Kliniken müssen die Durchsetzung von Sicherheitsrichtlinien mit benutzerfreundlichen Lösungen für das Teilen und Verarbeiten von vertraulichen Patientendaten in Einklang bringen. In seinem Gastbeitrag beleuchtet Andreas Müller, Regional Sales Director DACH bei Vectra, den Einfluss der Nutzung von Cloud-Diensten auf das Thema Cybersicherheit in der Healthcare-IT.
Gastbeitrag von Andreas Müller
Bereits seit Jahren verändert die digitale Transformation die Art und Weise, wie Kliniken arbeiten und Patienten versorgen. Die Vernetzung nimmt zu, das Internet der Dinge wächst und der Trend in Richtung Cloud zeichnet sich ab. Die COVID-19-Pandemie treibt im Gesundheitswesen die schnelle Einführung von Cloud-Diensten für Fernzugriff, Collaboration-Umgebungen und Cloud-Analysen voran. Die langfristigen Auswirkungen dieser kurzerhand beschleunigten Maßnahmen werden tiefgreifend sein. Dies betrifft insbesondere den Schutz der nun deutlich größeren Angriffsfläche.
Cloud-Computing stellt den Großteil der Infrastrukturen, Plattformen und Tools für die digitale Transformation bereit. Die Cloud birgt jedoch auch Risiken, insbesondere dann, wenn die Einführung schneller erfolgt, als die Sicherheitsverantwortlichen eine angemessene Sorgfaltspflicht umsetzen können. Dies zeigt der Vectra Spotlight Report 2020 für das Gesundheitswesen für den Zeitraum von Januar bis Mai 2020. Die Forscher analysierten hierbei das Verhalten von Netzwerken in Zusammenhang mit Bedrohungen über den gesamten Angriffszyklus hinweg: Botnet-Monetarisierung, Command-and-Control, interne Aufklärung, seitliche Bewegung im Netzwerk und Datenexfiltration.
Zugangsmöglichkeiten für Angreifer
Die Studie verdeutlicht eine Zunahme von bestimmtem Netzwerkverhalten, das es Cyberkriminellen erleichtert, sich Zugang zu verschaffen. Sie widerlegt jedoch zugleich die weitverbreitete Annahme, wonach vor allem externe Bedrohungen zu einem erhöhten Sicherheitsrisiko führen würden.
In den ersten fünf Monaten des Jahres haben laut Studie zwei Trends zugelegt. Dies ist zum einen das Command-and-Control-Verhalten, das auf Fernzugriff auf interne Systeme hindeutet. Zum anderen stellten die Forscher eine Verdoppelung des Datenexfiltrations-Verhaltens fest. Dies wiederum deutet darauf hin, dass Daten interne Gesundheitsnetzwerke an externe Ziele wie Cloud-Dienste verlassen. Der intensivierte Fernzugriff und die Datenübertragung an externe Ziele übertragenen Daten stehen im Einklang mit der schnellen Einführung von Cloud-Diensten im Gesundheitswesen im Verlauf der Pandemie.
Trotz der dadurch vergrößerten Angriffsfläche blieben die Erkennungen seitlicher Bewegungen relativ flach, mit einem leichten Rückgang im Mai. Dieses Verhalten ist der stärkste Indikator dafür, dass sich Bedrohungen innerhalb einer gefährdeten Infrastruktur und über interne Geräte ausbreiten. Die seitliche Bewegung im Netzwerk geht aber oft auf administrative Aktivitäten zurück. Insgesamt ist der Trend sogar leicht rückläufig. Dennoch sollten Kliniken vor Phishing, Ransomware sowie der Kompromittierung externer Datenbanken und Benutzerkonten auf der Hut sein.
Seitens der E-Mail- und Firewall-Anbieter häufen sich Warnungen vor Ransomware, gekaperten Videokonferenzen, Angriffen auf VPNs (Virtual Private Networks), E-Mail-Kompromittierung und Betrugsversuchen. Die meisten dieser Angriffsversuche können Kliniken abwehren, auch wenn es immer wieder zu erfolgreichen Ransomware-Attacken kommt.
Datenexfiltration – Absicht oder Angriff?
Ein größeres Problem ist der massiv zunehmende Datenverkehr zu externen Cloud-Ressourcen. Im Branchenvergleich fällt der erhebliche Anstieg der Datenexfiltration im Gesundheitswesen auf. In anderen Branchen, die mit einem temporär rückläufigen Geschäft zu kämpfen haben, ist diese Aktivität stabil oder leicht rückläufig. Das Exfiltrationsverhalten deutet auf eine signifikante Zunahme von zwei spezifischen Arten von Datenbewegungen hin:
Die erste ist das „Smash-and-grab“-Verhalten, das auftritt, wenn eine große Datenmenge in kurzer Zeit an einen ungewöhnlichen externen Bestimmungsort gesendet wird. Ein Beispiel ist ein medizinisches Gerät, das schnell große Datenmengen an eine gehostete Cloud-Site sendet. Durch die Nutzung der Cloud können medizinische Geräte drahtlos Daten zur Speicherung, Berechnung, Zugänglichkeit und gemeinsamen Nutzung sammeln. Konkrete Beispiele sind Cloud-Dienste zur Bereitstellung von Echtzeit-Einblicken in den Blutzuckerspiegel von Diabetes-Patienten oder Sonden, die hochauflösende optische und bildgebende Verfahren zur Identifizierung von Krebs- und Präkanzerosenzellen in Epithelgewebe verwenden.
Während das Verhalten bei großvolumigen Datenübertragungen von einem einzelnen Host aus den normalen Betrieb eines medizinischen IoT-Geräts widerspiegeln kann, können Angreifer dies nutzen, um ihren Datendiebstahl zu verschleiern. Es ist wichtig, dieses Netzwerkverhalten zu dokumentieren und zu überwachen, um die Erkennung von Cyberangreifern zu ermöglichen und kritische Gesundheitsdaten zu schützen.
Das zweithäufigste Datenbewegungsverhalten sind Data-Smuggler-Aktivitäten. Diese treten auf, wenn ein internes Host-Gerät eine große Datenmenge von einem oder mehreren internen Servern konsolidiert und anschließend eine beträchtliche Datenmenge an ein unerwartetes externes System sendet. Das Verhalten kann auch vorliegen, wenn medizinische Patientendaten an Cloud-Dienste wie Microsoft OneDrive übertragen werden, um die Zusammenarbeit von medizinischem Fachpersonal zu ermöglichen.
Hohe Datensicherheit und effiziente Datennutzung
Kliniken müssen die Durchsetzung von Sicherheitsrichtlinien mit benutzerfreundlichen Lösungen für das Teilen und Verarbeiten von vertraulichen Patientendaten in Einklang bringen.
Der Spotlight Report hebt hierbei die folgenden Aspekte hervor: Geschützte Gesundheitsinformationen (Protected Health Information, PHI) in einer Patientenakte oder in einem Datensatz dienen zur Identifizierung einer Person und sollen im Verlauf der Behandlung schnell abrufbar sein. Da es Bedrohungsakteure auf diese Daten abgesehen haben, um sie weiterzuverkaufen, müssen in der Cloud gehostete Patientendaten effektiv geschützt werden.
Erforderlich sind Tools, die Sicherheitsverantwortlichen einen Einblick verschaffen, welche Daten wohin migriert werden, wie sie genutzt und mit wem sie geteilt werden. Es geht darum, alle sensiblen Datenbestände unter Kontrolle zu bringen. Hierzu ist eine unternehmensweite Sichtbarkeit auf die Cloud und die Infrastruktur vor Ort nötig. Erst dadurch sind eine wirklich umfassende Erkennung und Reaktion auf entsprechende Bedrohungen realisierbar.
Das Gesundheitswesen steht vor der herausfordernden Aufgabe, die Sicherheit und Durchsetzung von Richtlinien mit Benutzerfreundlichkeit und Effizienz in Einklang zu bringen. Dass sensible Daten und die Patientenversorgung gefährdet sind, zeigen immer wieder Fälle von Datenklau. Kliniken müssen in der Lage sein, zu erkennen, welche Daten in die Cloud verschoben werden und wie sie genutzt und geteilt werden. Dies setzt eine unternehmensweite Sichtbarkeit auf die Cloud und die Infrastruktur vor Ort voraus. Auf diese Weise ist eine zuverlässige KI-basierte Erkennung und Reaktion auf Bedrohungen in der gesamten Datenumgebung möglich.