Angriffserkennung Cyber Defense für Krankenhaus-IT schrittweise aufbauen

Systeme zur Angriffserkennung ermöglichen Echtzeiterkennung und umgehende Reaktion bei Cyberattacken, ihr Einsatz ist ab Mai für KRITIS-Betreiber verpflichtend. Über Bedrohungsszenarien, Angriffserkennung und die besonderen Herausforderungen für Krankenhäuser haben wir mit Matthias Nehls und Janek Maiwald gesprochen.

Welche Cyberrisiken sollten Krankenhäuser als Betreiber kritischer Infrastruktur besonders im Blick haben, welche Tendenzen sehen Sie?

Nehls: Ransomware-Angriffe gehören nach wie vor zu den größten Bedrohungen. Es lässt sich aber eine Verschiebung in der Intention dieser Angriffe beobachten. Standen früher Lösegeldforderungen an erster Stelle, so geht es zunehmend um Machtdemonstration. Das zeigt sich daran, dass Geldforderungen in absurden Höhen erhoben werden – so wie erst kürzlich im Fall eines großen Automobilzulieferers. Es ist auch den Erpressern klar, dass Unternehmen das gar nicht zahlen könnten, es soll demonstriert werden, wie verletzlich die Infrastruktur ist. Dem kommt entgegen, dass Ransomware-Angriffe sehr öffentlichkeitswirksam sind und so auch große Verunsicherung ausgelöst werden kann. Nicht selten stecken auch staatlich unterstützte oder staatsnahe Akteure hinter den Angriffen. Ich kann mir zudem vorstellen, dass man in der nächsten Stufe gar keine Datenentschlüsselung mehr gegen Lösegeldzahlung anbietet, sondern direkt die Infrastruktur lahmlegt, Daten vernichtet oder veröffentlicht.

Was bedeutet das für Krankenhäuser, gegen Datenverschlüsselung bieten ja Backups einen Schutz, aber wie gefährlich können Eingriffe in die Infrastruktur werden?

Maiwald: Hier ist zu unterscheiden, welche Infrastruktur lahmgelegt wird. Krankenhäuser müssen im Rahmen der KRITIS-Bestimmungen ihre Systeme so weit trennen, dass der administrative Betrieb unabhängig von den medizinischen Geräten läuft, die für die Patientenversorgung eingesetzt werden. Diese Geräte wie auch die Technik in den Operationssälen wären also im Falle eines Angriffs nicht betroffen. Doch der gesamte Betrieb wäre erheblich gestört, das Krankenhaus ist nicht aufnahmefähig für neue Patienten, deshalb ist es für die Krankenhausbetreiber wichtig, dass auch die administrativen Funktionen aufrechterhalten werden.

Nehls:Wir haben aber ohnehin im Medizinbereich eine Trennung zwischen der klassischen IT und der Medizin-IT und die Verantwortlichen für die IT und IT-Security haben gar nicht immer den Einblick, wie der Stand bei den technischen Geräten ist. CT-Geräte, auf denen noch Windows 98 oder XP installiert ist, sind keine Seltenheit.

Woran liegt das?

Nehls: Medizingeräte müssen zugelassen werden. Wenn die Betreiber im Krankenhaus ein neues Betriebssystem installieren wollen, verweisen die Medizingerätehersteller darauf, dass dann das Zulassungsverfahren neu durchlaufen werden muss – was aber aufwendig und teuer wäre.

Nur sollte doch Vernetzung und IoMT auch im Gesundheitswesen die Zukunft sein, gerade auch, wenn es um Telemedizin geht. Welche Konzepte gibt es denn, um die Geräte sicher anzubinden?

Maiwald: Eine Möglichkeit ist noch, die Daten abzuholen, anstatt von den Geräten heraus einen direkten Zugriff auf andere Geräte zu schaffen. Also ähnlich wie bei den Schleusen zur Intensivstation werden „Türen“ eingebaut: Beim Zugriff auf diese Gerätelandschaften sind Systeme zu passieren, die filtern, erkennen und bei Angriffen blockieren. Diese müssen aber auch rund um die Uhr überwacht genau werden, mit automatisierten Funktionen. Da braucht man dann entsprechende SIEM-Systeme.

Solche Systeme zur Angriffserkennung sind ab Mai verpflichtend für KRITIS-Betreiber, wie sind Ihre Erfahrungen, wie kommen die Krankenhäuser mit dieser Anforderung zurecht?

Nehls: Grundsätzlich bietet bereits ein ISMS, zertifiziert nach ISO 27001, sehr hohen Schutz. Wenn die gesamte IT-Infrastruktur der Krankenhäuser nach dem BSI-Grundschutz zertifiziert wäre, hätten Ransomware-Attacken keine Chance. In der Praxis sind aber oft nur die wichtigsten Bereiche erfasst – weil Zertifizierungen eben mit hohen Kosten verbunden sind.

Maiwald: Ein Problem sind auch die gewachsenen IT-Infrastrukturen, die intransparent und schwer zu erfassen ist. Besonders für kleinere Krankenhäuser, die seit kurzem unter die KRITIS-Bestimmungen fallen, ist die Einführung von Systemen zur Angriffserkennung eine Herausforderung, weil finanzielle Mittel und Personalressourcen dafür oft fehlen. Die Gelder, die Bund und Länder jetzt zur Verfügung stellen, helfen schon. Trotzdem können kleinere Häuser nicht die Skaleneffekte nutzen wie große Krankenhausketten, die so ein System einmal einführen und dann an allen Standorten ausrollen. Für die Einführung brauchen die Häuser in der Regel Unterstützung durch Experten. Aber auch nachdem ein System zur automatisierten Angriffserkennung eingeführt wurde, muss das jemand überwachen und die Entscheidungen treffen, ob etwa kritische Systeme abgeschaltet werden oder nicht, das geschieht nicht automatisch.

Nehls: Um das einmal an einem Beispiel zu verdeutlichen: Eine Einrichtung, die letztes Jahr Opfer einer Verschlüsselung wurde, hatte ein modernes SIEM im Einsatz. Man hätte zwei Wochen vorher erkennen können, dass eine Verschlüsselung vorbereitet wird, alles war protokolliert – die Mail mit der Schadsoftware, das Hochladen der Daten, es ließ sich lückenlos nachvollziehen. Nur: Es hat während der Zeit niemand die Protokolle geprüft, weil einfach die Personalressourcen fehlten.

Maiwald:Die entsprechenden IT-Fachleute, die das übernehmen können, sind nicht leicht zu finden. Und selbst wenn, ist mit einer 40-Stunden-Arbeitswoche eben noch keine durchgehende Überwachung abgedeckt. Kurz: Es ist durchaus kompliziert, teuer und langwierig, Systeme zum Schutz und zur Angriffserkennung einzuführen. Verantwortliche in kleineren Krankenhäusern sind damit oft überfordert, weil sie gar nicht die Ressourcen dafür haben. Wir empfehlen deshalb, Schritt für Schritt vorzugehen: Zunächst entsprechende Sicherheitstools einzusetzen, dann den zusätzlichen manuellen Aufwand einzuschätzen. Auf dieser Basis lässt sich dann entscheiden, ob es inhouse machbar ist oder ob man besser auf Managed Services zurückgreift. Es gibt den Verantwortlichen auch Sicherheit, wenn sie im Notfall auf ein Forensik-Team zugreifen zu können, das dann sofort bereitsteht. Wir haben zudem gute Erfahrungen mit unserem Cyber Defense Operation Center (CDOC) als Service-Dienstleistung für unsere Kunden gemacht.

Worin liegt der Unterschied zu einem SOC (Security Operation Center)?

Maiwald: Voll ausgebaute SOC sind für kleinere Anwender oft zu mächtig und erdrückend mit ihrer Prozesslast. Beim CDOC konzentrieren wir uns ganz auf Cyberdefense-relevante Vorgänge, es ist also granularer. Hierbei haben wir einen maßgeschneiderten Lösungsansatz für verschiedenen Kundenanforderungen.

Das heißt also: schrittweise vorgehen und sich auf Cybersecurity fokussieren – gibt es darüber hinaus weitere Maßnahmen, die Sie IT-Verantwortlichen in Krankenhäusern empfehlen?

Nehls: Die Verteidigung beginnt mit dem Schließen von Schwachstellen, das muss wirklich konsequent und umgehend geschehen. Und die Zertifizierung muss auch „gelebt“ werden, das heißt, es muss zum Beispiel überwacht werden, dass vorgeschriebene Backups auch tatsächlich durchgeführt werden.

(ID:49231220)