Symbolbild: Rawpixel/Unsplash

Durch den Einsatz immer mehr vernetzter Geräte im Gesundheitswesen – zusammen mit nicht partitionierten Netzwerken, unzureichenden Zugangskontrollen und der Verwendung von Altsystemen – ist eine große potenzielle Cyberangriffsfläche entstanden. Kliniken sind aber nicht nur durch externe Bedrohungen gefährdet, sondern auch durch Insider, die vorsätzlich Sicherheitslücken ausnutzen, Kontrollen umgehen und Regeln verletzen um persönliche Daten zu stehlen und klinische Prozesse zu stören.

Gastsbeitrag von Andreas Müller, Sales Director DACH bei Vectra

Hinzukommen Fahrlässigkeit und unbeabsichtigte Fehler von Mitarbeitern, insbesondere die unsachgemässe Handhabung und Aufbewahrung von sensiblen Daten wie Patientenakten. Dies wiederum ist ein Schwachpunkt, den Cyberkriminelle, die das Gesundheitswesen ins Visier nehmen, gezielt ausnutzen können.

Im kürzlich veröffentlichten "Spotlight-Report 2019" für das Gesundheitswesen untersuchte Vectra die kritischsten Bedrohungsszenarien von Juli bis Dezember 2018. Dabei wurden Daten aus Installationen der Cognito-Plattform ausgewertet. Der Bericht zeigt, dass beiläufige Fehler ein grosses Risiko im Gesundheitswesen darstellen: Diese finden meist in Form von sicherheitskritischen Fehlkonfigurationen von IT-Systemen sowie fehlgeleiteten, offengelegten und fehlerhaft entsorgten vertraulichen Daten statt.

Ärzte, Pflegekräfte und Verwaltungsangestellte haben Zugang zu vielen vertraulichen Daten. Der Missbrauch von Zugriffsprivilegien etwa auf Datenbanken, ohne dass ein legitimer medizinischer oder geschäftlicher Bedarf besteht, ist ein grosses Problem. Gleiches gilt für die Systemsicherheit. Gesundheitsdienstleister konzentrieren sich zurecht auf die Rettung von Leben und die Behandlung ihrer Patienten. Sie können es sich oft nicht leisten, dass ihre IT-Systeme heruntergefahren und gepatcht werden, der Zugriff rund um die Uhr ist unverzichtbar. Gleichzeitig sind alte Systeme mit anfälligen, eingebetteten Betriebssystemen bei Gesundheitsdienstleistern weit verbreitet. Parallel dazu wird partiell modernisiert und die Nutzung der Cloud nimmt hierbei zu, so wechseln viele Gesundheitseinrichtungen zu Cloud-Diensten um Kosten zu sparen. Der Datenaustausch mit der Cloud und der dortige Betrieb von Anwendungen stellen jedoch einen möglichen, neuen und gefährlichen Bedrohungsvektor dar.

Weiteres Risikopotenzial bergen vernetzte medizinische Geräte, die zum Teil des Internets der Dinge werden. Diese bieten neue Möglichkeiten, um den Gesundheitszustand von Patienten zu überwachen, die Versorgung zu verbessern und Kosten zu senken. Viele dieser intelligenten Geräte, die sensible Daten austauschen, weisen jedoch unzureichende Sicherheitsmassnahmen auf, was zur Ausweitung der Angriffsfläche in der Klinikumgebung erheblich beiträgt.

Aber nicht nur klinische IT-Systeme und medizinische Geräte zählen zur sicherheitskritischen Infrastruktur. Übersehen werden oft zusätzliche Komfortleistungen wie das WLAN für Patienten und Besucher. Dadurch greifen viele nicht verwaltete private Geräte über das Kliniknetzwerk auf das Internet zu. Ist das WLAN unzureichend separiert und kontrolliert vom restlichen Netzwerk, könnte sich auf diesem Weg Malware verbreiten oder Angreifer könnten einen Weg ins Netzwerk finden.

Ebenso greifen Ärzte, die an verschiedenen Kliniken arbeiten, mitunter über schlecht geschützt externe Netzwerke auf das Kliniknetzwerk zu, was ein weiteres Risiko darstellt. Da einige Kliniken auch als Lehranstalten dienen, erhalten auch Medizinstudenten Zugang zu kritischen Informationen, woraus eine zusätzliche Gefährdung für den Datenschutz resultiert.

Aktuelle Bedrohungsszenarien und Trends

Neben den beschriebenen allgemeinen Herausforderungen liefert der Branchereport auch einen detaillierten Einblick zu einzelnen Bedrohungsszenarien und Trends:
- Versteckte HTTPS-Tunnel stellten die häufigste Art der Command-and-Control-Kommunikation zwischen dem Angreifer und dem Anker im angegriffenen Netzwerk dar. Dieser Datenverkehr erfolgt meist in mehreren Sessions über einen längeren Zeitraum und sieht auf den ersten Blick wie normaler verschlüsselter Web-Traffic aus. Dadurch gelingt es Angreifern sich im regulären, ungeblockten Netzwerkverkehr zu verbergen.
- Die häufigste Methode, mit der Angreifer die Datenexfiltration in Kliniknetzwerken verbergen, waren versteckte DNS-Tunnel (Domain Name Server). Auch hier werden eigentlich legitime Mittel für kriminelles Verhalten missbraucht.
- Vectra beobachtete einen Anstieg der Auskundschaftung im Netzwerk, zurückzuführen auf interne Darknet-Scans und Scans von Microsoft Server Message Block (SMB)-Accounts. Dies geschieht, da sich die Angreifer ein Bild von der Umgebungen machen wollen, in der sie dann aktiv werden. Interne Darknet-Scans erfolgen, wenn interne Host-Geräte nach internen IP-Adressen suchen, die im Netzwerk nicht vorhanden sind. SMB-Account-Scans treten auf, wenn ein Host-Gerät schnell mehrere Konten über das SMB-Protokoll nutzt, das typischerweise für die Dateifreigabe verwendet wird.
- IT-Netzwerke im Gesundheitswesen sind durch veraltete Überwachungsmassnahmen und unsichere Protokolle wie FTP (File Transfer Protocol) und Cloud-basierte Filesharing-Dienste gekennzeichnet. Zudem sind Remote-Desktops weit verbreitet und immer mehr Geräte mit Internetanbindung im Einsatz. Diese Konstellation aus hochgradiger Vernetzung und unzureichender Sicherheit erleichtert es den Angreifern, sich ungehindert seitlich im Netzwerk zu bewegen, um ihre bösartigen Vorhaben auszuführen.
- Vor zwei Jahren waren mehrere Kliniken von einer hohen Rate von Ransomware-Angriffen betroffen. Im aktuellen Untersuchungszeitraum war Ransomware nicht so häufig, bleibt aber dennoch weiterhin eine Bedrohung im Gesundheitswesen.
- Die Betreiber von Botnets haben meistens nicht bestimmte Branchen oder Unternehmen im Visier. Die Angreifer übernehmen dabei die Kontrolle über fremde Rechner oder IoT-Geräte, um Rechenleistung abzuschöpfen für die Verbreitung von Malware oder für das „Schürfen“ von Kryptowährungen. Während Botnet-Angriffe branchenübergreifend fortbestehen, ist ihre Häufigkeit im Gesundheitswesen nicht signifikant.

Besserer Einblick ins Netzwerk erforderlich

Die Antwort auf diese Herausforderungen und vielfältigen Bedrohungen liegt in der Rundumsichtbarkeit im Netzwerk und Echtzeit-Erkennung von Cyberangriffen. Genau dies leistet eine durch künstliche Intelligenz (KI) gestützte Plattform, die Verhaltensweisen von Angreifern im Netzwerk erkennt und diese Ereignisse priorisiert. Hierbei werden Bedrohungen in Cloud- und Rechenzentrums-Workloads ebenso wie in mobilen Geräten und IoT-Geräten automatisch erfasst. KI-Unterstützung erweitert die Fähigkeiten der Sicherheitsanalysten, um Bedrohungen rechtzeitig zu erkennen, bevor größerer Schaden entsteht.

Gastautor Andreas Müller, Sales Director DACH bei Vectra
Gastautor Andreas Müller, Sales Director DACH bei Vectra