Die IT-Station: Cyberangriffe auf Krankenhäuser – eine Analyse

by | Mar 11, 2024

Birgit Murkowski ist Cyberexpertin und Geschäftsführerin der SOC Mania GmbH

Anhoren

Teilen

 

Cyberangriffe auf Einrichtungen des Gesundheitswesens nehmen auch in Deutschland zu. Und die beste Art, sich darauf vorzubereiten, klingt einfach, ist aber effizient, wie Cyber-Expertin Birgit Murkowski betont: Ein Incident Response Plan. 

 

Es ist das Wort, das bei jedem IT- und Sicherheits-Experten Unbehagen auslöst: Incident. Vorfall klingt im ersten Moment fast harmlos und doch steht ein Incident durch eine Cyberattacke für eine kritische Störung und Notfallsituation. Denn immer häufiger gehen solche Cyberattacken mit einem Ransomware-Angriff einher, also einer Verschlüsselung der zentralen Systeme und Server eines Unternehmens durch Cyberkriminelle. Dadurch werden Unternehmen handlungsunfähig und absichtlich in eine Notlage gebracht und sind erpressbar. Welche Auswirkungen das gerade im Gesundheitswesen haben kann, zeigt der aktuelle Vorfall bei Change Healthcare in den USA.

In den letzten Monaten scheinen nun auch deutsche Krankenhäuser vermehrt im Fokus von Bedrohungsakteuren zu stehen. Kaum ein Monat ohne neue Meldungen. Dabei muss man den Menschen, die solche Situationen und Erfahrungen mit Experten teilen, großen Dank aussprechen, denn es sind Beispiele, aus denen alle lernen können. Und das ist wichtig.

Ein höherer Digitalisierungsgrad braucht ein höheres Sicherheitslevel

Cyberattacken treffen Kliniken unabhängig von ihrer Größe, ihren Umsätzen und Kapitalerträgen. Das begehrte Gut sind in erster Linie sensible Daten und geistiges Eigentum. Patientendaten, neueste Forschungsergebnisse, Therapien- und Behandlungsmethoden sind das Ziel der Kriminellen. Krankenhäuser haben in den letzten Jahren viel in die IT-Sicherheit investiert und auch bereits viel erreicht. Gleichzeitig hat der jüngste Digitalisierungsschub den Verantwortlichen jedoch auch viel abverlangt, wodurch die IT-Sicherheit auch aufgrund der herausfordernden Rahmenbedingungen nicht immer Schritt halten konnte. Die nächste große Aufgabe, die angegangen wird, muss daher die Cybersecurity sein – und zwar aus der Sicht eines Hackers, eines potenziellen Angreifers.

Pläne sind das A und O

Der erste Schritt in diese Richtung ist der Incident Response Plan, der nicht nur aufgestellt, sondern auch simuliert werden muss. Wer macht was in Zusammenarbeit mit wem und in welcher Reihenfolge – egal zu welcher Uhrzeit? Diese Fragen müssen allen Beteiligten nicht nur klar, sondern die Antworten vor allem verinnerlicht sein. Aus unserer Erfahrung wissen die meisten Kliniken und Unternehmen, dass ein solcher Plan dringend notwendig ist, aber oft bleibt es nur ein Vorhaben.

Das ist fatal, denn der Notfallplan ist innerhalb der IT-Sicherheitsstrategie nicht nur entscheidend, er macht vor allem in der Ausarbeitung auf viele praktische Punkte aufmerksam. Wie kann beispielsweise kommuniziert werden, wenn E-Mail-Verkehr und VoIP-Telefonie im Krankenhaus nicht mehr zur Verfügung stehen? Ist eine unabhängige Kommunikationskette aller notwendigen Beteiligten möglich? Gibt es ein gutes Back-up-Konzept, das bereits in einer Ernstfallsimulation standgehalten hat und nicht kompromittiert ist? Es ist keine Seltenheit, dass in der Theorie geplante Back-up-Systeme im Ernstfall nicht mehr zur Verfügung stehen. Wie kann ferner die Versorgung der Patienten in einem solchen Ernstfall erfolgen, wenn zentrale Systeme nicht mehr erreichbar sind? Ein Incident Response Plan sollte nicht als Ballast empfunden werden, sondern vielmehr als hilfreiches Playbook und Arbeitsgrundlage für den Ernstfall.

Learnings aus aktuellen Incidents

Vergangene Fälle zeigen, dass die konsequente Umsetzung und strikte Einhaltung von IT-Standards einen großen Einfluss auf die Geschehnisse haben. Oder negativ formuliert: Sie zeigen, wie eine Verkettung unterschiedlicher Schwachstellen es Tätern zu leicht macht – vor allem, wenn der Ursprung für den Angriff nicht intern zu finden ist.

Weil Cybersecurity immer auch ein sensibles Thema ist, werden in diesem Beitrag keine Namen genannt. Es handelt sich bei den Beispielen jedoch um einige der jüngsten Angriffsopfer, wo gleich mehrere Lücken den Tätern aufeinander aufbauend in die Hände gespielt haben. Der Ursprung war ein nicht eingespielter Patch – also eine Fehlerkorrektur – einer länger bekannten Sicherheitslücke bei einem Klinikzulieferer. Aufgrund personeller Engpässe und täglich neuer Prioritäten wurde die Aktualisierung mehrfach verschoben und zudem als nicht so kritisch bewertet. Diese Schwachstelle wurde von außen durch einen Angreifer erkannt und ausgenutzt. Über den so erlangten Zugang zum internen Netzwerk des Kliniklieferanten kam ein VPN-Zugang zur Klinik in die Hände der Hacker, über den sie sich in der Folge Zutritt zu deren Netzwerk verschaffen konnten. Als „bekannter User“ in Form des Zulieferers sind die Hacker per VPN auch nicht aufgefallen. Die Täter waren über einen längeren Zeitraum im Netzwerk. Und der daraus folgende Incident traf die Klinik ohne dass vorher ein Incident Response Plan aufgestellt worden war.

In einem anderen Fall wurde eine Klinik direkt durch einen Angreifer von außen auf Schwachstellen gescannt und auch hier wurde eine Schwachstelle gefunden, die mit einem bekannten Patch längst hätte geschlossen sein können. Die Täter konnten sich auch hier unbemerkt über einen längeren Zeitraum im Netzwerk der Klinik bewegen. Diese wurde erst durch den anschließenden Ransomware-Angriff alarmiert, der die Verantwortlichen somit nicht nur ohne jede Vorwarnung getroffen hat, sondern bei dem sowohl der Server als auch das Backup verschlüsselt wurden.

Nutzen aus Incidents ziehen

Solche detaillierten Erfahrungsberichte sind ein großer Gewinn für andere Kliniken und sollten daher nicht geheim bleiben. Wenn Cyberattacken überhaupt etwas positives haben, dann dass alle Beteiligten aus den Erfahrungen lernen und damit einen Nutzen ziehen können. Cybersecurity umfasst ein so breites Feld an Maßnahmen und Möglichkeiten, dass solche Informationen sowohl das Ziel als auch den Weg dahin klarer machen können.

Beide Fälle zeigen zudem, wie wichtig es ist, mit viel Disziplin Standards einzuhalten und bei den großen, teils auch überwältigenden Themen Threat Intelligence und Cybersecurity die Basics nicht aus den Augen zu verlieren. Überwachungsmechanismen aufzusetzen, die ungewöhnliche Bewegungen oder Verhalten von Usern im Netzwerk melden, ist essenziell, das Active Directory zu pflegen und zu überwachen, ebenso. Informationen über ungewöhnlich große Downloads oder Bewegungen von sensiblen Datenpakete, das Anlegen von Usern – vor allem mit höherer Berechtigung – und die aktive, protokollierte Freigabe von VPN-Zugängen nach Bedarf und mit zeitlicher Limitierung sind alles unterstützende Maßnahmen im Gesamtbild.

Keine Frage: Ransomware-Angriffe sind komplex, weshalb die Überwachung und Absicherung von Systemen immer eine Herausforderung ist. Zudem kommt der Faktor Mensch als Risiko dazu – im Hinblick auf mögliches Phishing oder unbedarftes Verhalten im Internet mit den Unternehmens-LogIns oder der Hardware. Deshalb erfordert die Prävention von Ransomware-Angriffen einen mehrschichtigen Ansatz und beginnt mit einem frühzeitig und gut aufgestellten Plan, beinhaltet regelmäßige Schulungen für alle, gute Sicherheitsprotokolle, Softwareaktualisierungen und ein Backup, welches den Ernstfall überlebt. Denn wenn es zu einem Incident kommt, gibt es eigentlich nur ein Ziel: schnell wieder agieren zu können.

 

Birgit Murkowski begleitet seit 2010 das Gesundheitswesen auf dem Weg der Prozess-Digitalisierung. In den letzten Jahren hat sich ihr Schwerpunkt weiter in die Cybersecurity verschoben, wo sie als Geschäftsführerin der SOC Mania GmbH Kliniken beim einfachen Einstieg in die komplexen Themen der Threat Intelligence und Darknet Recherche unterstützt.

Das könnte Sie auch interessieren

Pilotprojekt ErwiN gestartet

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

da Vinci-Single-Port und neue Professur in Mainz

Die Universitätsmedizin Mainz baut ihre Robotik-gestützte Chirurgie weiter aus und ist damit die erste Universitätsklinik in Deutschland, die über das da Vinci Single-Port-System verfügt.