Hacker ohne Rücksicht auf Verluste

Wie rücksichtslos und systematisch Hacker vorgehen, hat die Coronavirus-Pandemie gezeigt, deren Chaos sie ausnutzten, beispielsweise beim Ausfall der IT-Systeme in den Krankenhäusern der Städte Lippe, Wolfenbüttel oder Tettnang.

Im September 2022, wurde ein französisches Krankenhaus, das Centre Hospitalier Sud Francilien, mit einem groß angelegten Angriff der Gruppe LockBit 3.0 konfrontiert. Sie forderte ein Lösegeld von 10 Millionen US-Dollar. Wiederrum einige Monate zuvor erklärte die Krankenhausgruppe GHT Cœur Grand Est, dass sie gezwungen war, die Internetverbindungen der Krankenhäuser Vitry-le-François und Saint-Dizier zu kappen, nachdem sie eine Lösegeldforderung von 1,3 Millionen US-Dollar erhalten hatte. In beiden Fällen haben die Hacker ihre Drohungen wahr gemacht und sensible Patientendaten online gestellt.

Im November 2022 warnte das FBI vor der Ransomware-Gruppe Hive, die Gesundheitssysteme angreift. Hive wurde erstmals im Juni 2021 entdeckt. Sie Verbrecher verschlüsseln Dateien und unterbrechen die Backup-Prozesse. Darüber hinaus droht die Bande damit, gestohlene Informationen auf der Website HiveLeaks zu veröffentlichen, falls kein Lösegeld gezahlt würde. Die Angreifer haben sogar einige der Opfer angerufen. In eineinhalb Jahren hat die Gruppe über 100 Millionen US-Dollar von über 1300 Unternehmen und Einrichtungen erpresst – der Großteil aus dem Gesundheitswesen.

Im Dezember 2022 musste ein französisches Krankenhaus im Vorort von Versailles nach wiederholten Ransomware-Angriffen geplante Operationen absagen und Patienten verlegen. Das André-Mignot-Krankenhaus in Chesnay-Rocquencourt war von einem Cyber-Angriff betroffen, der die Computer lahmlegte. Sechs Patienten mussten daraufhin von der Intensivstation und der Neugeborenenstation in nahe gelegene Krankenhäuser verlegt werden. Außerdem musste das Personal aufgestockt werden, da die Funktionen mehrerer wichtiger Maschinen nicht vollständig wiederhergestellt werden konnten.

Konsolidierte IT-Sicherheit hilft

Bezüglich der Abwehr solcher Attacken sei gesagt: Die Zahlung des Lösegelds kann die Cyber-Kriminellen zu weiteren Angriffen ermutigen. Sie stellt keine Garantie dar, dass die Dateien wiederhergestellt werden können. Es ist darum wichtig zu wissen, dass ein Ransomware-Angriff in der Regel mit einer anderen Bedrohung beginnt. Daher reicht es nicht, sich nur gezielt gegen Ransomware zu schützen. Es braucht eine Rund-um-Abwehr:

• 1. Auf Trojaner achten – Ransomware-Angriffe beginnen in der Regel mit sogenannten Trojanern, um überhaupt in das System zu gelangen. Die Infektion erfolgt Tage oder Wochen vorher. Daher sollten IT-Fachleute in ihren Netzwerken nach Trickbot-, Emotet-, Dridex- oder Cobalt Strike-Infektionen suchen und diese entfernen.

• 2. Angriffe erfolgen meist an Wochenenden und Feiertagen – Um den Personal-Mangel auszugleichen, sollte die Automatisierung der IT-Sicherheit vorangetrieben werden.

• 3. Anti-Ransomware-Lösungen nutzen – Eine Anti-Ransomware-Lösung behebt den Schaden und stellt den Normal-Zustand innerhalb von Minuten wieder her. Die Sicherheitslösung achtet auf ungewöhnliche Aktivitäten, wie das Öffnen und Verschlüsseln einer großen Anzahl von Dateien.

• 4. Datensicherung und -archivierung sind unerlässlich – Das Ziel von Ransomware lautet, das Opfer zur Zahlung eines Lösegelds zu zwingen. Dies ist jedoch nur möglich, wenn das Opfer tatsächlich den Zugriff auf seine Daten verloren hat. Daher sollten wichtige Daten einfach und schnell wiederherstellbar sein, weswegen konsequent Backups erstellt werden sollten – auch automatisch auf den Geräten der Mitarbeiter.

• 5. Netzwerk-Segmentierung und Geringste Privilegien – Benutzer sollte nur auf die Informationen und Teile des Netzwerks zugreifen dürfen, die sie für ihre Arbeit unbedingt benötigen. Die Segmentierung des Netzwerks teilt dieses in isolierte Zonen, an deren Grenzen der Datenverkehr und Zugang streng überwacht wird. Das verhindert das Springen von Malware und Ransomware durch das Netzwerk und beugt außerdem der Gefahr vor, die von gestohlenen Zugangsdaten hoch privilegierter Konten ausgeht.

• 6. Schulung der Mitarbeiter – Alle Angestellten, auch die Führungskräfte, sollten in der Lage sein, gängige IT-Bedrohungen zu erkennen, denn viele Angriffe beginne mit einfachen Phishing-E-Mails.

• 7. Regelmäßig Updates und Patches installieren – Die Bande WannaCry hat Organisationen auf der ganzen Welt im Mai 2017 schwer getroffen und in drei Tagen über 200 000 Computer infiziert, doch ein Patch für die ausgenutzte EternalBlue-Schwachstelle war bereits einen Monat vor dem Angriff verfügbar. Updates und Patches sollten daher sofort und automatisch installiert werden. In vielen Fällen ist dies jedoch in Krankenhäusern aus verschiedenen Gründen nicht möglich, weil, zum Beispiel, die betroffenen Geräte abgeschaltet werden müssten. Daher empfiehlt sich die Verwendung eines Intrusion Prevention Systems (IPS) mit virtuellen Patching-Funktionen.

• 8. IoT-Geräte sichern – Computer, Server, mobile Geräte sowie an das Internet oder Netzwerk angeschlossene Geräte können von Hackern angegriffen werden. Daher sollte eine konsolidierte IT-Sicherheitsarchitektur zum Einsatz kommen, die alle möglichen Bereiche der IT-Sicherheit abdeckt und aufeinander abgestimmte Komponenten zentral über eine Plattform steuert. Bei Bedarf sollte außerdem auf die Dienste externer Experten zurückgegriffen werden, wie Security Operations Center (SOC), oder Incident Response (IR).

Fazit

Somit lässt sich abschließend feststellen, dass Krankenhäuser und das Gesundheitswesen allgemein zwar in den Fokus rücksichtloser Hacker geraten sind, aber sich wehren können und müssen. Sie brauchen einen Schutz gegen alle Arten von IT-Attacken, inklusive der Analyse-Funktion unbekannter Zero-Day-Attacken.

(ID:49270108)