Ein Schlaraffenland für Cyberkriminelle

by | Mar 20, 2024

Oliver Queck ist seit Februar 2023 CRO bei Skaylink

Anhoren

Teilen

 

Das Gesundheitswesen könnte in puncto Cybersecurity ganz anders dastehen, wenn die Basis stimmen würde. Und die sei kein Hexenwerk, sagt Skaylink CRO Oliver Queck. Auch mit Blick auf die Cloud ist er pragmatisch: eine einfache Kosten-Nutzen-Abwägung.

 

Herr Queck, Sie waren als Dienstleister bei der Aufarbeitung einer der letzten Cyberangriffe auf eine Klinik dabei. Was können Sie uns hiervon berichten?

Was wir im Gesundheitswesen und in den Kliniken erleben, deckt sich auf vielen Ebenen mit den Herausforderungen, vor denen derzeit ganz grundsätzlich weite Teile des Mittelstands stehen. Wechseln wir kurz die Perspektive und betrachten die Situation aus Sicht eines Angreifers, lässt es sich mit einem Wort zusammenfassen: Schlaraffenland. Die Erklärung hierzu ist einfach: Die erste Hürde, die Angreifer nehmen müssen, ist der Zugang zu den Systemen. Und da insbesondere im Gesundheitswesen stark auf Kosten geschaut werden muss, sorgt ein zu geringes Budget dafür, dass das „Reinkommen“ für Hacker denkbar einfach ist.

Für uns Laien: Wie einfach ist einfach?

Ein Zero-Day-Exploit reicht in der Regel aus, um sich Zugriff zu verschaffen. Damit ist eine Sicherheitslücke gemeint, die den Entwicklern der betroffenen Anwendung noch nicht gemeldet wurde, weshalb diese „null Tage“ Zeit hatten, sie zu beheben. Üblicherweise testet ein Angreifer ein System so lange, bis er eine Zero-Day-Lücke findet. Und diejenigen, die sie identifiziert haben, verkaufen ihre Exploits häufig auf Darknet-Marktplätzen. In allen Fällen, die wir jetzt betreut haben, kam der Angriff über so einen Zero-Day – sei es in der Firewall, über Dienstleister oder den VPN.

Dabei heißt es immer, das schwächste Glied in der Abwehrkette sitze vor dem Rechner…

Das ist auch absolut richtig. Ein Zero-Day-Exploit ist auf der IT-Seite ein vergleichsweise leicht zu knackendes Einfallstor. Auf der Nutzerseite haben es Angreifer tatsächlich noch einfacher. Einer unserer Security-Consultants baut seit der Geburt seines Sohnes sehr gerne seine persönlichen „IT-Erfahrungen“ aus dem Kreißsaal in seine Vorträge ein. Während seine Frau in den Wehen lag, hat er – ganz im Sinne seiner Expertise – Bilder von der dortigen Workstation machen können, die natürlich nicht gesperrt war. Das versuche ich übrigens auch immer meiner Ärztin zu erklären. Dort entsperrt die Medizinische Fachangestellte den Rechner, öffnet meine Akte und lässt mich dann mit dem ungeschützten Zugang zu sämtlichen Daten alleine, bis meine Ärztin den Behandlungsraum betritt.

Der Zugang zu den Systemen ist für Kriminelle also das geringste Problem. Was passiert dann und noch viel wichtiger, wer bekommt mit, dass etwas passiert?

Ohne die entsprechende Expertise im Haus oder auch bei Systemen, die lange, ich nenne es mal, vernachlässigt” wurden, installieren die Hacker in der Regel Schadsoftware, über die sie sich dann Rechte erschleichen und sich „nach oben eskalieren“. Das heißt, alles, was also dieses „lateral movement“ verhindert, das schrittweise Bewegen durch ein Netzwerk, über das sich Angreifer die Schlüsseldaten und Assets suchen, ist schon einmal eine gute erste Cyberabwehr. Damit meine ich beispielsweise aktuelle Patch-Stände, Multi-Faktor-Authentifizierung, Tiering, egal ob On-Prem oder Cloud, ein Passwort-Safe, der nicht in der lokalen Infrastruktur betrieben wird oder – ganz fancy – Geräte mit privilegiertem Zugang. All das ist kein Hexenwerk, sondern im Gegenteil relativ einfach umzusetzen. Wir reden hier über einen Projektumfang von ein paar Tagen.

Was interessant ist: Bei den meisten Angriffen bleiben wichtige Abteilungen wie etwa die Notaufnahme oder die Chirurgie verschont…

Das liegt daran, dass gerade die großen Organisationen auch ethische Grundsätze haben, also beispielsweise keine Menschenleben gefährden oder kritische Infrastruktur angreifen. Positiv ausgedrückt kann man sagen, dass Hacker sich die Geschäftsberichte im Vorfeld eines Angriffs schon sehr genau durchlesen. Denn am Ende des Tages geht es auch da um ein möglichst lukratives Geschäftsmodell.

Ist es tatsächlich so, dass es mittlerweile keine Frage mehr ist, ob ich als Haus oder Unternehmen angegriffen werde, sondern vielmehr wann?

Aus unserer Sicht ja. Deshalb legen wir als Berater extrem viel Wert darauf, dass alle unsere Kunden wissen, welche Schritte es braucht, um nach einem Angriff möglichst sofort wieder alles startbereit zu haben – und das gilt für das produzierende Gewerbe genauso wie für Kliniken und andere Einrichtungen des Gesundheitswesens. Ansonsten geht es sehr schnell an die existenzielle Substanz.

Macht die Regulatorik im Gesundheitswesen Cybersicherheit noch einmal schwieriger?

In jedem Fall gibt es deshalb nur vergleichsweise wenige Dienstleister, die sich auf das Gesundheitswesen mit seinen speziellen Anforderungen fokussieren. Und aus einer reinen IT-Sicht sind viele dieser Vorgabe auch nicht unbedingt, ich sag mal „State of the Art“ – beispielsweise diese starke Abwehr gegen alles, was in der Cloud daherkommt. Die Frage ist nämlich, ob ich als Klinik überhaupt vernünftige Managed Services bekommen kann, wenn ein Dienstleister nur vor Ort sitzen darf, oder auch 24/7-Support, wenn es keinerlei Bereitschaft gibt, in eine vernünftige Switching-Infrastruktur zu investieren. Mein Vorschlag ist ja immer noch, die Krankenhäuser einem Cybersecurity-Stresstest in Anlehnung an den Banken-Stresstest zu unterziehen. Ich glaube nämlich, dass man dadurch mit relativ wenig Aufwand sehr viel erreichen könnte – und sei es nur die berühmte und tatsächlich essenzielle Awareness zu schaffen. Zudem bin ich davon überzeugt, dass die Basics danach stehen würden.

Weil gerade auch schon das Stichwort Cloud fiel: Wäre es aus Sicherheitsaspekten für den Gesundheitssektor empfehlenswert, der Cloud gegenüber aufgeschlossener zu sein?

Ich habe hier zu Hause so eine smarte Waage rumstehen. Die weiß, wie groß ich bin, kennt meinen Blutdruck, meine Knochendichte und leider auch mein Gewicht und meinen Body-Mass-Index. Sie macht mir Vorschläge, die sie dann mit meiner Apple-Watch verknüpft. Und wenn ich es geschafft habe, zu laufen, geht das ganze Datenpaket dann auch noch zu Strava. Worauf ich hinaus will: Wir teilen ohnehin schon eine Menge Daten – auch mit direktem Gesundheitsbezug. Aus meiner Sicht muss sich vor allem die Politik einmal grundsätzlich überlegen, was Nutzen und was Risiko ist. Und wenn sich dann herauskristallisiert, dass die Funktionalitäten einer Public Cloud schnellere, bessere und sichere Ergebnisse für die Versorgung von Patienten liefern, sollten wir diese Vorteile aus meiner Sicht nutzen. Zumal ja auch mit Blick auf die Cloud nicht alles schwarz oder weiß ist und ich für kritische Anwendungsfälle immer auch eine Kombination aus Public Cloud, Sovereign Cloud und lokalem Data Center und damit das Beste aus allen Welten nutzen kann.

Also ein klares Plädoyer, lieber auf bewährte Lösungen zu setzen, anstatt etwas Eigenes bauen zu wollen?

Definitiv ja. Denn wenn jeder sein eigenes Ding – beispielsweise in Form einer Sovereign Cloud – baut, geht das eigentlich immer auf Kosten von Funktionalität, Effizienz und Sicherheit. Und wenn ich mir anschaue, was die großen Hyperscaler jetzt schon im Gesundheitswesen auf die Beine stellen, weiß ich nicht, was dagegensprechen sollte, auch in Europa hiervon zu profitieren. Am Ende des Tages ist es eine ganz einfachere Risiko-Nutzen-Abwägung.

 

Oliver Queck ist seit Anfang Februar 2023 Chief Revenue Officer bei Skaylink. Er kommt von T-Systems, wo er verschiedene Rollen innehatte. Zuletzt war er dort für das globale Google-Geschäft, verschiedene Beratungsprojekte, Managed Services und den Aufbau eines gemeinsamen Portfolios mit Google Cloud verantwortlich.

Skaylink ist auf Cloud-Lösungen und digitale Transformation spezialisiert. Dafür sorgt ein globales Team von über 550 Experten. Im Gepäck ein Mix aus selbst entwickelten Tools und Methoden, mit denen Skaylink die Cloud-Journey seiner Kunden begleitet. Skaylink ist auch über Zukäufe in ganz Europa aktiv.

Das könnte Sie auch interessieren

Pilotprojekt ErwiN gestartet

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

da Vinci-Single-Port und neue Professur in Mainz

Die Universitätsmedizin Mainz baut ihre Robotik-gestützte Chirurgie weiter aus und ist damit die erste Universitätsklinik in Deutschland, die über das da Vinci Single-Port-System verfügt.