Detection & Response gegen Viren in Einrichtungen des Gesundheitswesens

Von Richard Werner, Business Consultant bei Trend Micro

Kürzlich schreckte wieder eine Meldung zu einer Reihe möglicherweise koordinierter Ransomware-Angriffe auf Hunderte von Krankenhäusern, medizinischen Einrichtungen und Kliniken in den USA die Öffentlichkeit auf. Immer wieder gibt es dergleichen Erpressungsangriffe, auch in Europa und Deutschland. Berichte zum aktuellen Fall legen nahe, dass der Angriff mit der Ryuk Ransomware erfolgte, die auch TrickBot oder Emotet Trojaner nutzt und diese über Phishing-Mails verbreitet, um dann im Netzwerk Fuß fassen zu können. Trend Micro hat TrickBot in diesem Jahr bereits einige Male in medizinischen Einrichtungen erkannt und geblockt. Es gibt auch Anleitungen zu weiteren konkreten Schritten als Verteidigung gegen die Ransomware. Darüber hinaus jedoch müssen Krankenhäuser und medizinische Einrichtungen eine generelle Sicherheitsstrategie definieren, um Angriffe zu verhindern, aber auch um entsprechend schnell und effizient darauf reagieren zu können.

Einrichtungen im Gesundheitswesen setzen zunehmend auf Digitalisierung und Vernetzung, um ihre Abläufe zu optimieren und die Versorgung der Patienten zu verbessern. Im Rahmen eines Symposium des BSI und der Uniklinik Bonn warnte Arne Schönbohm, Präsident des BSI: „Digitalisierung geht nicht ohne Informationssicherheit. Corona und der damit verbundene Digitalisierungsschub haben uns vor Augen geführt, wie wichtig eine funktionierende und sichere IT ist.“ Wie angespannt die Gefährdungslage für Krankenhäuser ist, haben die erfolgreichen Cyber-Angriffe der letzten Monate eindrucksvoll gezeigt, so der Präsident weiter. Die Kliniken tragen deshalb eine besondere Verantwortung für ihre IT-Netzwerke.“

Die Bedrohung

Die Sicherheitsforscher von Trend Micro untersuchten die Bedrohungen für Krankenhäuser und machten drei Bereiche aus, in denen das Risiko, von Cyberkriminellen angegriffen zu werden, sehr hoch ist.

  • Krankenhausbetrieb — Dazu gehören Cyberbedrohungen für täglich verwendete kritische Systeme, wie etwa Mitarbeiterplanungsdatenbanken, Paging-Systeme, Gebäudekontrollsysteme, Inventur-, Gehalts- und Administrationssysteme etc.
  • Vertraulichkeit der Daten —Das sind verschiedene Datentypen wie persönlich identifizierbare Informationen (PII), sowohl von Patienten als auch Angestellten, einschließlich Diagnose- und Behandlungsdaten, Versicherungs- und finanzielle Informationen, Forschung und Daten von Arzneimitteltests; Gehaltsinformationen, geistiges Eigentum und andere.
  • Gesundheit der Patienten — Dazu gehören Cyberbedrohungen für medizinische Geräte und Systeme, die bei der Behandlung, fürs Monitoring und die Diagnose genutzt werden, aber auch Bedrohungen für Informationssysteme des Krankenhauses.

Es gibt drei potenzielle Gefahren: Manipulation von Geräten, Angriffe auf medizinische Einrichtungen sowie Erpressung von Patienten und Krankenhäusern. Weltweit sind etwa 24,3 Millionen Datensätze von Patienten frei im Internet zugänglich. Die Bedrohung durch Daten-Leaks mit der Offenlegung von Patientendatensätzen im Internet habe eine „neue Qualität“ erreicht, warnt das BSI in seinem Jahresbericht 2020.

Bei dem Symposium zur Sicherheit von Krankeneinrichtungen mahnte Prof. Wolfgang Holzgreve, Ärztlicher Direktor und Vorstandsvorsitzender des UKB: „Die virtuelle und die reelle Welt haben eines gemeinsam – gegen Viren hilft schließlich nur Prävention.“ Diese Aussage lässt sich als medizinischer Laie relativieren: Prävention ist nicht das Einzige, was hilft, aber eine vernünftige Prävention ist der mit Abstand einfachste und effizienteste Weg mit einer Virusinfektion umzugehen. Das zeigt die aktuelle Pandemie gerade sehr deutlich. Der Zweck jeder Prävention ist es deshalb die Anzahl der Betroffenen so niedrig wie möglich zu halten um im Ernstfall schnell und effizient zu agieren.

Prävention ist nicht alles

Dies gilt für die „virtuelle“ IT Welt genauso. Präventive Vorgehensweisen sorgen dafür, dass möglichst viele Problemherde im Vorfeld erkannt und „gelöscht“ werden können. Dennoch ist es unmöglich, auf alles vorbereitet zu sein, und es ist eher eine Frage der Statistik, wann und in welchem Ausmaß eine Infektion stattfindet. In einem solchen Fall ist es wichtig, alle betroffenen Systeme so schnell wie möglich zu entdecken (Track & Trace) und von „gesunden“ Systemen zu isolieren, um eine laterale Bewegung (Super Spreader) zu unterbinden. Diese Strategie in Verbindung mit entsprechender Technologie nennt sich Detection & Response und muss über alle möglichen Eintritts- und Verbreitungspunkte angewendet werden – so genanntes „Cross Layer Detection & Response“ oder XDR.

Sobald das Problem eingedämmt ist, erfolgt eine Analyse, um die betroffenen Systeme so schnell wie möglich wiederherzustellen. Nach Abschluss aller Maßnahmen und Untersuchungen wird dann auch die Prävention angepasst oder — um die Analogie zur Epidemie wieder herzustellen – Gegenmittel entwickelt, also „digitale Impfungen“, die eine weitere Ausbreitung nicht nur im eigenen Netz sondern weltweit unterbinden können, vorausgesetzt natürlich, dass die dort zuständigen Verantwortlichen diese digitalen Schutzmaßahmen auch einsetzen.

Diese Prozesse lassen sich weitestgehend automatisieren. So können digitale Impfungen innerhalb von Minuten in einem Netzwerk erzeugt und verteilt und innerhalb von Stunden herstellerübergreifend global ausgerollt werden — selbst bei vollkommen unbekannten Angriffsmustern.

Fazit

Das ist der Grund, warum es in der IT Welt eben keine großen Massenangriffe über eine Malware mehr gibt, sondern jeweils einzelne Aktionen oder Kampagnen mit sehr individuell angepassten Methoden für die Kompromittierung. Deshalb wird die Forderung immer dringlicher, die eigene Umgebung durch Detection & Resonse in die Lage zu versetzen, solche Angriffe zu erkennen.

Zur Prävention gehört es des Weiteren auch, sich darauf vorzubereiten, nicht vorbereitet zu sein. Diese völlig legitime Fragestellung beinhaltet im Ernstfall, auf Experten zurückzugreifen und sich beraten zu lassen. Diese Vorgehensweise ist in modernen XDR-Konzepten ebenso umsetzbar und auf die individuellen Bedürfnisse einer Unternehmung anpassbar, wie auch die technischen Lösungen selbst.

Empfehlungen für Schritte für den Schutz vor der aktuellen Bedrohung durch die aktuelle Ransomware:

  • Sicherstellen, dass alle Domain Controller den Patch gegen die Zerologon-Schwachstelle enthalten. Angreifer nutzen die Lücke, um sich einen Zugang auf Domänenebene zu verschaffen.
  • Neue Ryuk-Updates zeigen, dass die Schadsoftware versucht, Dateien über administrative Windows-Freigaben zu verschlüsseln. Deshalb sollten diese entweder vollständig deaktiviert oder der Zugang über die Firewalls geblockt werden.
  • Deaktivieren der Powershell über Group Policy, weil das Tools häufig in Angriffen auf das Netzwerk genutzt wird.
  • Regelmäßige Backups aller Daten erstellen und mit einem Passwort und Air Gap die Kopien offline schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.