Im Feuer der Ransomware: Das Lukaskrankenhaus in Neuss/Düsseldorf, eines der Großkrankenhäuser in Deutschland. Ebenso: Das Klinikum Arnsberg sowie vier weitere Krankenhäuser in Nordrhein-Westfalen. International setzt sich die Liste der aktuell betroffenen Krankenhäuser fort. So ist auch das Hollywood Presbyterian Medical Center in Los Angeles zum Angriffsziel geworden.
Aus Sicherheitsgründen arbeiten alle betroffenen Kliniken über Tage hinweg offline und „im Handbetrieb“.
(firmenpresse) - Im Feuer der Ransomware: Das Lukaskrankenhaus in Neuss/Düsseldorf, eines der Großkrankenhäuser in Deutschland. Ebenso: Das Klinikum Arnsberg sowie vier weitere Krankenhäuser in Nordrhein-Westfalen. International setzt sich die Liste der aktuell betroffenen Krankenhäuser fort. So ist auch das Hollywood Presbyterian Medical Center in Los Angeles zum Angriffsziel geworden.
Aus Sicherheitsgründen arbeiten alle betroffenen Kliniken über Tage hinweg offline und „im Handbetrieb“.
Ransomware (wie Cryptolocker, Cryptowall oder Teslacrypt) umfasst Erpressungssoftware, welche Computer sperrt oder Teile der Festplatte verschlüsselt. Nur nach Zahlung eines Lösegelds erfolgt eine Entschlüsselung. Die Schadsoftware gelangt meist durch E-Mail Attachments (PDF-Dokumente oder ZIP-Dateien) in eine Institution. Beim Öffnen eines infizierten Dokuments beginnt sofort die Verschlüsselung der Daten, auch auf Netzlaufwerken.
Krankenhäuser als interessantes Ziel für Angreifer
Es gibt zumindest drei Gründe, warum Krankenhäuser aus der Sicht von Angreifern interessante Ziele sind: So geht es in den aktuellen Fällen in erster Linie um das Durchsetzen von finanziellen Forderungen der Angreifer. Sie konzentrieren sich auf Institutionen in einem Sektor, dessen durchgehende Funktionsfähigkeit für die Bevölkerung in einer großen Region sehr wichtig ist. Wird die gesamte computerbasierte Arbeit dieser Institutionen nachhaltig lahmgelegt, entsteht schnell ein großes öffentliches Interesse an diesen Fällen. So wird ein hoher Druck aufgebaut und die Zahlung des Lösegeldes vorangetrieben.
Druck erzeugt auch die Abhängigkeit der gesamten Arbeitsabläufe von PCs und vernetzten Geräten und den sensiblen Daten, die darauf gespeichert sind: Die Digitalisierung schreitet im Gesundheitssektor besonders schnell voran, ein Arbeiten ohne diese Ausrüstung ist nahezu unmöglich. Informationen und Dokumentationen können plötzlich weder intern noch extern transferiert und Untersuchungsergebnisse nur über lange Wege zwischen Ärzteteams, Labor und Pflegepersonal ausgetauscht werden, Abrechnungen z.B. mit Krankenkassen sind nicht mehr möglich. Und würden sensible Patientendaten publik werden, wäre das öffentliche Aufsehen immens.
Schlussendlich kann ein dritter Grund im vergleichsweise geringen Schutzniveau der stark vernetzten IT-Systeme in Krankenhäusern gesehen werden: Modernste medizinische Geräte tauschen ständig Daten untereinander aus um die Effizienz der Arbeitsabläufe zu steigern. Ärzte nutzen Mobile Devices (Tablets und Smartphones) und BYOD (bring your own device), um an jedem Ort schnell auf Patientendaten zuzugreifen. Und: IT-Netzwerke von Krankenhäusern sind keine in sich geschlossenen Systeme, sondern immer auch nach außen geöffnet, z.B. für Fernwartungszugänge von Geräteherstellern, die Updates einspielen oder Gerätefehler aus der Ferne beheben. Eine so große IT-Landschaft und ihre immense Vernetzung verlangt von Krankenhäusern ein extrem weitreichendes IT-Sicherheitsmanagement. Einfallstore sind vielfältig und Angreifer sind sich dessen bewusst.
Wie sich Krankenhäuser konkret schützen können
IT-Sicherheitsverantwortliche wissen, dass Maßnahmen, die dazu dienen, Angriffe von vornherein abzuwehren, immer unvollständig sind. Die große Vielfalt an Angriffsmöglichkeiten, die schnelle Weiterentwicklung von Angriffsarten, eine falsche Konfiguration der Sicherheitswerkzeuge oder deren fehlende Anpassungen an aktuelle Bedingungen sind Gründe, warum oft nur augenscheinlich ein hohes Maß an IT-Sicherheit erreicht wird. Herkömmliche IT-Sicherheitslösungen bieten also keinen ausreichenden Schutz für komplexe IT-Infrastrukturen und -Systeme.
State of the Art ist vielmehr das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von Angriffen auf die IT. Diese Herangehensweise ist der globale Trend im Bereich IT-Security und die einzige Möglichkeit, die Funktionsfähigkeit von IT-Systemen in einem tatsächlichen Angriffsfall aufrecht zu erhalten oder anderen großen Schaden zu begrenzen.
Dieses kontinuierliche IT Security Monitoring muss drei Bereiche umfassen: Eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg, eine kontinuierliche Schwachstellenanalyse von innen und außen und eine laufende Analyse und Korrelation von Logs der einzelnen Systeme.
Die Überwachung der Einfallstore für Schadsoftware und der Kommunikationskanäle
Die aktuellen Ransomware-Angriffe haben umfassende Betriebsstörungen verursacht. Dies hätte durch den Einsatz von „Advanced Threat Detection for Web and Email“, einem modernen IT-Risikoerkennungsmodul, vollständig verhindert werden können. Das Modul analysiert automatisiert in „abgeschotteten“ Umgebungen („Sandboxen“) die Attachments aller eingehenden E-Mails und darüber hinaus alle Downloads der Mitarbeiter aus dem Internet. Wird eine Schadsoftware entdeckt, wird das Email aufgehalten oder der Web-Download gestoppt. Damit ist auch der Ransomware-Angriff erfolgreich abgewehrt.
Um darüber hinaus die weiteren möglichen Einfallstore für Angreifer in den Griff zu bekommen, ist ein umfangreiches Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien notwendig. Will ein Angreifer z.B. Daten aus dem Krankenhaus zu externen Zielen im Internet übertragen, wird das von Intrusion Detection Systemen (IDS) und mit der Unterstützung durch Experten, die diese Systeme richtig konfigurieren, an aktuelle Gegebenheiten anpassen und deren Erkenntnisse analysieren, aufgedeckt.
Die kontinuierliche Schwachstellenanalyse
Jeden Tag werden neue Sicherheitslücken bekannt oder Schwachstellen durch Angreifer entdeckt aber noch nicht publik gemacht. Das kontinuierliche Aufspüren dieser Probleme ist Voraussetzung, um im Falle von Krankenhäusern ganz besonders auch Schwachstellen von medizinischen Geräten zu erkennen. Wie am Beispiel der Infusionspumpen der Firma Hospira zu sehen war, wäre hier sogar eine Veränderung der Dosierung über das WLAN möglich gewesen. IT-sicherheitsseitige Untersuchungen von medizinischen Geräten zeigen, dass oft schwache oder Standardpasswörter verwendet werden, Fehlkonfigurationen bestehen oder Schwachstellen im Programmcode vorliegen. Die kontinuierliche Schwachstellenanalyse und konsequente Behebung schließt viele solcher Einfallstore für Angreifer und verkleinert so ihren Aktionsspielraum.
Die Log-Datenanalyse und Korrelation
Suchen Angreifer Wege, um die IT einer Institution zu unterbrechen oder den Betrieb zu stören, halten sie sich über einen längeren Zeitraum möglichst unauffällig im Netzwerk auf. Logins von einem Benutzer auf mehreren Systemen von unterschiedlichen IPs zur gleichen Zeit können auf aktive Angreifer hinweisen. Alle Logs von Servern, Netzwerkgeräten, Applikationen aber eben auch die von medizinischen Geräten müssen daher zentral analysiert und mit den Erkenntnissen aus den Intrusion Detection Systemen (IDS) korreliert werden.
Fazit: IT-Sicherheit in Krankenhäusern ist eine herausfordernde aber lösbare Aufgabe
Ransomware wird aufgrund ständiger Mutationen von Anti-Viren-Programmen meist nicht erkannt. Auch andere Einfallstore für Angreifer sind nicht mehr mit dem Aufbau eines „Schutzwalls“ aus herkömmlicher Sicherheitssoftware zu schließen. Vielmehr stellen ein proaktives Aufspüren von Sicherheitslücken sowie deren schnelle Behebung die einzige Möglichkeit dar, um Betriebsbeeinträchtigungen zu verhindern. Die aktuellen Angriffsfälle auf Krankenhäuser hätten durch den Einsatz eines sogenannten IT-Risikoerkennungsmoduls „Advanced Threat Detection for Web and Email“ vollständig verhindert werden können.
Ein beschränkter finanzieller Spielraum in Krankenhäusern macht die Anschaffungen der für ein effektives IT Security Monitoring benötigten Hard- und Software und die laufenden Investitionen in die notwendigen hochspezialisierten IT-Security Experten in der Regel unmöglich.
Ein wesentlich ressourcenschonender Ansatz ist hingegen der Einsatz von Managed Security Services. Hier wird die automatisierte Erkennung von IT-Sicherheitsproblemen und -risiken bereits mit der Analyse durch Experten kombiniert. Die IT-Sicherheitsverantwortlichen in Krankenhäusern erhalten so die Informationen, die sie für den Schutz vor tatsächlichen Risiken für Ihre IT benötigen, auf Knopfdruck. IT-Sicherheit in einem der kritischsten aller kritischen Infrastrukturbereiche eines Landes wird so zu einer lösbaren Aufgabe.
Den Expertenkommentar verfasste Dr. Christian Polster, Chief Strategy Officer bei RadarServices.
RadarServices ist Europas führender Anbieter für kontinuierliches und vorausschauendes IT Security Monitoring und IT-Risk Management als Managed Services. Die Services kombinieren die automatisierte Erkennung von IT-Sicherheitsproblemen und -risiken mit der Analyse durch Experten. Daten verlassen dabei niemals die Kundenorganisation. Für die Einrichtung, Konfiguration und den täglichen Betrieb sind keine zusätzlichen personellen oder finanziellen Ressourcen notwendig.
RadarServices hat seinen Hauptsitz in Österreich und Repräsentanzen in Deutschland, Polen, Russland und den Vereinigten Arabischen Emiraten. Zu den Kunden zählen gelistete und nicht-gelistete Unternehmen unter anderem aus den Branchen kritische Infrastrukturen, Finanzdienstleistungen, Industrie und öffentliche Institutionen.