Einige Bedrohungen sind typisch für die Gesundheitsbranche, aber dennoch sind Kliniken der zunehmenden Anzahl von computerkriminellen Attacken nicht schutzlos ausgeliefert. Andreas Müller, Sales Director DACH beim Sicherheitsspezialisten Vectra, zeigt im mednic-Gastbeitrag Wege aus der Bedrohungsfalle auf.
Von Andreas Müller
Die wachsende Gefahr, die von Cyberkriminellen für die Gesundheitsversorgung ausgeht, lässt sich nicht verharmlosen. In den vergangenen Jahren hat sich die Netzwerksicherheit in Kliniken und anderen medizinischen Einrichtungen durch einen schwerüberschaubaren Mix aus alter und neuer Technik tendenziell verschlechtert. Verschiedene Arten von externen, aber auch internen Bedrohungen stellen Sicherheitsverantwortliche und deren Teams vor große Herausforderungen.
Im Gesundheitswesen hält das Internet der Dinge (IoT) zunehmend Einzug, immer mehr smarte medizinische Geräte sind vernetzt. In Kombination mit anfälligen Altsystemen, schlecht partitionierten Netzwerken und unzureichenden Zugriffskontrollen entsteht eine riesige Angriffsfläche für Eindringlinge. Diese kann von versierten Cyberkriminellen ausgenutzt werden, die es auf vertrauliche Daten abgesehen haben, oder durch bösartige Aktivitäten gezielt den Klinikbetrieb stören wollen und damit auch das Leben von Patienten gefährden. Im vergangenen Jahr waren beispielsweise drei Standorte einer Privatklinik im Raum Bremerhaven und die Klinik Fürstenfeldbruck bei München von größeren Cyberangriffen betroffen. Zwei Jahre zuvor legten Ransomware-Angriffe den Betrieb von städtischen Kliniken in Essen, Kleve, Köln und Mönchengladbach lahm. Hierbei verschlüsseln Angreifer wichtige Daten und forderten Lösegeld für die Entschlüsselung.
Risiken auch durch Mitarbeiter
Hinzukommen Insiderbedrohungen, wenn Mitarbeiter Daten stehlen oder das Kliniknetz sabotieren – eine unglaublich sensible Thematik speziell in diesem Umfeld. Unachtsamkeit und Fehler, gerade bei Routineprozessen, sind im stressigen Klinikalltag jedoch häufiger – und können ähnlich fatale Folgen haben wie gezielte bösartige Aktivitäten. Im Gesundheitswesen betrifft dies oft die unsachgemäße Handhabung und Aufbewahrung von Patientenakten, sodass es immer wieder zur Offenlegung vertraulicher Daten kommt.
Egal ob externe Bedrohungen oder interne Risiken, die Herausforderungen in Sachen IT-Sicherheit und Datenschutz sind groß. Die IT-Abteilungen kämpfen um mehr Budget und rüsten auf, doch der Mangel an Fachkräften macht es nicht leichter, hier effektiv Abhilfe zu schaffen.
Branchentypische Cyberbedrohungen unter der Lupe
Vectra, der Spezialist für die Erkennung und Reaktion auf Cyberangriffe im Netzwerk, hat kürzlich die Forschungsergebnisse seines Spotlight-Reports 2019 für das Gesundheitswesen bekannt gegeben. Darin werden Verhaltensweisen von Angreifern und Bedrohungstrends in Netzwerken aufgezeigt, basierend auf Daten, die Kunden von Vectra zur Verfügung stellen. Diese nutzen die Cognito-Plattform, die Verhaltensweisen von Angreifern erkennt und in Echtzeit meldet. Im Rahmen der Auswertung für den Zeitraum Juli bis Dezember 2018 kristallisierten sich die folgenden Ergebnisse heraus:
- IT-Netzwerke im Gesundheitswesen sind durch veraltete Überwachungsmaßnahmen und unsichere Protokollen wie FTP (File Transfer Protocol) und Cloud File Storage-Dienste gekennzeichnet. Zudem sind Remote-Desktops weit verbreitet und es sind immer mehr Geräte mit Internetanbindung im Einsatz. Diese Konstellation erleichtert es Angreifern, sich ungehindert seitlich im Netzwerk zu bewegen, um ihre bösartigen Vorhaben auszuführen.
- Remote-Angriffe koordinierten ihre Befehls- und Kontrollaktionen über versteckte HTTPS-Tunnel. Sie verbargen sich in diesem häufig verwendeten Protokolls mit hohem Datenvolumen, das von vielen legitimen Anwendungen und Onlinediensten verwendet wird. Sobald sich der Angreifer im Netzwerk der Klinik eingenistet hat, beginnt er mit Aufklärungsaktivitäten, um Ziele zu finden, bei denen sich Gelegenheiten bieten. Die interne Netzwerkausspähung nahm zu, da interne Darknet-Überprüfungen und Überprüfungen von SMB-Konten (Microsoft Server Message Block) durchgeführt wurden, die Dateifreigaben zugeordnet sind. Interne Darknet-Scans werden auch angezeigt, wenn interne Hostgeräte nach internen IP-Adressen suchen, die im Netzwerk nicht vorhanden sind.
- Wenn wertvolle Daten gefunden wurden, wurden sie gestohlen, was häufig auf den finanziellen Gewinn durch den Verkauf im Darkweb zurückzuführen ist. Die häufigste Methode, mit der Angreifer das Verhalten bei Datendiebstahl in Krankenhausnetzwerken verbergen, sind DNS-Tunnel (Domain Name Server) – ein weiteres Beispiel für einen häufig verwendeten legitimen Netzwerkdienst, der zum Verbergen krimineller Aktionen verwendet wird. Die Betreiber von Botnets haben meistens nicht bestimmte Branchen im Visier und die Häufigkeit im Gesundheitswesen ist nicht signifikant. Die Angreifer übernehmen dabei die Kontrolle über fremde Rechner oder vernetzte Geräte, um Rechenleistung abzuschöpfen, DDoS-Attacken zu starten, Malware zu verbreiten oder für das „Schürfen“ von Kryptowährungen.
- Ransomware-Angriffe waren zuletzt nicht so häufig im Gesundheitswesen, werden aber dennoch weiterhin eine große Bedrohung bleiben in der Branche. Daher ist es entscheidend, entsprechende Anzeichen zu erkennen, bevor sich Ransomware ausbreitet und Dateien verschlüsselt werden und der klinische Betrieb unterbrochen wird.
IT-Sicherheit durch KI und Automatisierung
Ärzte und die Techniker an medizinischen Geräten sind keine Experten für IT-Sicherheit und haben sicherlich nur selten Fragestellungen rund um Cybersicherheit im Kopf. Dennoch:Sicherheitsverantwortliche in Kliniken müssen davon ausgehen, dass jedes Gerät, das vernetzt ist, egal ob PC oder medizinisches Gerät, ein mögliches Ziel für Cyberangreifer sein könnte. Es ist von entscheidender Bedeutung, den Unterschied zwischen einem stattfindenden Cyberangriff und dem regulären Netzwerkverkehr zu erkennen. Es ist inakzeptabel, erst Wochen, Monate oder gar Jahre später herauszufinden, dass ein Sicherheitsvorfall oder Datenschutzverstoß vorliegt. Kliniken müssen folglich dahingehend wachsamer sein, was in ihren Netzwerken gerade passiert, ob das Netzwerk angegriffen wurde und welche Schritte die Angreifer gerade ausführen.
Die Antwort auf die aktuellen Bedrohungsszenarien liegt in einer vollständigen Sichtbarkeit des Netzwerks und der Echtzeit-Erkennung von Cyberangriffen mithilfe von künstlicher Intelligenz (KI). Dabei gilt es Bedrohungen in der gesamten Klinikumgebung, also in Cloud- und Rechenzentrums-Workloads ebenso wie in mobilen Geräten und medizinischen, smarten Geräten, zu erfassen.Insbesonderedie zeitaufwändige manuelle Arbeit der Bedrohungsanalyse muss durch umfassende Automatisierung abgelöst werden. Eine moderneKI-gestützte Sicherheitsplattform übernimmt hierbei die Erkennung und Priorisierung von Cyberangriffen im Netzwerk und beschleunigt dadurch die Reaktion auf sicherheitskritische Vorfälle. KI und hochgradige Automatisierung erleichtern es zudem allgemein qualifizierten IT-Fachkräften als Sicherheitsanalysten tätig werden können.Dieser Ansatz hat sich als effektiv erwiesen, um Cyberangreifer in Schach zu halten und den Klinikbetrieb aufrechtzuerhalten.