Mangel an Bedrohungserkennung gefährdet Patienten Gesundheitswesen in Gefahr

Krankenhäuser sind ein beliebtes Ziel für Cyber-Angriffe, da dort Unmengen an personen- und gesundheitsbezogenen Informationen verarbeitet und gespeichert werden. Angreifer setzen dabei vor allem auf Ransomware.

Elektronische Patientenakten umfassen wertvolle Daten wie den vollständigen Namen, das Geburtsdatum, die Sozialversicherungsnummer und Abrechnungsinformationen. All diese Daten sind für Cyberkriminelle bares Geld wert, wenn sie diese im Darknet anbieten.

Bei den Malware-Kampagnen werden außerdem häufig Anmeldedaten gestohlen. Bis zur Entdeckung werden dabei mehrere IT-Systeme infiziert sowie Abläufe erheblich gestört. Zudem gehen Angreifer bei einem erfolgreichen Ransomware-Angriff von einer schnellen Zahlung des Lösegeldes aus, da eventuell Menschenleben auf dem Spiel stehen.

Cybercrime bedroht Patientenleben

Das Problem dieser Cyberattacken ist, dass sie bei der Verschlüsselung von IT-Systemen das Leben der Patienten aufs Spiel setzen. Krankenhäuser gehören zu der Art kritischer Infrastrukturen, wo sich IT und das reale Leben vermischen. Der sofortige und zuverlässige Zugriff auf exakte Patientendaten kann Leben retten. Zudem müssen lebenskritische medizinische Geräte unter allen Umständen am Laufen gehalten werden. Der ständige Blick auf das Wohlergehen und die Gesundheit der Patienten steht fast immer über dem Schutz der Daten.

Das führt dazu, dass sich Krankenhäuser immer noch auf einige unsichere Prozesse für den Informationsaustausch sowie auf veraltete Kommunikationstechnologien verlassen. Threat Intelligence bietet wertvolle Details zu den Motiven und den Taktiken, Techniken und Prozeduren (TTPs) der Angreifer, sowie technische Indikatoren (IoCs), und liefert damit nützliche Informationen dazu, wie effektive Schutzmaßnahmen gestaltet werden sollten.

Alte IT und Shadow-IT

Krankenhäuser verfügen typischerweise lediglich über veraltete IT-Systeme und Geräte, die häufig ältere Software und Sicherheitstools ausführen und daher besonders leicht kompromittiert werden können. Mitarbeiter im Gesundheitswesen sind darauf angewiesen, jederzeit und überall auf Patienteninformationen zugreifen zu können. Aus diesem Grund schieben Administratoren das Upgrade der Geräte in Anbetracht potenzieller Unterbrechungen der Pflegeleistungen häufig auf. Gleichzeitig kann jedoch ein einziges veraltetes oder kompromittiertes System zu schwerwiegenden Sicherheitsverletzungen führen.

Um die Problembehebungsmaßnahmen zum Schutz der alten und neuen Ressourcen effektiv priorisieren zu können, sollten IT-Systeme mithilfe von Threat Intelligence potenzielle Sicherheitslücken in der eigenen Umgebung filtern. Dadurch können sich Anbieter mit begrenzten Sicherheitsressourcen auf wichtige Schwachstellen konzentrieren, die für das Unternehmen die größten Risiken darstellen. Darüber hinaus sind viele IT-Systeme gar nicht auf dem Radar der IT-Administratoren. Diese „Shadow IT“ stellt ein riesiges Problem dar.

Das Internet der Dinge (IoT) für medizinische Geräte sowie diverse Anwendungen für elektronische Patientenakten vereinfachen die Verfügbarkeit, Konnektivität und Skalierbarkeit für eine effizientere und verbesserte Patientenbetreuung. Zugleich vergrößern sie jedoch die Angriffsfläche und das Diebstahl- und Missbrauchsrisiko. Die Suche nach der optimalen Balance zwischen Digitalisierung und vorgegebenen Sicherheitsrichtlinien zum Schutz der Daten der Patienten und letztlich deren Gesundheit, gestaltet sich in Anbetracht der wachsenden Angriffsfläche als schwierig.

Hilfreich ist eine automatische Neuberechnung sowie Neu-Evaluierung der Prioritäten und Bedrohungsbewertungen anhand neuester Daten über aktuelle Malware wie Ransomware-Kampagnen. Wenn darüber hinaus auch Informationen über Veränderungen in der internen IT-Umgebung, beispielsweise neue Geräte, neue Nutzer oder neue Anwendungen hinzugefügt werden, führt dies dazu, dass Sicherheitsfachleute von Krankenhäusern sich kontinuierlich auf die relevantesten Strategien zur Risikominimierung konzentrieren können.

Fazit und Tipps

Eine zuverlässige Threat Intelligence-Plattform bietet den Verantwortlichen von Krankenhäusern den Kontext sowie die Möglichkeiten zur Anpassung und Priorisierung von Sicherheitsvorfällen. Sie können dann fundiertere Entscheidungen treffen, weil sie die Bedrohungen schneller erkennen und darauf reagieren können. Außerdem erleichtert es die Zusammenarbeit zwischen den einzelnen Abteilungen.

Tipps und Tricks zur Bedrohungserkennung:

• Konsolidierung aller Quellen für externe (z.B. NH-ISAC) und interne (z.B. SIEM) Bedrohungs- und Schwachstellendaten in einem zentralen Repository

• Aussortieren von nicht relevanten Informationen und einfaches Navigieren durch enorme Mengen an Bedrohungsdaten zur Konzentration auf wichtige Daten und Schwachstellen

• Priorisierung der Aspekte, die in Gesundheitssystem-Umgebungen am wichtigsten sind und die Integration nur solcher Indikatoren, die relevant für KRITIS-Sicherheitsrichtlinien sind

• Proaktives Suchen nach Cybercrime-Aktivitäten, die Patientenakten und Krankenhäusern erheblich schaden können

• Konzentration auf bekannte Sicherheitsschwachstellen, die derzeit aktiv ausgenutzt werden und die Vorschriften-Compliance beeinträchtigen können

• Schnellere Analyse und Reaktion auf Angriffe gegen mehrere Ziele (z.B. vernetzte medizinische Geräte)

• Automatische Einbindung von Threat Intelligence in Erkennungs- und Reaktionstools

*Der Autor: Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

(ID:46957531)