Least-Privilege-Prinzip Patienten- und Forschungsdaten in Gefahr

In der Corona-Pandemie kämpft der medizinische Bereich derzeit an mehreren Fronten: Krankenhäuser müssen nicht nur Pandemie-Opfer versorgen und Pharmaunternehmen die Herstellung von Impfstoffen vorantreiben, sondern gleichzeitig auch eine steigende Anzahl an Cyberangriffen abwehren.

Die Covid-19-Situation bietet einen fruchtbaren Boden für Angreifer, um Verwirrung zu stiften, Sicherheitslücken auszunutzen und insbesondere Einrichtungen des Gesundheitswesens anzugreifen. Von Krankenhäusern, die rund um die Uhr Patienten behandeln, bis hin zu pharmazeutischen Unternehmen, die fortschrittliche Impfstoffe entwickeln, haben Cyberkriminelle es auf Einrichtungen und Systeme abgesehen, die unter massivem Stress stehen.

Die Angriffe auf den Gesundheits- und Biotech-Sektor zeigen dabei eine Bösartigkeit von bisher nicht gekanntem Ausmaß. Die Methoden sind zwar unterschiedlich, aber das Ziel ist zumeist dasselbe: Sensible Daten abgreifen, um sie zu stehlen, zu verkaufen oder die Opfer zu erpressen.

Im Jahr 2020 verbreiteten Cyberkriminelle gefährliche Ransomware-Varianten wie Maze und Ryuk in Hunderten von Krankenhäusern. Staatlich unterstützte Angreifer nahmen Pharma- und Biotech-Unternehmen ins Visier, um Forschungsergebnisse von Covid-19 abzugreifen. Und Insider-Bedrohungen belasteten den Gesundheitssektor weiterhin, während einfache menschliche Fehler dazu führten, dass sensible Informationen exponiert wurden.

Neben der verschärften Bedrohungslage muss vor allem aber auch die eigene Cyberhygiene und das damit verbundene Datenrisiko in den Blick genommen werden. Der neue Datenrisiko-Report für den Gesundheitssektor (pdf) analysierte rund drei Milliarden Dateien im Rahmen von Datenrisikobewertungen bei 58 Healthcare-Unternehmen weltweit (u. a. in den USA, Deutschland, Frankreich und Großbritannien). Hierbei wurden vor allem drei Problemfelder sichtbar, welche die Gefährdung durch Datenschutzverletzungen, Insider-Bedrohungen und Ransomware-Angriffe zusätzlich vergrößern.

1. Zu weit gefasste Zugriffsrechte

Globale Zugriffsgruppen (wie „Jeder“, „Domänenbenutzer“ oder „Authentifizierte Benutzer“) ermöglichen es Mitarbeitern, Informationen gemeinsam zu nutzen. Sind Daten allerdings übermäßig exponiert und unzureichend geschützt, verlieren Unternehmen schnell die Kontrolle. Dies gilt insbesondere, wenn Mitarbeiter selbst die sensibelsten Informationen kopieren, freigeben, löschen oder ändern. Und ungeschützte Informationen sind für Cyber-Kriminelle, die nur ein Nutzerkonto kompromittieren müssen, um in die Systeme ihrer Opfer einzudringen, ein leichtes Ziel: Sämtliche Daten, auf die ein kompromittiertes Konto Zugriff hat, können entwendet und/oder verschlüsselt werden (Ransomware).

Durchschnittlich sind knapp 20 Prozent des gesamten Datenbestands und 12 Prozent (in kleineren Krankenhäusern und Unternehmen sogar 22 %) der sensiblen Dateien für jeden Mitarbeiter zugänglich. Im Durchschnitt hat jeder Mitarbeiter Zugriff auf 31.000 sensible Dateien wie vertrauliche Forschungsergebnisse, geistiges Eigentum sowie Gesundheits- und andere personenbezogene Daten. Hierbei handelt es sich um besonders sensible Informationen, die enormen Schaden verursachen können. Die Umsetzung eines Least-Privilege-Ansatzes ist ein grundlegender Schritt, den jedes Unternehmen ergreifen sollte, um den Zugriff effektiv zu beschränken und so Daten vor Diebstahl und Missbrauch zu schützen sowie gleichzeitig die Einhaltung von Vorschriften (wie der DSGVO) sicherzustellen.

2. Nicht mehr benötigte, aber noch vorhandene Nutzerkonten und Daten

Durchschnittlich werden mehr als zwei Drittel der Dateien (69 %) nicht mehr genutzt, erhöhen jedoch das Risiko für Verstöße gegen Vorschriften wie die DSGVO und stellen für Angreifer eine interessante Beute dar. Grundsätzlich gilt: Je weniger Daten potenziell entwendet werden können, desto geringer ist das Risiko oder desto sicherer ist das System. Alte Dateien, die dem Unternehmen oder der Einrichtung vielleicht nicht mehr sehr wichtig erscheinen, könnten allerdings für einen Angreifer, der nach Informationen sucht, äußerst interessant und wertvoll sein. Dies gilt insbesondere für Gesundheitsinformationen.

79 Prozent der Unternehmen verfügen über mehr als 1.000 nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Diese erlauben nicht nur ehemaligen Mitarbeitern und Partnern unnötigen Zugang zu Informationen, sondern eignen sich auch ideal für Cyberkriminelle, um sich unauffällig in den Systemen zu bewegen. Zum einen gibt es keinen aktiven Nutzer, der sich über vermeintlich von ihm selbst durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit bestimmten Berechtigungen. Mit diesen können Angreifer ohne Aufmerksamkeit zu erregen die anvisierten Unternehmen ausspionieren und – je nach Zugriffsrechten – „interessante“ Daten unauffällig entwenden.

3. Zeitlich unbegrenzte Passwörter

Unbefristete Passwörter geben Cyberkriminellen ausreichend Zeit für ihre Angriffe, etwa durch Brute-Force-Angriffe. 77 Prozent der Krankenhäuser und Unternehmen verfügen über mehr als 500 unbefristete Nutzer-Passwörter.

2020 war sicherlich in vielerlei Hinsicht für die Branche ein herausragendes Jahr. Betrachtet man die stetige Weiterentwicklung der Angriffstechniken und -taktiken kann jedoch auch für die Zukunft keine Entwarnung gegeben werden. Und auch wenn einige Hacker-Gruppen medienwirksam verkünden, Einrichtungen des Gesundheitsbereichs nicht anzugreifen, zeigt uns die Realität doch ein anderes Bild. So wurden allein im letzten Jahr bis November laut Bundesregierung in Deutschland 43 erfolgreiche Angriffe auf Gesundheitsdienstleister registriert.

Um sich vor den immer bösartigeren und ausgefeilteren Cyberangriffen zu schützen, müssen Krankenhäuser, Pharmaunternehmen und Biotech-Firmen ihre Prozesse zur Vorfallsreaktion und Schadensbegrenzung weiter ausbauen. Dabei sind die Durchsetzung des Least-Privilege-Prinzips, die Sperrung sensibler Daten und die Einschränkung der lateralen Bewegungen in den Umgebungen die absoluten Mindestmaßnahmen, die Unternehmen im Gesundheitswesen ergreifen müssen.

*DerAutor, Michael Scheffler, ist Country Manager DACH bei Varonis Systems.

Maßnahmenkatalog „Smart Hospitals“

Mehr IT-Sicherheit im Gesundheitswesen

(ID:47896163)