Navigation überspringen
Der Mix aus verschiedensten Technologien macht Krankenhaus-IT besonders anfällig für Angriffe. - Quelle: sudok1 - 123RF

Veröffentlicht am 05. September 2019

IT-Administrator

Praxiswissen für Admins.

750 Artikel · 15176 Follower

Gesundheitswesen im Visier von Cyberangreifern

Egal ob in großen Kliniken oder kleinen Praxen: Medizinische Geräte entwickeln sich zu smarten Hightech-Produkten. Um maximalen Nutzen aus ihnen zu ziehen, werden sie miteinander vernetzt und häufig ans bestehende Netzwerk angeschlossen. Teil des Netzwerks sind meist aber auch Rechner mit Patientendaten und allerlei anderen Anwendungen. Es liegt auf der Hand, das Cybersicherheit hier extrem sensibel und komplex ist. Der Beitrag nimmt die Branche und den Status Quo in Sachen IT-Sicherheit unter die Lupe.

Das Gesundheitswesen ist seit längerem schon im Visier von Cyberangreifern. Diese haben es auf vertrauliche Daten abgesehen, sie wollen Lösegeld erpressen mittels Ransomware oder es geht ihnen darum, kritische Infrastruktur zu schädigen. Allzu oft haben versierte Hacker dabei leichtes Spiel. Hierzu tragen verschiedene Rahmenbedingungen und Entwicklungen im Gesundheitswesen bei.

Neben möglichen Gefahren von außen ist der Klinikbetrieb gefährdet durch die Fahrlässigkeit und unbeabsichtigtes Fehlverhalten der Mitarbeiter. Ebenso nicht zu vernachlässigen ist die Bedrohung durch Insider, die vorsätzlich Sicherheitslücken ausnutzen und Zugangsprivilegien missbrauchen, um sich zu sensiblen Bereichen Zugang zu verschaffen oder klinische Prozesse zu stören. Erleichtert wird dies Innentätern oft durch eine unzureichende Umsetzung von Sicherheitsrichtlinien. Ein Problem sind mangelhaft partitionierte Netzwerke und unzureichende Zugangskontrollen. Generell fehlt es den Sicherheitsverantwortlichen an Transparenz und Kontrolle, was im Netzwerk gerade geschieht.

Anfälliger Technologiemix aus Neu und Alt

Zunehmende Vernetzung, der Einzug des Internets der Dinge und damit die Verbreitung von smarten medizinischen Geräten im Gesundheitswesen ist einer der aktuellen Trends. Medizinische Geräte oder Maschinen werden oft ohne Sicherheitsüberprüfung mit dem Netzwerk verbunden, und ohne dass die IT-Abteilung informiert wird.

Kliniken installieren technische Neuerungen, um die Qualität der Behandlungen zu verbessern – die damit verbundenen Sicherheitsrisiken werden häufig übersehen. Alles, was jedoch einmal mit dem Internet verbunden ist, gilt als potenziell gefährdet. Vernetzte medizinische Geräte, von WLAN-fähigen Infusionspumpen bis hin zu intelligenten MRT-Systemen, erhöhen die Angriffsfläche als Teil einer Vielzahl von Geräten, die Informationen austauschen. Die Nutzung der Cloud nimmt ebenfalls zu, da dies mehr Flexibilität, Skalierbarkeit und Kosteneffizienz verspricht. Ärzte arbeiten manchmal für mehrere Krankenhäuser. Dadurch kann es sein, dass sie auf interne IT-Systeme über unsichere externe Netzwerke zugreifen.

Einerseits findet Modernisierung statt, andererseits sind Altsysteme mit nicht mehr aktuellen Betriebssystemen im Einsatz. Selbst wenn es sich um neuere Systeme handelt, wird das Patchen mitunter hintenangestellt, da die Infrastruktur durchgehend verfügbar sein muss. Ärzte und Pflegekräfte benötigen Zugang zu elektronischen Patientenakten, medizinischen Bildern und anderen sensiblen Daten. Größere Kliniken dienen auch als Lehranstalten und Forschungseinrichtungen. Dadurch erhalten auch Medizinstudenten und Forscher oft unkontrollierten Zugang zu sensiblen Daten. Alle diese Faktoren tragen dazu bei, dass in Klinikumgebungen eine große Angriffsfläche mit vielen anfälligen Komponenten entsteht – und durch die voranschreitende Vernetzung weiterwächst.

Analyse der Cyberbedrohungen im Gesundheitswesen

Klinikbetreiber erachten die Bedrohungslage eher als abstrakt. In den letzten Jahren häufen sich jedoch kritischere Vorfälle, über die in den Medien berichtet wird. Vectra, spezialisiert auf die Erkennung und Reaktion auf Cyberbedrohungen, verdeutlicht in seinem jüngsten Branchenreport für das Gesundheitswesen die reale Bedrohungslage. Basierend auf Daten aus dem zweiten Halbjahr 2018, die Kunden für die Studie zur Verfügung gestellt haben, ergibt sich ein Einblick in verschiedene Bedrohungsszenarien und entsprechende Verhaltensweisen der Angreifer:

  • IT-Netzwerke im Gesundheitswesen sind durch veraltete Überwachungsmaßnahmen und unsichere Protokollen wie FTP gekennzeichnet. Zudem sind fernverwaltete PCs weit verbreitet und immer mehr medizinische Geräte mit Internetanbindung im Einsatz. Diese Konstellation aus hochgradiger Vernetzung und unzureichender Sicherheit erleichtert es den Angreifern, sich ungehindert seitlich im Netzwerk zu bewegen, um ihre bösartigen Vorhaben auszuführen. Internetangebundene Geräte senden häufig ähnliche Datenmengen an mehrere interne Ziele. Angreifer machen sich dies zunutze, um ihre eigenen Aktivitäten zu verbergen.

  • Die sogenannte "Command-and-Control"-Kommunikation zwischen dem Angriffsserver und dem fremden Netzwerk ist ein typisches Verhalten, durch das sich die Cyberangreifer bemerkbar machen könnten. Hacker richten daher versteckte HTTPS-Tunnel ein, damit der darüber laufende Datenverkehr wie regulärer verschlüsselter Webverkehr aussieht.

  • Die Auskundschaftung von Netzwerken im Gesundheitswesen nimmt zu. Dies bedeutet, dass sich Angreifer im Netzwerk vorarbeiten und auskundschaften, wo es etwas Wertvolles zu holen gibt. Sie machen sich hierbei unter anderem Protokolle zunutze, die im Klinikbetrieb für die Dateifreigabe verwendet werden.

  • Cyberangreifer versuchen immer wieder, Daten aus Kliniknetzwerken zu schleusen. Diese als Datenexfiltration bezeichnete Aktivität erfolgt häufig über versteckte DNS-Tunnel. Ein ähnliches Verhalten kann jedoch auch durch IT- und Sicherheits-Tools verursacht werden, die DNS-Kommunikation verwenden. Auch hier besteht die Herausforderung, bösartige Aktivitäten von regulärem Netzwerkverkehr zu unterscheiden.

  • Die Betreiber von Botnets haben meistens nicht bestimmte Branchen im Visier. Die Angreifer übernehmen hierbei die Kontrolle über fremde Rechner oder IoT-Geräte, um Rechenleistung abzuschöpfen, die sie für die Verbreitung von Malware oder für das "Schürfen" von Kryptowährungen benötigen. Während Botnet-Angriffe branchenübergreifend fortbestehen, war ihre Häufigkeit im Gesundheitswesen zuletzt moderat.

  • Ransomware-Angriffe waren im aktuellen Untersuchungszeitraum nicht so häufig, werden dennoch weiterhin ein Problem im Gesundheitswesen bleiben. Die Herausforderung liegt darin, einen Ransomware-Angriff frühzeitig zu erkennen, bevor Dateien oder der Zugang zum Netzwerk durch Hacker verschlüsselt werden und der klinische Betrieb beeinträchtigt wird.

Die Kombination aus verschiedenen Verhaltensweisen während des gesamten Angriffslebenszyklus und dem Kontext bestimmter Bedrohungsszenarien liefert wertvolle Hinweise auf einen Cyberangriff. Daraus lassen sich Motive wie finanzieller Gewinn, Datenklau und Datenvernichtung ableiten. Erkanntes Verhalten kann aber in einer bestimmten Umgebung auch legitim und normal sein . Sicherheitsanalysten müssen daher erkennen, was erlaubt ist und was nicht erlaubt ist, um zu entscheiden, welche Vorfälle sie näher untersuchen sollten. KI-basierte Bedrohungsanalyse unterstützt die Fachkräfte heute bei diesen Aufgaben. Eine entsprechend ausgestattete Sicherheitsplattform ermöglicht die automatisierte Erkennung und Priorisierung von Cyberangriffen im Netzwerk und beschleunigt die Reaktion auf Vorfälle.

Vielfältige Herausforderungen im stressigen Klinikalltag

KI-Unterstützung für die Cybersicherheit scheint dringend nötig. Im stressigen Klinikalltag ist es eine ständige Herausforderung, die IT-Sicherheit und Durchsetzung von Datenschutzrichtlinien mit Benutzerfreundlichkeit und Effizienz in Einklang zu bringen. Es bleiben viele Sicherheitslücken in den Prozessen offen, und schwache Zugangskontrollen begünstigen die Offenlegung von sensiblen Daten. Klinikbetreiber sind sich oft nicht bewusst, mit welchen Methoden ihre Prozesse gegen Sicherheitsrichtlinien verstoßen oder welche sicherheitskritischen Dienste genutzt werden.

Sicherheitsfachkräfte benötigen mit herkömmlichen Methoden jedoch zu lange, um einen kritischen Vorfall oder Datenverlust aufzudecken. Kliniken müssen folglich dahingehend wachsamer sein, was in ihren Netzwerken gerade passiert, um schneller reagieren zu können. Es ist von entscheidender Bedeutung, den Unterschied zwischen einem laufenden Angriff und dem regulären Netzwerkverkehr zu kennen. Nicht zielführend ist es, erst Wochen, Monate oder gar Jahre später herauszufinden, dass ein Sicherheitsvorfall oder Datenschutzverstoß vorliegt. Die Antwort liegt in der 360-Grad-Sichtbarkeit im Netzwerk, der Echtzeit-Erkennung von Cyberangriffen und der Priorisierung aller erkannten Bedrohungen in Cloud- und Rechenzentrum-Workloads ebenso wie in mobilen Geräten und IoT-Geräten.

Für Klinikbetreiber gibt es derzeit folglich einige Herausforderungen zu bewältigen:

  • Alles, was vernetzt ist, ist ein einfaches Ziel. Deswegen gilt es, insbesondere medizinische IoT-Geräte, die in Klinikumgebungen derzeit zunehmend Verbreitung finden, im Auge zu behalten.

  • Die manuelle, zeitaufwändige Arbeit von Sicherheitsanalysten muss durch umfassende Automatisierung abgelöst werden.

  • Die Eintrittsschwelle für Fachkräfte sollte niedriger sein, sodass allgemein qualifizierte IT-Profis als Sicherheitsanalysten tätig werden können. Auch hierbei ist Automatisierung hilfreich.

  • Durch Sichtbarkeit innerhalb des Netzwerks wird erkennbar, ob das Netzwerk angegriffen wurde und welche Schritte die Angreifer gerade ausführen.

Prädestinierter Anwendungsfall für KI-gestützte Sicherheit

IT-Sicherheitsfachkräfte haben mit herkömmlichen Methoden oft nicht den erforderlichen detaillierten Einblick ins Netzwerk noch die Zeit, um die Fülle an Warnmeldungen abzuarbeiten. Sie müssen daher sinnvoll unterstützt werden, um sich auf die Analyse der besonders kritischen Ereignisse konzentrieren zu können, statt nach der Stecknadel im Heuhaufen zu suchen. Die KI-gestützte, automatisierte Erkennung und Priorisierung von Cyberangriffen erweist sich als überaus effizient und effektiv, um die Bedrohungslage in den Griff zu bekommen. Die für Cyberangriffe überaus anfällige Branche ist geradezu ein prädestinierter Anwendungsfall für diesen zeitgemäßen Sicherheitsansatz.

Fazit

Neue medizinische Technologien sind unverzichtbar für eine höhere Qualität und Geschwindigkeit der Gesundheitsversorgung. Erforderlich ist aber auch der lückenlose Überblick, welche Technologien vorhanden sind, wie sie genutzt werden und wann unbefugte Handlungen stattfinden. Eine bessere Transparenz bezüglich des Netzwerkverkehrs und des Verhaltens innerhalb des Netzwerks hilft den Sicherheitsfachkräften, Bedrohungen frühzeitig zu erkennen, abzuwehren und eine Beeinträchtigung des Klinikbetriebs zu verhindern.

Autor: Andreas Müller ist Sales Director DACH bei Vectra.

IT-Administrator

Praxiswissen für Admins.

750 Artikel · 15176 Follower

IT-Administrator schreibt über Praxiswissen für Admins.

IT-Administrator ist das Praxismagazin für System- und Netzwerkadministratoren und liefert jeden Monat passgenaues, sofort umsetzbares Fachwissen. Auf zahlreichen Intensivseminaren und Trainings vor Ort sowie online können sich Admins zudem umfassend fortbilden. Auf Xing informiert die Redaktion über aktuelle Trends und Themen aus der IT.

Artikelsammlung ansehen