(Juni 2018) Nicht erst die globale WannaCry-Attacke zeigte, dass Organisationen im Gesundheitswesen wie der britische National Health Service (NHS) ein besonders verletzliches Ziel für Ransomware-Angriffe sind. Erpressungssoftware machte auch früher schon Schlagzeilen, als vor rund zwei Jahren in Nordrhein-Westfalen mehrere Krankenhäuser lahmgelegt wurden. Operationen mussten verschoben, Notfallpatienten in anderen Kliniken aufgenommen werden.

Allein im Fall des Lukaskrankenhauses in Neuss beliefen sich die Kosten für Analyse des Angriffs und Wiederherstellung des IT-Betriebs auf circa eine Million Euro, rechnete seinerzeit das Bundesamts für Sicherheit in der Informationstechnik (BSI) vor.

Cyberkriminelle nutzen Ransomware branchenübergreifend, um Geld von Organisationen aller Größenordnungen zu erpressen, jedoch sind gerade Gesundheitsinstitutionen wie Krankenhäuser besonders attraktive Ziele. Denn sie sind nicht nur mit den persönlichsten und intimsten Informationen betraut, von Finanzdaten, bis hin zu privaten Gesundheits- und Behandlungsgeschichten, sondern häufig ist auch die IT-Sicherheit im Gesundheitswesen im Vergleich zu anderen Branchen veraltet oder weniger effektiv. Viele dieser Einrichtungen sind nicht darauf vorbereitet große Netzwerke zu betreiben, die von Gästen, Patienten oder Personal benutzt werden. Angreifer wissen auch, dass Organisationen im Gesundheitswesen hohe Kosten bei Ausfallzeiten haben, Im schlimmsten Fall ist die Gesundheit der Patienten gefährdet. Daher ist es wahrscheinlicher, dass sie ein Lösegeld für verschlüsselte Daten zahlen. Zudem steht nicht nur die Gesundheit von Patienten, sondern auch der Ruf einer Organisation und das Patientenvertrauen auf dem Spiel.

Das Gesundheitswesen macht Fortschritte, aber es gibt noch viel zu tun

Das deutsche IT-Sicherheitsgesetz („Verordnung zu kritischen Infrastrukturen“, kurz „KRITIS“), definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind. Im Sommer 2017 hat die Bundesregierung für das Gesundheitswesen kritische Infrastrukturen konkret definiert, die besonders gegen Cyber-Angriffe zu schützen sind: Großkliniken, medizinische Labors, Hersteller bestimmter, lebenswichtiger Medizinprodukte und große Arzneihändler. Von der KRITIS-Verordnung erfasste Einrichtungen müssen bei Cyber-Angriffen unverzüglich Meldung ans BSI machen. Außerdem müssen sie binnen zwei Jahren nachweisen, dass sie wirksame Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern und eine Kontaktstelle für das BSI nennen.

Dennoch gibt es noch viel Raum für Verbesserungen, denn Lösegeldangriffe sind nach wie vor eine ernstzunehmende und wachsende Herausforderung. Die wirksame Bekämpfung von Ransomware erfordert eine durchdachte Kombination aus technischen Maßnahmen und Verhaltensregeln.

Schwachstellen in bestehenden Infrastrukturen aufdecken

Um das Netzwerk frei von Ransomware und anderer fortschrittlicher Malware zu halten, ist eine Kombination aus effektiver Perimeterfilterung, strategisch konzipierter Netzwerkarchitektur und der Fähigkeit zur Erkennung und Eliminierung von Malware erforderlich, die bereits im Netzwerk vorhanden ist. Bestehende Infrastruktur enthält stets eine Reihe latenter Bedrohungen: E-Mail-Posteingänge sind voller bösartiger Anhänge und Links, die nur darauf warten, angeklickt zu werden. Ebenso müssen alle Anwendungen, ob lokal gehostet oder Cloud-basiert, regelmäßig gescannt und auf Schwachstellen gepatcht werden. Hierfür sollte es einen regelmäßigen Zeitplan geben. Der Aufbau einer solchen soliden Basis ist ein wichtiger Start für eine effektive Erkennung und Prävention von Ransomware-Angriffen.

Sicherheitsmaßnahmen zur Prävention von Angriffen

Es gibt einige sehr effektive Sicherheitstechnologien, die in der heutigen Bedrohungslandschaft erforderlich sind, um Ransomware und andere Angriffe zu verhindern. Das Blockieren von Bedrohungen, die in das Netzwerk eindringen, erfordert eine moderne Firewall oder E-Mail-Gateway-Lösung, welche die meisten Bedrohungen herausfiltert. Sie sollte eingehenden Datenverkehr scannen, mithilfe von Signaturabgleich, fortschrittlicher Heuristik, Verhaltensanalyse, Sandboxing und der Fähigkeit, Ergebnisse mit globalen Bedrohungsdaten in Echtzeit abzugleichen. Darüber hinaus bieten neue Lösungen unter Verwendung von Machine Learning und künstlicher Intelligenz die Erkennung ausgefeilter Angriffe wie etwa Spear-Phishing.

Um die Verbreitung von Bedrohungen zu minimieren, sollte zudem der Netzwerkzugriff kontrolliert und segmentiert werden. Verwaltung, Pflegepersonal und technisches Personal sollte jeweils nur begrenzten, spezifischen Zugriff auf notwendige Online-Ressourcen haben. Ebenso muss sichergestellt werden, dass Patienten und Besucher Malware nur innerhalb ihres eigenen, begrenzten Bereichs verbreiten können. Das Risiko für Organisationen im Gesundheitswesen wird erheblich reduziert, wenn solche Lösungen im Rahmen einer umfassenden Sicherheitsstrategie eingesetzt werden.

Backup-Strategie als grundlegende Verteidigung gegen Ransomware

Wenn ein Ransomware-Angriff erfolgreich ist, werden kritische Dateien – HR, Gehaltsabrechnung, elektronische Gesundheitsakten, Finanz- und Versicherungsinformationen für Patienten, strategische Planungsunterlagen oder E-Mail-Datensätze – durch Verschlüsselung unbrauchbar gemacht. Mithilfe eines effektiven Backup-Systems können wichtige Daten jedoch wiederhergestellt werden. Automatisierte, Cloud-basierte Backup-Dienste bieten eine Vielzahl von einfach zu verwendenden und sicheren Serviceoptionen an, die sich für Organisationen jeder Größe eignen und nur minimalen Personalaufwand erfordern. Mit fortschrittlichen Lösungen kann sogar eine virtuelle Kopie der Server in der Cloud erstellt werden und der Zugriff auf kritische Dateien und Anwendungen innerhalb weniger Minuten nach einem Angriff oder anderen Vorfällen wiederhergestellt werden.

Ransomware und andere Bedrohungen werden in naher Zukunft nicht verschwinden, und das Gesundheitswesen wird auch weiterhin ein Angriffsziel sein. Doch wenn Fachkräfte die IT-Sicherheit im Blick behalten und eine starke Kombination unterschiedlicher Sicherheitsmaßnahmen beachtet werden, sind Gesundheitsorganisationen gut gerüstet, um Ransomware-Angriffen effektiv zu begegnen. Eine wirklich sichere Netzwerk-Infrastruktur in Krankenhäusern enthält wahrscheinlich mehr Firewalls als Patienten!

Quelle Text und Bild: Dr. Klaus Gheri, Barracuda Networks