Tipps: Wie Krankenhäuser sich vor digitalen Viren schützen können

Illustration: Absmeier, Darkostojanovic, Tumisu

Krankenhäuser sind für Ransomware nicht unbedingt anfälliger als andere Institutionen, doch für sie kann ein Angriff weitreichende Folgen haben, wie etwa den Verlust von Patientenakten und die Verzögerung oder Absage von Behandlungen. Da Krankenhäuser lebensrettende Operationen durchführen und über sensible Patienteninformationen verfügen, neigen sie stärker dazu, das geforderte Lösegeld zu zahlen, als andere Organisationen. Das macht sie zu attraktiven Zielen für Cyberkriminelle.

Aussagen von Hackern, dass sie während der Pandemie Krankenhäuser in Ruhe lassen werden, erwecken absurderweise den Anschein, als seien Cyberkriminelle philanthropisch motiviert. Doch wahrscheinlich wollen sie nur vermeiden, ins Visier der Antivirenhersteller zu geraten, die zurzeit besonders wachsam sind, was Angriffe auf Notfalldienste angeht.

Es gibt Maßnahmen, die Krankenhäuser ergreifen können, um ihre Abwehr zu stärken und ihre Systeme, Kundendaten und Operationen zu schützen. 

 

So können Krankenhäuser sich vor Ransomware-Angriffen schützen:

  1. Software auf dem neuesten Stand halten

Im Mai 2017 griff die Ransomware WannaCry Millionen von Computern auf der ganzen Welt an und infizierte erfolgreich Geräte, indem sie eine Schwachstelle missbrauchte, für die Microsoft zwei Monate zuvor einen Patch veröffentlicht hatte. Millionen von Menschen und Unternehmen hatten das Update ignoriert, das sie vor einer WannaCry-Infektion geschützt hätte. Auch Krankenhäuser waren von WannaCry betroffen.

Es ist absolut entscheidend, die Software und alle Betriebssysteme jederzeit auf dem neuesten Stand zu halten. Microsoft gibt kontinuierlich Notfall-Patches heraus. Kürzlich veröffentlichte das Unternehmen einen Notfall-Patch für eine kritische Windows-10-Schwachstelle mit dem Namen »Eternal Darkness«, die von einem Wurm ausgenutzt werden könnte. Sie betrifft das SMB-Protokoll, das für den Austausch von Dateien verwendet wird – dasselbe Protokoll, das vor drei Jahren zur Verbreitung von WannaCry genutzt wurde. Microsoft appelliert an die Anwender, das Update sofort einzuspielen, und gerade Einrichtungen im Gesundheitswesen sollten diesen Aufruf ernst nehmen.

  1. Zugriff einschränken

Für Krankenhäuser ist es empfehlenswert, alle Dienste einzustellen, die direkt über das Internet erreichbar sind. IT-Administratoren sollten in Betracht ziehen, eine strikte Whitelist für ausführbare Dateien aufzusetzen, sodass nur bekannte und vertrauenswürdige Anwendungen auf Krankenhauscomputern ausgeführt werden können.

  1. Auf digitale Hygiene achten

Krankenhäuser schulen ihr Personal zur Verbesserung der Hygiene – genauso sollten die Mitarbeiter regelmäßig Trainings und Informationen zur digitalen Hygiene erhalten. Die Belegschaft sollte über die aktuellen Angriffsarten und Betrugsmaschen von Cyberkriminellen aufgeklärt werden. Die E-Mail ist nach wie vor einer der beliebtesten Angriffsvektoren von Cyberkriminellen. Mitarbeiter müssen sich vor E-Mails von unbekannten Absendern in Acht nehmen und dürfen keinesfalls auf Links klicken oder Anhänge herunterladen, wenn sie nicht absolut sicher sind, dass diese seriös sind. 

  1. Regelmäßig alle wichtigen Daten sichern

Wenn Dateien gesichert werden, verliert die Lösegeldforderung viel von ihrer Macht, denn die Systeme und Daten können wiederhergestellt werden. Wichtige Dokumente, einschließlich Patientenakten, sollten regelmäßig gesichert werden, damit Krankenhäuser immer eine saubere Version ihrer Dateien haben, falls diese von Hackern verschlüsselt werden. Am besten ist es, die Daten sowohl in der Cloud als auch physisch auf einem Datenträger zu sichern. Darüber hinaus ist ein einzelnes Image mit allen Standardeinstellungen nützlich, wenn ein PC auf einen früheren Zeitpunkt vor der Infektion zurückgesetzt werden muss.

 

Maßnahmen bei einer Ransomware-Infektion

Trotz dieser Vorkehrungen ist es leider immer möglich, Opfer eines Angriffs zu werden. Daher ist es wichtig zu wissen, was in einem solchen Fall zu tun ist:

Schritt 1: Sofort die infizierten Geräte isolieren

Bei einem Ransomware-Angriff gilt es zuerst, alle infizierten kabelgebundenen und kabellosen Computer und Geräte im Netzwerk ausfindig zu machen und vom Netzwerk zu trennen. So lässt sich verhindern, dass sich die Malware ausbreitet und weitere Computer, Tablets oder Smartphones befällt.

Es wird empfohlen, wirklich alles, was mit den Geräten im Netzwerk verbunden ist, zu trennen, einschließlich der externen Speicher.

Administratoren sollten prüfen, ob eines der anderen Geräte mit dem infizierten PC verbunden war. In dem Fall muss es ebenfalls auf Nachrichten mit Lösegeldforderungen hin untersucht werden.

Schritt 2: Protokolle sammeln für die forensische Analyse

Sobald das betroffene Gerät isoliert ist und der Netzwerkumgebung keinen weiteren Schaden zufügen kann, sollten Administratoren ein Bild des Live-Systems für die forensische Analyse erstellen. Das ist eine Momentaufnahme aller Protokolle und Ereignisse, die dem Einsatzteam hilft, herauszufinden, woher der Angriff kam und wie er ablief.

Schritt 3: Identifizieren, welche Ransomware vorliegt

Als nächstes sollten die Administratoren herausfinden, mit welcher Ransomware-Familie sie es zu tun haben. Dieses Wissen kann ihnen helfen, eine Lösung zu finden. Um die Ransomware auf einem Gerät zu bestimmen, empfehlen wir das Tool Cypto Sherrif von No More Ransom’s. Es wird vom europäischen Cybercrime Center von Europol zur Verfügung gestellt und überprüft die verschlüsselten Dateien sowie die Lösegeldforderung. Wenn der Crypto-Sheriff die Verschlüsselung erkennt und eine Lösung hat, gibt es einen Link zum Herunterladen des benötigten Entschlüsselungsprogramms. Es empfiehlt sich auch, einschlägige Foren für PC-Fehlerbehebung und technischen Support zu durchforsten, um Informationen über die Ransomware-Variante zu finden, die entfernt werden muss. Selbst wenn sie neu ist, kann es Threads geben, die bei der Lösung helfen oder in denen die Forumsmitglieder gemeinsam auf eine Lösung hinarbeiten.

Einige Ransomware-Arten geben Dateien andere Dateierweiterungen (etwa: .exe, .docx, .dll), nachdem sie sie verschlüsselt haben. Administratoren können in Foren nach den Namen der Erweiterungen suchen, um Diskussionen zu der Ransomware zu finden, die sie entfernen müssen.

Diese Foren sind nützliche Informationsquellen:

Schritt 4: Ransomware entfernen

Es ist wichtig, die Malware, die einen PC befallen hat, loszuwerden. Es gibt mehrere Optionen, Ransomware von einem Gerät mit Windows 10, 8 und 7 zu entfernen:

  1. Prüfen Sie, ob die Ransomware sich selbst gelöscht hat (was häufig der Fall ist)
  2. Entfernen Sie es mit einem Antivirenprogramm
  3. Entfernen Sie das Schadprogramm manuell
  4. Das System mit einem Image neu installieren

 

Michal Salat, Threat Intelligence Director bei Avast

Auf der Webseite stellt Avast Nutzern und Administratoren eine detaillierte Schritt-für-Schritt-Anleitung zur Verfügung: https://www.avast.com/c-how-to-remove-ransomware-pc

 

175 Artikel zu „Krankenhaus Sicherheit“

Cybersicherheit 2020: Vier konkrete Bedrohungsszenarien

Jedes Jahr erstellen die Experten von Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand stellt der Hersteller dabei selbst schwache Angriffssignale aus dem Vorjahr, die jüngsten Branchenanalysen und die Meinungen seiner Sicherheitsspezialisten. Daraus resultiert 2020 ein Ausblick mit vier Hypothesen und Szenarien, die alles andere als realitätsfremd sind.…

Systemsicherheit: 3 Phasen der Malware-Abwehr

Die Welt der Malware ist ein weites Feld und es erweitert sich stetig. Ransomware ist in der Regel eine der am häufigsten diskutierten Formen von Malware. Nicht zuletzt, weil es sich um eine Art von Malware handelt, die sich selbst bemerkbar macht. Die meisten anderen Schadprogramme setzen sehr viel Aufwand dahinter, ihre Erkennung aktiv zu…

Cybersicherheit und Risikomanagement – Prognosen für 2020

Der ständige, voranschreitende technische Wandel, der vor allem von der digitalen Transformation vorangetrieben wird, bringt zwar viele Vorteile und Innovationen für den Menschen mit sich, jedoch entstehen digitale Risiken, die vor ein paar Jahren noch in weiter Ferne, wenn nicht sogar unbekannt waren. Gerade in Zeiten des Wandels lohnt es sich, den Blick nach vorne…

Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen

Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…

Sichtbarkeit, Erkennung und Reaktion: SIEM-freie Architekturen für vereinfachte Cybersicherheit

Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen. Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an »Alarmmeldungen« in den Unternehmensnetzen steigt, als…

Neue Verfahren für die IT-Sicherheit: Mit Simulationen so agil werden wie die Cyberangreifer selbst

Cyberangriffe, Ransomware, Malware oder Phishing-Attacken: die Liste potenzieller Bedrohungen für die IT-Sicherheit eines Unternehmens ist lang und schier unerschöpflich. Obwohl die Angriffsmethoden immer komplexer werden und sich stetig weiterentwickeln, nutzen die meisten Unternehmen weiterhin reaktive, technologiebasierte Lösungen zum Schutz ihrer IT-Infrastruktur. Doch Endpoint-Security und Firewalls allein reichen als Schutz längst nicht mehr aus. Kontinuierliche Simulationen…

Mit UEBA die Sicherheit der IT erhöhen

Der Großteil aller Cyberattacken wird von gängigen Sicherheitslösungen nicht erkannt. Die Analyse des Benutzer- und Entity-Verhaltens wird bei der Entwicklung von Sicherheitslösungen immer wichtiger, um moderne Angriffe abwehren zu können. Das Verhältnis von erfolgreichen und nicht erfolgreichen Cyberangriffen auf Unternehmen schätzen Experten auf 80 zu 20 ein. Und nein, die Zahlen sind keinesfalls verdreht: Experten…

IT-Sicherheit: Unternehmen planen Budgetoffensive gegen digitale Sorglosigkeit

Jedes vierte Unternehmen in Deutschland kämpft mit dem Problem knapp bemessener Budgets für IT-Sicherheit. Bedarf besteht bei der Sensibilisierung der Mitarbeiter und bei der Rekrutierung von IT-Sicherheitsspezialisten. Das soll sich bis 2021 ändern. Mehr als die Hälfte der Entscheider (56 Prozent) erwarten für die kommenden drei Jahre eine Steigerung des Budgets. Jeder vierte Manager geht…

Malware, Viren und Trojaner – (un)sicherer IT-Betrieb im Krankenhaus

Karsten Glied* äußert sich zum Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck, zu seinen Folgen und zum Aufbau einer sicheren IT:   »Die aktuelle Meldung über einen Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck reiht sich ein in die lange Liste der kritischen IT-Vorfälle dieses Jahres. Reichte es früher, Virenscanner, Firewall und das Betriebssystem upzudaten, muss heute in komplexen…

Angriffe auf Krankenhäuser über E-Mails: Das Problem ist Teil der Lösung

Knapp eineinhalb Wochen musste das Klinikum Fürstenfeldbruck ohne seine 450 Computer auskommen und war auch nicht per E-Mail, sondern nur noch telefonisch erreichbar. Ursache ist wohl ein E-Mail-Trojaner, der über einen Anhang ins System eingedrungen ist. Inzwischen ermittelt die Zentralstelle Cybercrime Bayern, und das Klinikum hat alle Bankkonten sperren lassen. Wie in anderen bekannt gewordenen…

Fast die Hälfte aller Unternehmen haben keine Kontrolle über Passwortsicherheit

Globaler Passwortsicherheitsreport: Spitzenposition für Deutschland: Im Ländervergleich hat die Bundesrepublik den höchsten durchschnittlichen Sicherheitswert sowie den höchsten durchschnittlichen Passwortqualitätswert.   Der Bericht zur »Globalen Passwortsicherheitsreport 2018« von LastPass und LogMeIn untersuchte das reale Passwortverhalten am Arbeitsplatz [1]. Dafür wurden anonymisierte Daten von über 43.000 Unternehmen aller Größen, Branchen und Regionen, die LastPass als Enterprise-Passwortmanager nutzen,…

Identity Management für Telemedizin: Elektronische Sicherheit zwingend notwendig

  Geht es um das Thema Telemedizin und Consumer Health scheiden sich oftmals die Geister. Gegner der neuen Techniken verteidigen die alten, teilweise noch aus den 1980er und 1990er Jahren stammenden Technologien, während die Befürworter von Neuerungen auf die zahlreichen Vorteile hinweisen. Dabei besagt sogar der Koalitionsvertrag zwischen SPD und Union: »Die Anwendung und Abrechenbarkeit…

Cyberattacken der 5. Generation – Sicherheitsinfrastruktur vieler Unternehmen ist veraltet

Herkömmliche Sicherheitstechnologien entdecken Attacken erst, nachdem diese bereits Schaden angerichtet haben. 97 Prozent der Unternehmen und Organisationen sind überzeugt, auf Cyberangriffe der Gen V nicht vorbereitet zu sein. Mit welchen Herausforderungen haben die IT-Sicherheits-experten derzeit weltweit zu kämpfen?

Das Krankenhaus der Zukunft: Im Jahr 2030 wird das Gesundheitswesen digital und vernetzt sein

Neuer Bericht zur Automatisierung, Robotik und Selbstdiagnose für Patienten und das Gesundheitspersonal sowie steigende Sicherheitsrisiken. Innerhalb von zehn Jahren könnte der medizinische Check-up mehr Interaktion mit Sensoren, Kameras und Roboter-Scannern beinhalten als mit menschlichen Ärzten und Krankenschwestern, da Gesundheitsorganisationen Dienstleistungen rund um das Internet der Dinge (IoT) neu aufbauen, so ein neuer Bericht von Aruba,…