilft, die Situation unter Kontrolle zu halten.
Zu dieser Kontrolle gehören nicht allein professionelle IT-Sicherheitstools wie Virenscanner, Firewall und Co., sondern auch profundes Security-Know-how und eine Sicherheitsstrategie, die alle wichtigen Schwachstellen von Systemen erkennt und durch kontinuierliche Anpassungen dauerhaft behebt.
Mit Strategie zur Sicherheit
Da Sicherheit in Unternehmen und Institutionen nicht einfach mit der einmaligen Anschaffung einzelner Produkte gewährleistet werden kann, bauen IT-Unternehmen ihr Security-Know-how und -Produktportfolio stetig weiter aus. So nehmen sich oftmals auf IT-Security spezialisierte Consulting- und Serviceteams der jeweiligen Kundenbedarfe an und erstellen individuelle strategische Sicherheitskonzepte, die umfassend alle Komponenten möglicher Bedrohungen berücksichtigen und nachhaltig Systeme sicher machen können. So auch bei der Netzlink Informationstechnik GmbH. Das firmeneigene Sicherheitsteam berät Kunden ganzheitlich zum Thema IT-Security. Dazu gehören Firewalls, Virenscanner und Verschlüsselungstechnologien genauso, wie die Schulung von Mitarbeitern, wenn es um den Umgang mit Mails, Anhängen, Datenträgern, etc. geht – Stichwort: Awareness. Das Expertenteam hat sich nicht nur auf IT-Sicherheit spezialisiert, sondern ist von der Deutschen Gesellschaft für Informationssicherheit AG (DGI) und dem TÜV sowie von allen verwendeten Herstellern lizensiert.
IT-Security im Anwendungsfall
Der Auftrag eines Unternehmens im Pharmazeutischen Umfeld im Oktober 2018 lautete: Feststellung des aktuellen Sicherheitsstandards des gesamten Systems. Dazu ist das Security-Team zum Kunden gefahren und hat im Vorfeld zusammen mit ihm alle Anforderungen und Bedürfnisse identifiziert, die – je nach Branche – sehr unterschiedlich ausfallen können. Während des Beratungsgesprächs klärten die IT-Security-Experten über alle Möglichkeiten einer Überprüfung auf und einigten sich zusammen mit dem Kunden auf ein Security-Assessment, das grundlegend über den Sicherheitsstatus des Netzwerks Auskunft gibt, Schwachstellen aufdeckt und die Ableitung von Maßnahmen ermöglicht. „Detective NetLEAK“ ist der Name dieses Sicherheitskonzepts, da es Sicherheitslücken, Schlupflöcher und Schwachstellen aufspürt und deren Behebung ermöglicht.
Für die Durchführung der Überprüfung wurden im Vorfeld die genauen Parameter für den Scan erarbeitet. Diese gemeinsame Abstimmung ist die Grundvoraussetzung für ein erfolgreiches Assessment, denn das weitere Vorgehen, der Testzeitraum, die zu überprüfenden Systeme und die Inhalte der „Permission to Attack“, werden genauestens definiert. Die „Permission to Attack“ ist die Absprungbasis für das weitere Vorgehen. Denn ehe weitere Schritte unternommen werden konnten, musste die Permission im Vorfeld vom Geschäftsführer des Pharmaunternehmens unterzeichnet werden, da diese einen kontrollierten Angriff auf das Unternehmenssystem von außen und einen Scan von innen definiert und genehmigt. Außerdem bestimmt die „Permission to Attack“, welche Systeme geprüft werden und welche gezielt vom Vorgang ausgeschlossen werden sollen – beispielsweise Produktivsysteme.
Permission to Attack
Da der Kunde vor Ort Waren selbst produziert und versendet, hat er im Vorfeld sein Produktiv- und das hauseigene Logistiksystem ausgeschlossen. Daraufhin konnte es an die Umsetzung und die Definition der zu überprüfenden internen und externen IP-Adressen und IP-Adressbereiche gehen. Die im Vorfeld definierten Ausschlüsse aus der Überprüfung wurden gelistet und das Unternehmen richtete ein temporäres Domänenadministratorkonto ein. Die zur Verfügung gestellten Virtualisierungsressourcen waren zu Beginn etwas klein und mussten auf 16 Gigabyte VRAM und 40 Gigabyte Festplattenplatz erweitert werden. Die Basis dafür war in diesem Fall VM Ware ESXi 5.5+.
Eine temporäre Gruppenrichtlinie wurde durch die Netzlink-Experten eingerichtet, bestimmte Netzwerk-Ports auf den Clients freigegeben und die Freigabe der WMI Remote Registry vorgenommen. Die virtuelle Appliance konnte nun Remote installiert werden. Die gesamte Zusammenarbeit mit der IT-Abteilung des Kunden lief sehr professionell und außergewöhnlich gut, alle Informationen flossen schnell. So auch die Informationen bezüglich des Windows-Servers, der sich in der Domäne befindet. Auf dem Server wurde die MBSA installiert und ein Teil der Scans durchgeführt. Außerdem konnten offene Fragen nach dem Domain-Controller, Ausschlüssen bei den OUs oder nach weiteren SNMP Community Strings schnell geklärt werden (ansonsten wird in der Überprüfung „public“ genutzt).
Scans decken Schwachstellen auf
Bereits nach kurzer Vorbereitungszeit konnte der erste von fünf Scans durchgeführt werden. Insgesamt haben die Security-Experten drei Netzwerkinfrastruktur-Scans sowie einen externen und einen internen Schwachstellentest vorgenommen. Überprüft wurden unter anderem alle Objekte im Active Directory, Computer und sonstige Systeme im lokalen Netz, die öffentlich erreichbaren Systeme und interne IP-Adressen. Beim internen Schwachstellenscan wurden alle internen IP-Adressen auf potentielle Sicherheitslücken überprüft – darauf, welche Dienste auf den jeweiligen Ports oder welche über das Netzwerk lauschen. Damit ließen sich wichtige Fragen beantworten – etwa: Sind alle registrierten Benutzer überhaupt noch aktiv? Wie sieht es mit dem Passwortalter aus? Gibt es eine zentrale Richtlinie von Unternehmensseite bezüglich der Passwortsicherheit? Wie steht es um den Patch-Status und die Aktualität von Anti-Virus- und Anti-Spyware-Software? Wie viele erreichbare offene Ports existieren? Beim externen Schwachstellenscan stehen alle öffentlichen IP-Adressen auf dem Prüfstand. Auf welchen Ports sind Dienste auf dem jeweiligen System über das Netzwerk erreichbar? Außerdem werden die gefundenen Dienste und Versionen mit einer Datenbank von bekannten Sicherheitslücken verglichen.
Ergebnisse im Management-Report
Der anschließend generierte Report umfasste annähernd 1.000 englischsprachige Seiten. Da Umfang und formlose Aufzählungen für die IT-Verantwortlichen und Führungskräfte nicht zumutbar waren, wurde der Report vom Netzlink-Security-Team ausgewertet und ein Management-Report von rund 20 Seiten erstellt, in dem alle gefundenen Schwachstellen priorisiert und mit Handlungsempfehlungen versehen wurden. Auf Wunsch der Geschäftsführung war dieser Report deutschsprachig. Die Ergebnisse des Reports und die Handlungsempfehlungen wurden im Anschluss der gesamten Geschäftsführung und allen verantwortlichen IT-Mitarbeitern des Unternehmens präsentiert.
Wichtige Mitarbeiterschulung
Alle vorgeschlagenen Maßnahmen, etwa die Löschung von alten Benutzerkonten im Active Directory, Passwortrichtlinien, Schutz vor physikalischem Zugriff, Patch-Status aktualisieren wurden in einen Maßnahmenplan übertragen und die benötigte Hilfestellung bei der Umsetzung von einzelnen Maßnahmen durch die Security-Experten geklärt. Gemeinsam wurde der Maßnahmenplan nach Bedrohungsgrad abgearbeitet. Die nächsten Schritte – eine Awareness-Schulung für alle Mitarbeiter sowie eine weiterführende Beratung als Informationssicherheitsbeauftragte – wurden diskutiert, denn noch immer sind über 80 Prozent aller Sicherheitsvorfälle dem „Faktor Mensch“ geschuldet.
Nach der Umsetzung aller Maßnahmen ist ein Nachfolge-Assessment sinnvoll, denn so kann abgebildet werden, welche Lücken erfolgreich geschlossen wurden und welche womöglich neu entstanden sind. Nach Abschluss des zweiten Kontroll-Assessments, raten die Netzlink-Spezialisten zu einem zyklisch wiederkehrenden Assessment, um den Sicherheitsstandard stets hoch zu halten – in der Regel jedes Jahr. Nach der Umsetzung aller Maßnahmen verfügt der Kunde jetzt über eine sichere IT-Infrastruktur und wird das Kontroll-Assessment im zweiten Quartal 2019 gemeinsam mit den Security-Spezialisten absolvieren.