Cyber-Sicherheit für Gesundheitseinrichtungen Krankenhaus-IT im Rahmen Kritischer Infrastrukturen

Die IT nimmt in unserem Leben eine immer größere Rolle ein. Ihr Ausfall kann dadurch zu einer Herausforderung werden. Sind Unternehmen oder Einrichtungen betroffen, die zu den sogenannten kritischen Infrastrukturen (KRITIS) zählen, kann das schnell zu einem echten Problem werden. Um Angriffe zu unterbinden, werden hier wichtige Technologien für die „Threat-Bekämpfung“ vorgestellt.

Das BSI definiert Kritische Infrastrukturen dabei folgendermaßen: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Auf dieser Grundlage sollen im Folgenden die Herausforderungen für Gesundheitseinrichtungen sowie entsprechende Maßnahmen betrachtet werden.

Die Hauptmotivation für die große Mehrheit der Cyber-Angriffe ist Geld, was im Besonderen gerade auch auf Attacken gegen Einrichtungen des Gesundheitswesens zutrifft. Zudem sind Gesundheitsversorger wie Krankenhäuser weithin sichtbare Ziele, weil kriminelle Akteure davon ausgehen, dass ihre IT-Security nicht auf dem aktuellen Stand der Technik ist. Daher gehören medizinische Einrichtungen regelmäßig zu den meist angegriffenen Branchen. Bedrohungsakteure, die Ransomware einsetzen, sind in der Lage den täglichen Betrieb von Gesundheitsdienstleistern ernsthaft zu beeinträchtigen.

Darüber hinaus können störende Angriffe kritische Systeme (z.B. Medizintechnik) innerhalb eines Krankenhauses außer Betrieb setzen, sabotieren oder Funktionen stören. So wurden beispielsweise im Juli 2019 mehrere Krankenhäuser der Trägerschaft Süd-West des Deutschen Roten Kreuzes (DRK) Opfer einer Ransomware-Attacke. Hacker hatten es geschafft, eine Schadsoftware in das IT-Netzwerk einzuschleusen und Datenbanken und Server zu verschlüsseln. Jedoch sind das nicht die einzigen Herausforderungen mit denen Einrichtungen im Gesundheitswesen konfrontiert werden.

Herausforderungen für die IT-Sicherheit von Krankenhäusern

Nicht erst seit Corona ist bekannt, dass die meisten Krankenhäuser und Gesundheitseinrichtungen vor chronischen Budgetherausforderungen stehen und zusehen müssen, wie sie ihre IT sicher gestalten. Zu den häufigsten Gründen für eine mangelnde Cybersicherheit gehören:

• Die primäre Zielsetzung einer Gesundheitseinrichtung ist die medizinische Versorgung der Patienten. Entsprechend wird der Großteil der Ressourcen auch in diesem Bereich investiert. In der Folge ergibt sich daraus, dass in vielen Fällen nur ein geringes Budget für die Cybersicherheit zur Verfügung steht.

• Die Computer und die Diagnosegeräte im Krankenhaus werden von vielen Personen genutzt, wie beispielsweise Ärzten, Pflegepersonal und Technikern, die regelmäßig wechseln. Dadurch wird die Umsetzung von strikten Sicherheitsregeln und Authentifizierungsprozesse erschwert. Das ist insbesondere der Fall, wenn dadurch der tägliche Ablauf behindert wird.

• Diagnosegeräte sind teuer und Krankenhäuser können es sich nicht leisten, diese für Wartung über längere Zeiträume hinweg vom Netz zu nehmen. In einigen Fällen verfällt beim Ändern von Einstellungen oder dem Updaten des eingebetteten Betriebssystems die Zertifizierung, die Garantie oder die Versicherung des Geräts. Aus diesem Grund wird häufig davon abgesehen, diese Geräte für die IT-Sicherheit anzupassen.

• Da Diagnosegeräte sehr teuer sind, werden sie nicht regelmäßig ersetzt. Solange sie korrekt funktionieren, bleiben sie im Einsatz, auch wenn der Support abgelaufen ist.

• Nicht alle Krankenhäuser haben ein Team, das explizit für die IT-Sicherheit zuständig ist. In den meisten Einrichtungen sind die IT-Mitarbeiter neben der Untersuchung von Cyberangriffen und der Wiederherstellung des Systems ebenfalls für die allgemeinen IT-Services zuständig. So entsteht eine hohe Doppelbelastung für die Mitarbeiter.

Maßnahmen, um die IT-Sicherheit für Krankenhäuser zu stärken

Als integraler Bestandteil der täglichen Geschäftsabläufe in Krankenhäusern sollten Strategien zur Verhinderung von Cyberangriffen und Datenschutzverletzungen aufgestellt werden. Letztlich ist keine Verteidigungsstrategie gegenüber entschlossenen Gegnern gänzlich unüberwindbar. Deshalb ist es von entscheidender Bedeutung, wirksame Warn-, Eindämmungs- und Abwehrprozesse umzusetzen.

Basierend auf den verschiedenen Arten von Cyber-Bedrohungen, denen Krankenhäuser ausgesetzt sind, können folgende Empfehlungen für die Umsetzung von Abwehrstrategien als obligatorisches Best Practice für das IT-Ökosystem von Krankenhäusern betrachtet werden. Sicherlich wird jede Organisation – auch innerhalb der Gesundheitsbranche – im Einzelfall vor unterschiedlichen individuellen Herausforderungen stehen, die möglicherweise zusätzliche Prüfungen erfordern. Das kann jedoch nur nach einer genauen Analyse des Status quo und des jeweiligen organisatorischen Aufbaus erkannt werden. Angesichts der konkurrierenden Prioritäten, mit denen sich IT-Teams im Gesundheitswesen täglich auseinandersetzen müssen, ist es jedoch wichtig zu betonen, dass es zur Berücksichtigung der folgenden Maßnahmen kommen sollte:

Breach Detection System (BDS)

Das Breach Detection System (BDS) ist eine Zusammensetzung aus verschiedenen Sicherheitsmaßnahmen und Praktiken, die zur Erkennung von infizierten Geräten, Malware und anderen Bedrohungen dienen. Dadurch wird ungewöhnliche Kommunikation entdeckt, die zur Identifizierung initial erfolgreicher Angreifer dient. Diese Sicherheitslösungen konzentrieren sich auf die Erkennung von Regelverstößen (Breach) innerhalb eines Netzwerks, die durch gezielte Angriffe und andere ausgeklügelte Bedrohungen verursacht werden, um Informationen aus den kompromittierten Systemen zu gewinnen. Das BDS analysiert komplexe Out-of-Band-Angriffe und erkennt diese.

Des Weiteren ist es in der Lage, Netzwerkverkehrsmuster über mehrere Protokolle hinweg zu analysieren, bösartige Domains zu identifizieren und das Verhalten von bösartigen Dateien, die abgelegt oder heruntergeladen werden, mithilfe von Emulation-Sandboxing zu modellieren. Ein BDS ist eine im Verhältnis einfache und schnell implementierbare Methode, um Angreifer innerhalb einer Umgebung zu identifizieren.

Intrusion Prevention System (IPS) und Intrusion Detection System (IDS)

Bei IPS und IDS handelt es sich um Netzwerksicherheitssysteme, die den Informationsfluss untersuchen, um so Angriffe auf das Netzwerk zu verhindern. Dabei sind IDS passive Systeme, die eine Meldung erstellen, sobald eine verdächtige und potenziell bösartige Aktivität entdeckt wurde. IPS hingegen dienen zur Überwachung von ein- und ausgehenden Datenpaketen und weisen diese zurück, wenn sie als verdächtig eingestuft werden. Netzwerkbasiertes IPS/IDS überwachen das gesamte Netzwerk auf verdächtigen Aktivitäten, indem sie Protokolle analysieren und Deep Packet Inspections vornehmen.

Patch-Management

Ältere und nicht gepatchte Firmware, nicht nur in medizinischen Geräten, stellt eine große Sicherheitslücke dar. Häufig ist die Installation von Patches auf teilweise veralteten Betriebssystemen problematisch beziehungsweise sind einige Patches herstellerseitig nicht mehr verfügbar. Zudem sind einige Bereiche der Medizintechnik Teil der IT-Infrastruktur und somit ein interessantes Objekt für die Verbreitungstechniken von Angreifern. Bedrohungsakteure können diese offenen Lücken nutzen, um entweder die Hardware zu kompromittieren oder sich lateral innerhalb des Netzwerks zu bewegen. Um Schwachstellen zu vermeiden und kontinuierlich zu schließen, ist ein kontrolliertes und gesteuertes Patch- und Wartungsmanagement nötig.

Patch-Management-Software hält Endpunkte, Server und Remote-Computer durch Sicherheits-Patches und Software-Updates auf dem neuesten Stand. Ist dies aufgrund oben beschriebener Herausforderungen nicht oder nur teilweise möglich, erlaubt ein sogenanntes „virtuelles Patching“ die entsprechenden Aktualisierungen zu simulieren, ohne in die Systeme einzugreifen. Das Änderungs- und Patchmanagement muss im sensiblen KRITIS-Kontext mit besonderer Sorgfalt erfolgen, um Risiken für entsprechende medizinische Prozesse zu minimieren.

Da dies mitunter viel Zeit in Anspruch nimmt, in der das System ungeschützt ist, wird zunächst der virtuelle Patch eingesetzt, um die gravierendsten Sicherheitslücken zu schließen. Es handelt sich hierbei sozusagen um eine Übergangslösung, bis der eigentliche Patch installiert werden kann. Virtuelles Patching funktioniert durch die Implementierung von mehrschichtigen Sicherheitsrichtlinien und -regeln, die verhindern, dass ein Exploit Netzwerkwege zu und von einer Schwachstelle nimmt. Es bietet einen durchgängigen Schutz, der böswillige Aktivitäten auf geschäftskritischen Datenverkehr untersuchen und blockieren, Einbrüche erkennen und blockieren sowie Angriffe auf Web-Anwendungen unterbinden kann.

Detection and Response

Endpoint Detection and Response (EDR) ist ein Überbegriff für bewährte Techniken, mit denen Cyberattacken auf Endpunkte (wie Computer oder Mobilgeräte) erkannt und bekämpft werden können. Da viele Angriffe auf den Endpunkten starten oder dort landen, ist es von Vorteil, Systeme einzusetzen, die in der Lage sind, die komplexen Zusammenhänge zu erkennen sowie die ständige Überwachung der jeweiligen Geräte sichern.

Gleichzeitig ist erneut zu betonen, dass keine Verteidigung für entschlossene Gegner unüberwindbar ist – Cyberangriffe und Datenschutzverletzungen müssen deshalb einkalkuliert werden. Wirksame Warnsysteme, Eindämmung und Schadensbegrenzung sind deshalb essenziell. Detection and Response erfüllt die IT-Sicherheitsgesetz-Anforderungen, gefährliche Angriffe rechtzeitig zu erkennen und einzuschätzen sowie im Falle von Meldungen des BSI, Systeme auf mögliche Indikatoren eines Angriffs zu prüfen. Ist eine Warnung von Seiten des BSI für den Angriff ausgesprochen worden, muss es in nächster Instanz zur Einleitung geeigneter Gegenmaßnahmen kommen, die nicht nur das System bereinigen, sondern auch zur Vermeidung einer Neuinfizierung beitragen.

Da EDR allerdings in der Regel nicht auf Medizintechnik-Geräten ausgerollt werden kann und andere kritische Bereiche der IT, wie beispielsweise den eMail-Verkehr nicht überwacht, empfiehlt sich die Kombination mit anderen Verteidigungstechniken. In der IT-Security wird hierfür der Begriff „XDR“ (Cross-Layer Detection & Response) also „übergreifende Erkennung und Reaktion“ verwendet.

Nach IT-Sicherheitsgesetz müssen die Themen Cyberangriffe und Strategien zur Vermeidung von Datenverlusten integraler Bestandteil des täglichen Geschäftsbetriebs in Krankenhäusern sein. Das Schlüsselprinzip der Verteidigung besteht darin, Kompromisse einzugehen und geeignete Gegenmaßnahmen zu ergreifen. So ist es notwendig, die Sicherheitsverletzung einzudämmen und dadurch den Verlust sensibler Daten zu unterbinden. Des Weiteren ist es hilfreich, die gewonnenen Erkenntnisse zur präventiven Verhinderung von Angriffen zu nutzen, um die Verteidigung weiter zu stärken und wiederholte Vorfälle zu verhindern. Speziell die schnelle Erkennung und Bekämpfung von erfolgreichen Angriffen hat enorm an Bedeutung gewonnen.

*Der Autor: Richard Werner, Business Consultant bei Trend Micro

(ID:46861416)