Malware, Viren und Trojaner – (un)sicherer IT-Betrieb im Krankenhaus

Karsten Glied* äußert sich zum Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck, zu seinen Folgen und zum Aufbau einer sicheren IT:

 

»Die aktuelle Meldung über einen Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck reiht sich ein in die lange Liste der kritischen IT-Vorfälle dieses Jahres. Reichte es früher, Virenscanner, Firewall und das Betriebssystem upzudaten, muss heute in komplexen Szenarien gedacht und gehandelt werden. Schon lange hat der klassische Virus auf Diskette ausgedient.

Heute verwenden Angreifer für ihre Attacken E-Mails in perfektem Deutsch mit passender Ansprache und plausiblen Inhalten. Entweder entschlüsselt sich der eigentliche Virus beim Öffnen der Anhänge oder er liegt in einem passwortgeschützten Archiv bei. Beides ist für klassische Schutzsysteme oder Anwender kaum zu erkennen.

Im aktuellen Fall in Fürstenfeldbruck scheint der Befall nochmal glimpflich verlaufen zu sein. Die Klinik konnte in einem Notbetrieb ohne IT weitergeführt werden und andere Notaufnahmen nahmen Patienten aus der Region auf. Im vergangenen Jahr hatten 16 Krankenhäuser in England weniger Glück. Der Schädling hat dort erst die Systeme verschlüsselt, nachdem er sich unbemerkt in der gesamten IT ausgebreitet hatte.

Die Folge: monatelange Ausfälle, immens hohe Kosten und ein kaum bezifferbarer Imageschaden. Und das, obwohl die Techniken zur Abwehr der aktuellen Bedrohungslage längst zur Verfügung stehen. Zum Einsatz kommen sie aber nur zögerlich, denn vielen IT-Abteilungen fehlt das entsprechende Budget für moderne SPAM-Firewalls mit Sandboxing-Verfahren.

 

Sicherheitslösungen als Managed Service

Heutzutage bereits Standard: Autos, die überwachen, ob der Fahrer eine Pause machen sollte, oder in die Lenkung eingreifen – Firewall-Systeme, die Anhänge in sicherer Umgebung (Sandbox) auf ihre Auswirkungen testen, bevor sie zugestellt werden, sind hingegen in der Sozial- und Gesundheitswirtschaft eine Seltenheit. Das liegt vor allem daran, dass der Aufbau des für diese Systeme nötigen eigenen Know-hows zeit- und kostenintensiv ist.

Als pragmatische Lösung bietet es sich an, Sicherheitslösungen als Managed Service zu beziehen. Dieses Vorgehen schont einerseits das Budget und bietet andererseits Zugang zu aktuellem Fachwissen, neuen Konzepten und Strategien. Im Dreiklang eigene IT, Sicherheitsprovider und Mitarbeitervertretung lässt sich ein effizientes und finanzierbares Sicherheitskonzept abstimmen und ausrollen.

Der Betrieb erfolgt durch Spezialisten, die die Systeme durch engmaschig automatisierte Prozesse überwachen. So können Anwender die Risiken minimieren und die Ausbrüche proaktiv verhindern. Den besonderen Anforderungen der DSGVO oder IT-Sicherheitsrichtlinien kann auf diese Weise optimal entsprochen werden.

Warum also setzen sich moderne IT-Sicherheitslösungen nicht durch? Vor allem liegt es an der fehlenden Bereitschaft in scheinbar ›unsichtbare‹ Sicherheitsmaßnahmen zu investieren. Obwohl verglichen mit Investitionen in vorbeugenden Brandschutz oder Haftpflichtversicherungen diese bei vergleichbarem Risiko verhältnismäßig gering ausfallen.

IT-Abteilungen müssen umfassend befähigt werden, damit sie adäquat auf die neuen Bedrohungen reagieren können. Denn Investitionen in diesem Bereich zahlen sich über kurz oder lang immer aus. Digitale Sicherheit benötigt dringend einen festen Platz auf der Agenda – besonders in Einrichtungen, die mit sensiblen Daten arbeiten.«

 

* Karsten Glied ist Geschäftsführer der Techniklotsen GmbH


 

Angriffe auf Krankenhäuser über E-Mails: Das Problem ist Teil der Lösung

Illustration: Absmeier, 1662222

Knapp eineinhalb Wochen musste das Klinikum Fürstenfeldbruck ohne seine 450 Computer auskommen und war auch nicht per E-Mail, sondern nur noch telefonisch erreichbar. Ursache ist wohl ein E-Mail-Trojaner, der über einen Anhang ins System eingedrungen ist. Inzwischen ermittelt die Zentralstelle Cybercrime Bayern, und das Klinikum hat alle Bankkonten sperren lassen. Wie in anderen bekannt gewordenen Fällen auch spielen E-Mails eine zentrale Rolle, sie sind nach wie vor das Haupteinfallstor für Schadsoftware aller Art.

 

Das ist Teil des Problems und kann Teil der Lösung sein – wenn Einrichtungen, Unternehmen und Behörden die Art ihrer Kommunikation ändern. Der Vorfall zeigt, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

 

Berichten zufolge fiel der erste Rechner des Krankenhauses aus, vermutlich nachdem ein E-Mail-Anhang mit einer darin versteckten Schadsoftware geöffnet wurde, danach hätten immer mehr Abteilungen Probleme gemeldet. Zwar ist die Versorgung der Patienten nach Angaben der Klinikleitung gewährleistet, allerdings hatte sich das einzige Krankenhaus in dem westlich von München gelegenen Landkreis von der Rettungsleitstelle abgemeldet, damit Ambulanzen nur noch lebensgefährlich verletzte Menschen dorthin brachten.

 

Horrorszenario: Komplettausfall einer Klinik-IT

Es ist zu vermuten, dass dahinter eine Infektion mit der Schadsoftware Emotet steckt: Die auf Passwort-Diebstahl und Onlinebanking-Betrug spezialisierte Malware wird derzeit verstärkt in Rechnungen per E-Mail verbreitet. Egal ob gefälschte Rechnungen oder Bewerbungen – die Kriminellen versuchen immer, den Empfänger einer E-Mail dazu zu bringen, einen Dateianhang zu öffnen und auszuführen oder Links zu infizierten Webseiten anzuklicken.

 

Überhaupt spielt E-Mail hier eine zentrale Rolle: Sie hat sich speziell im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar – und andererseits seit langem ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen. Wie auch das aktuelle Beispiel zeigt, lauern die Gefahren in der Art, wie Mitarbeiter kommunizieren. Daher kommt es für IT-Verantwortliche darauf an, die Angriffsfläche zu verringern.

 

KRITIS: Ein kritischer Blick auf Kommunikationsprozesse ist nötig

Bisheriger »Höhepunkt« ähnlicher Fälle war die »WannaCry«-Attacke im Mai 2017, bei der mehr als 300.000 Rechner in rund 150 Ländern infiziert worden waren. Getroffen hatte es Unternehmen in der Logistik, der Telekommunikation und dem Gesundheitswesen: In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen. Ein Jahr vorher machte das Lukas-Krankenhaus im nordrhein-westfälischen Neuss Schlagzeilen, als ein Erpressungstrojaner alle IT-Systeme lahmlegte. Drastischer hätte uns die Verwundbarkeit der digitalen Infrastruktur wohl kaum vor Augen geführt werden können. Wie eine Studie der Unternehmensberatung Roland Berger ergab, wurden knapp zwei Drittel der deutschen Krankenhäuser (64 Prozent) schon einmal Opfer eines Hacker-Angriffs [1]. Es ist auffällig, dass sehr oft Systeme in sogenannten »kritischen Infrastrukturen (KRITIS)« infiziert wurden [2]. Dazu zählen die großen Krankenhäuser, die in schwerwiegenden Fällen der Meldepflicht unterliegen.

 

Doch gerade hier tun sich die Betroffenen schwer, die immer wieder erhobenen Forderungen nach dem sofortigen Aktualisieren von Software umzusetzen. Vielmehr ist ein Perspektivenwechsel nötig – weg von der IT und hin zu den in vielen Unternehmen und Behörden vorherrschenden Kommunikationsprozessen.

 

Wie Einrichtungen, Behörden und Unternehmen die Angriffsfläche verringern können

Der aktuelle Vorfall zeigt erneut, dass die Sensibilisierung von Mitarbeitern für das Thema Cybersicherheit in Form von regelmäßigen Schulungen unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

 

Neben Informationen, die Angreifer aus den sozialen Medien ziehen, sind auch jene aus unverschlüsselten E-Mails ein Risiko. Und selbst bei verschlüsselten E-Mails (S/MIME und PGP) ist noch im Klartext ersichtlich, wer mit wem über welches Thema kommuniziert – über die Betreffzeile. Dies kann ausreichen, um einem der beiden Kommunikationsteilnehmer weitere Informationen zu entlocken, was für die Vorbereitung eines Social-Engineering-Angriffs genügen kann.

 

Hier bieten spezielle Softwarelösungen Schutz, mit deren Hilfe IT-Verantwortliche die Angriffsfläche von E-Mails verringern und so Kriminellen die Arbeit erheblich erschweren können. Eine spezielle Authentifizierung sowie das verschlüsselte Übertragen der Inhalte machen dann das Mitlesen von E-Mail-Korrespondenz unmöglich. Wenn auch die Betreffzeile verschlüsselt ist, können Angreifer nicht erkennen, wer mit wem worüber spricht und daraus Rückschlüsse für Social-Engineering-Angriffe ziehen. Zusätzlich wird es so äußerst schwer, Schadsoftware einzuschleusen – eine Man-in-the-Middle-Attacke auf dem Weg einer Nachricht von A nach B, bei der die Zahlungsinformationen des eigentlichen Empfängers durch die der Kriminellen ersetzt werden, ist nahezu unmöglich.

Matthias Kess, CTO, befine Solutions AG

 

Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.

 

[1] https://www.rolandberger.com/de/Publications/Krankenhausstudie-2017.html[2] https://de.wikipedia.org/wiki/Kritische_Infrastrukturen


 

 

WannaCry-Cyberattacke gegen Krankenhäuser – wie können sich kritische Organisationen gegen Online-Erpresser schützen

Modernes Backup-Management spielt eine entscheidende Rolle, um die Schäden durch Ransomware und andere Cyberangriffe zu minimieren.

Rubrik weist immer wieder darauf hin, wie wichtig eine zeitgemäße Datensicherung für Organisationen und kritische Infrastrukturen ist, vor allem auch im Gesundheitswesen. Vom jüngsten spektakulären Ransomware-Angriff am vergangenen Freitag waren an die 200.000 Computer in knapp 150 Ländern betroffen, darunter mehrere britische Krankenhäuser. Die zuständige Behörde NHS (National Health Service) war zuvor bereits das Ziel von Ransomware. Gibt es eine Sicherheitskrise im Gesundheitswesen, abgesehen von chronisch knappen Haushalten und Sparzwang?

Weltweit häufen sich ähnliche Fälle im Gesundheitswesen. Im vorigen Jahr waren auch zwei deutsche Krankenhäuser, in Nordrhein-Westfalen, betroffen. In den USA, verschlüsselten die Cyberangreifer im Februar die Daten einer Klinik in Los Angeles, die ein Lösegeld berappen und zudem einen einwöchigen Betriebsausfall hinnehmen musste.

Ransomware-Angriffe sind oft erfolgreich, auch wenn Firewalls und andere Sicherheitsmaßnahmen eine Kommunikation zurück zum Angreifer verhindern. Im jüngsten Fall von »WannaCry« blieben viele Schutzmechanismen aber wirkungslos, zumal viele Betroffene den zuvor gelieferten Patch von Microsoft nicht eingespielt hatten.

Warum ist das Gesundheitswesen ein besonders attraktives Ziel für die Cyberkriminellen?

»Krankenhäuser sind auf einen rund um die Uhr verfügbaren Zugang zu ihren Daten angewiesen. Patientendatensätze, Bilddaten und andere klinische Daten werden heute oft ausschließlich in digitaler Form abgelegt. Hinzu kommen automatisierte Systeme, etwa für die Medikamentengabe, die überlebenskritisch sein können«, so Roland Stritt, Director Channels EMEA bei Rubrik. »Kriminelle haben diese immense Bedeutung von Daten und Geräten erkannt und nehmen immer häufiger Kliniken ins Visier. Diese machen es den Angreifern oft allzu leicht – aufgrund veralteter Betriebssysteme mit bekannten Schwachstellen sowie vieler Schlupflöcher, wo klassische IT und medizinische Geräte verknüpft sind. Patientendaten werden zwischen verschiedenen Abteilungen und Standorten übertragen, so dass sich eine Infektion schnell ausbreiten kann.«

Was kann die Krankenhaus-IT besser machen?

Wie bei allen Cyberbedrohungen, kann das Risiko durch eine »Defense-in-depth«-Strategie reduziert werden. Indem die Software auf aktuellem Stand gehalten wird, sinkt zumindest die Gefahr einer Infektion durch die Ausnutzung bekannter Schwachstellen. Durch die Nutzung von Virtualisierung oder Containern können Software-Updates ohne Betriebsunterbrechungen durchgeführt werden. Idealerweise sollten Systeme mit Zugang zu kritischen Daten nur zu diesem Zweck verwendet werden, was sich mittels einer entsprechenden Sicherheitsrichtlinie durchsetzen lässt. Generell geht es darum, die Angriffsfläche zu reduzieren.

»Dennoch gibt es keinen vollständigen Schutz vor Ransomware. Das Risiko lässt sich aber erheblich minimieren, indem Sicherheit und Datensicherung integriert werden. Es sollten nicht nur Angriffe vereitelt werden, sondern der Zugang zu den Daten muss erschwert werden, selbst wenn ein Angriff erfolgreich ist«, so Roland Stritt. »Für den Fall einer Kompromittierung gilt es zuverlässige und effektive Sicherungen der kritischen Daten bereitzuhalten. Mit einer effektiven Backup-Lösung kann Ransomware im Idealfall auf kleinere Unannehmlichkeiten mit minimaler Wirkung auf die Patientenversorgung reduziert werden.«

 

Was eine effektive Backup-Lösung bieten muss

Was muss eine Backup-Lösung sicherstellen, damit die Daten effektiv geschützt sind? Eine effektive Backup-Lösung ist zuverlässig, widerstandsfähig, sicher und ermöglicht die nahezu sofortige Wiederherstellung der Daten.

  1. Zuverlässig bedeutet, dass Backups im vorgeschriebenen Intervall durchgeführt werden, ohne Ausnahme. Im Falle einer Ransomware-Infektion stellt dieses Intervall die maximale Zeitdauer dar, während der Änderungen verloren gehen können. Zum Beispiel sollte eine zuverlässige Lösung, die alle vier Stunden eine Sicherung durchführt, immer eine Kopie der geschützten Daten vorhalten, die nicht älter als vier Stunden alt ist.
  2. Eine widerstandsfähige Lösung übersteht technische Probleme wie Stromausfall, mechanische Festplattenfehler oder sogar den Ausfall kritischer Komponenten wie CPU oder Motherboard.
  3. Eine sichere Lösung stellt sowohl die Privatsphäre als auch die Integrität der geschützten Daten sicher. Nur autorisierte Benutzer sollten in der Lage sein, den Inhalt einer Sicherung wiederherzustellen, und die Lösung sollte verhindern, dass eine Sicherung jemals geändert wird. Ransomware darf niemals in der Lage sein, die Backups dieses Systems zu löschen oder zu verschlüsseln. In einer effektiven Backup-Architektur sollte ein System, das gesichert wird, niemals die Möglichkeit haben, eigene Backups zu entfernen.
  4. Schließlich muss eine effektive Backup-Lösung einen nahezu sofortigen Zugriff auf die gesicherten Daten bereitstellen, um Ausfallzeiten im Falle eines Angriffs oder eines anderen Problems zu minimieren. Jede Lösung, die auf den kompletten Inhalt eines Backups angewiesen ist, um zuerst in einem entfernten System wiederhergestellt zu werden, ist nicht effektiv. Insbesondere, wenn es um Patientendaten geht, müssen die Unternehmen in der Lage sein, einen Live-Mount durchzuführen und das Backup unmittelbar nutzbar zu machen, wenn nötig.

 

Modernisierung der Backup-Technologie überfällig

Es muss sich so bald wie möglich einiges daran ändern, wie Backups üblicherweise verwaltet und geschützt werden. In den letzten zehn Jahren fehlte es an Innovationen, während das Datenwachstum exponentiell war. Herkömmliche Architekturen sind viel zu komplex. Die Verwendung mehrerer gestapelter Lösungen führt zu einem fragmentierten Management. Darüber hinaus sind die meisten Lösungen nicht für schnelle Datenwiederherstellung konzipiert. Oft kann die Wiederherstellung größerer Datenmengen mehrere Tage oder gar Wochen dauern. Eine moderne Backup-Umgebung muss diese Probleme adressieren sowie die Datensicherheit gewährleisten, aber nicht auf Kosten der Geschwindigkeit und Effizienz des Datenmanagements.

»Wir haben es uns zum Ziel gesetzt, Organisationen mit den notwendigen Tools auszurüsten, um unvorhergesehene Datenverlust- oder Ransomware-Szenarien mit geringstmöglichen Auswirkungen zu überstehen. Konvergierte Data Management Appliances bieten automatisiertes Backup, sofortige Wiederherstellung, unbegrenzte Replikation und Archivierung mit unendlicher Skalierbarkeit«, so Roland Stritt. »Ganz aktuelle Lösungen erhöhen das Sicherheitsniveau und schützen sensible Daten durch selbstverschlüsselnde Laufwerke, zertifiziert nach FIPS 140-2 Level 2.«

Durch eine Backup-Lösung, die Daten verschlüsselt, konsequent zuverlässige Backups aufrechterhält und die notwendige Funktionalität bietet, können Unternehmen – und insbesondere Gesundheitseinrichtungen – sicherstellen, dass ihre Backup-Umgebung denselben hohen Standards entspricht wie ihre primäre Infrastruktur. Im Falle eines Ransomware-Angriffs oder eines durch ein anderes Ereignis bedingten Datenverlusts, ist es zwingend erforderlich, dass die Datenschutzmaßnahmen so effektiv wie möglich sind.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

 

 

Weitere Artikel zu