Security-Experte: Ransomware-Angriffe wären vermeidbar gewesen

Mehrere große Kliniken in Deutschland und den USA wurden zuletzt Opfer von Cyberangriffen mittels Erpressungs-Software. Ein IT-Sicherheitsanbieter sagt: Das wäre trotz Kostendruck vermeidbar gewesen.

Große Kliniken wie das Lukas-Krankenhaus in Neuss bei Düsseldorf, das Klinikum Arnsberg oder das Hollywood Presbyterian Medical Center in Los Angeles wurden kürzlich mittels Ransomware angegriffen. Die gefährliche Schadsoftware gelangte dabei meist mittels E-Mail-Anhängen in die Organisationen (PDF-Dateien oder ZIP-Dateien). Wird eine solche infizierte Datei angeklickt, beginnt sofort eine breite Datenverschlüsselung auf Netzlaufwerken – der Alptraum jedes IT-Verantwortlichen.

Der IT-Sicherheitsexperte Dr. Christian Polster, Chief Strategy Officer des österreichischen Sicherheitsspezialisten Radar Services, nennt Motive, warum Krankenhäuser jetzt ins Visier von Cyberkriminellen geraten sind.

So sagt Polster: „Es gibt zumindest drei Gründe, warum Krankenhäuser aus der Sicht von Angreifern interessante Ziele sind: So geht es in den aktuellen Fällen in erster Linie um das Durchsetzen von finanziellen Forderungen der Angreifer. Sie konzentrieren sich auf Institutionen in einem Sektor, dessen durchgehende Funktionsfähigkeit für die Bevölkerung in einer großen Region sehr wichtig ist. Wird die gesamte computerbasierte Arbeit dieser Institutionen nachhaltig lahmgelegt, entsteht schnell ein großes öffentliches Interesse an diesen Fällen“. Folglich geraten die Krankenhäuser massiv unter Druck und die Zahlung des Lösegeldes vorangetrieben.

Druck erzeuge auch die Abhängigkeit der gesamten Arbeitsabläufe von PCs und vernetzten Geräten und den sensiblen Daten, die darauf gespeichert seien: “Die Digitalisierung schreitet im Gesundheitssektor nach Einschätzung von Polster schnell voran. Ein Arbeiten ohne PC & Co. ist in vielen Bereichen nahezu unmöglich. Informationen und Dokumentationen können plötzlich weder intern noch extern transferiert und Untersuchungsergebnisse nur über lange Wege zwischen Ärzteteams, Labor und Pflegepersonal ausgetauscht werden, Abrechnungen mit Krankenkassen sind nicht mehr möglich. Und würden sensible Patientendaten publik werden, wäre das öffentliche Aufsehen immens”.

Als drittes Motiv für die Angriffe sieht der Security-Spezialist Polster das vergleichsweise geringe Schutzniveau der stark vernetzten IT-Systeme in vielen Krankenhäusern. „Medizinische Geräte tauschen ständig Daten untereinander aus um die Effizienz der Arbeitsabläufe zu steigern. Ärzte nutzen Mobile Devices (Tablets und Smartphones) und BYOD (bring your own device), um an jedem Ort schnell auf Patientendaten zuzugreifen. Und: IT-Netzwerke von Krankenhäusern sind keine in sich geschlossenen Systeme, sondern immer auch nach außen geöffnet, z.B. für Fernwartungszugänge von Geräteherstellern, die Updates einspielen oder Gerätefehler aus der Ferne beheben. Eine so große IT-Landschaft und ihre immense Vernetzung verlangt von Krankenhäusern ein extrem weitreichendes IT-Sicherheitsmanagement. Einfallstore sind vielfältig und Angreifer sind sich dessen bewusst“.

Wie sich Krankenhäuser konkret schützen können

Polster warnt davor, auf konventionelle Lösungen bei der IT-Security zu vertrauen. „IT-Sicherheitsverantwortliche wissen, dass Maßnahmen, die dazu dienen, Angriffe von vornherein abzuwehren, immer unvollständig sind. Die große Vielfalt an Angriffsmöglichkeiten, die schnelle Weiterentwicklung von Angriffsarten, eine falsche Konfiguration der Sicherheitswerkzeuge oder deren fehlende Anpassungen an aktuelle Bedingungen sind Gründe, warum oft nur augenscheinlich ein hohes Maß an IT-Sicherheit erreicht wird. Herkömmliche IT-Sicherheitslösungen bieten also keinen ausreichenden Schutz für komplexe IT-Infrastrukturen und –Systeme“.

State of the Art ist sei das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von Angriffen auf die IT, führt Polster aus. „Diese Herangehensweise ist der globale Trend im Bereich IT-Security und die einzige Möglichkeit, die Funktionsfähigkeit von IT-Systemen in einem tatsächlichen Angriffsfall aufrecht zu erhalten oder anderen großen Schaden zu begrenzen“.

Ein kontinuierliches IT Security Monitoring müsse drei Bereiche umfassen: „Eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg, eine kontinuierliche Schwachstellenanalyse von innen und außen und eine laufende Analyse und Korrelation von Logs der einzelnen Systeme“.

Die Überwachung der Einfallstore für Schadsoftware und der Kommunikationskanäle

Die aktuellen Ransomware-Angriffe hätten durch den Einsatz von „Advanced Threat Detection for Web and Email“, einem modernen IT-Risikoerkennungsmodul, vollständig verhindert werden können, unterstreicht Polster. Um darüber hinaus die weiteren möglichen Einfallstore für Angreifer in den Griff zu bekommen, sei ein umfangreiches Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien notwendig. Mittels Intrusion Detection Systemen (IDS) und mit der Unterstützung durch Experten, die diese Systeme richtig konfigurieren, würden Schwachstellen aufgedeckt.

Kontinuierliche Schwachstellenanalyse

Das kontinuierliche Aufspüren dieser Probleme sei Voraussetzung, um im Falle von Krankenhäusern ganz besonders auch Schwachstellen von medizinischen Geräten zu erkennen. Polster betont: „Die kontinuierliche Schwachstellenanalyse und konsequente Behebung schließt viele … Einfallstore für Angreifer und verkleinert so ihren Aktionsspielraum“.

Das Fazit des Experten: Die IT-Sicherheit in Krankenhäusern sei eine herausfordernde, aber lösbare Aufgabe. Ein beschränkter finanzieller Spielraum in Krankenhäusern mache die Anschaffungen der für ein effektives IT Security Monitoring benötigten Hard- und Software und die laufenden Investitionen in die notwendigen hochspezialisierten IT-Security Experten in der Regel unmöglich.

Ein ressourcenschonender Ansatz sei indes der Einsatz von Managed Security Services. Hier werde die automatisierte Erkennung von IT-Sicherheitsproblemen und -risiken bereits mit der Analyse durch Experten kombiniert. Polster resümiert: „Die IT-Sicherheitsverantwortlichen in Krankenhäusern erhalten so die Informationen, die sie für den Schutz vor tatsächlichen Risiken für Ihre IT benötigen, auf Knopfdruck. IT-Sicherheit in einem der kritischsten aller kritischen Infrastrukturbereiche eines Landes wird so zu einer lösbaren Aufgabe“.