Cyber-Angriffe erkennen Sicherheitstipps für Krankenhäuser

Krankenhäuser, Kliniken und andere Organisationen des Gesundheitswesens fügen ihren Netzwerken mehr internetfähige Geräte hinzu als je zuvor. Diese Geräte bieten erhebliche Vorteile, wie die Möglichkeit, Patienten mit Echtzeit-Ergebnissen von medizinischen Scans zu überwachen. In einer Studie „Putting Healthcare Security Under the Microscope“ von 2019 hatte Forescout 75 Installationen im Gesundheitswesen mit über 10.000 virtuellen lokalen Netzwerken (VLANs) und 1,5 Millionen Geräten untersucht.

Die Zahl der angeschlossenen Geräte wächst mit Hyperspeed, was die Angriffsfläche vergrößert und die Absicherung der Infrastruktur erheblich erschwert. Dazu zählen Geräte speziell für das Gesundheitswesen wie Patientenverfolgungs- und Identifikationssysteme, Infusionspumpen und Bildgebungssysteme. Es gibt aber auch Infrastrukturgeräte wie Gebäudeautomationssysteme, physische Sicherheitssysteme, unterbrechungsfreie Stromversorgungen, Notstromgeneratoren und andere OT-Geräte, die sich zunehmend an IT-Netzwerke anschließen.

Infolgedessen verlagert sich die Verantwortung für OT unter die Zuständigkeit der IT. Laut Gartner „werden bis 2021 70 Prozent der OT-Sicherheit durch den CIO, den CISO oder die CSO-Abteilung verwaltet werden, gegenüber aktuell 35 Prozent“. Die Konvergenz dieser beiden bisher getrennten Netzwerke kann eine neue Klasse von Sicherheitsrisiken schaffen. Cyberkriminelle können sich jetzt horizontal über miteinander verbundene IT- und OT-Netzwerke bewegen. Zusammenschlüsse und Übernahmen, die im Gesundheitssektor regelmäßig stattfinden, verstärkt diese Sicherheitsherausforderungen noch weiter.

Ähnlich wie bei der klinischen Diagnose und Behandlung müssen CISOs Risiken frühzeitig erkennen und Prioritäten für die beste Vorgehensweise setzen. Sicherheits- und Risikomanagement-Teams, die versuchen, jedes Risiko einzudämmen, werden nur marginale Ergebnisse erzielen. Durch ein umfassendes Verständnis der Bedrohungen im Netzwerk und die Ermittlung der Geräte, die das größte Risiko bergen, ist es möglich, zielgerichtet das Risiko im gesamten Netzwerk zu reduzieren, die Effizienz und Effektivität der eingesetzten IT zu erhöhen und vor allem Anderen den Schutz der Patienten zu verbessern.

Cyberrisiken für Krankenhäuser steigen

Die Angriffe auf das Gesundheitswesen sind 2019 im Vergleich zum Vorjahr um 60 Prozent gestiegen. Einigen Metriken zufolge werden die Angriffe von 2019 voraussichtlich vier Milliarden US-Dollar kosten. Lösegeld-Angriffe haben im vergangenen Jahr insbesondere Krankenhäuser auf der ganzen Welt verwüstet, so dass sie keinen Zugang zu Patientenakten haben und die laufende Patientenversorgung gefährden.

Organisationen aus dem Gesundheitswesen stehen vor einzigartigen Herausforderungen, die angegangen werden müssen, um sie wirksam zu schützen. So verfügen sie beispielsweise über eine zunehmende Vielfalt an Geräten aus dem „Internet der Medizin“ (Internet of Medical Things, IoMT) als auch in der traditionelleren IT. Viele dieser Geräte sind auch auf ältere Betriebssysteme wie Windows XP und Windows 7 angewiesen. Diese Betriebssysteme erhalten keine oder kaum noch Sicherheitsupdates und die Aktualisierung erfordern oft Ausfallzeiten. Schließlich fehlen vielen Organisationen im Gesundheitswesen Strategien zur Netzwerksegmentierung, was die Verbreitung von bösartiger Malware über flache Netzwerke einschränken würde.

Um den genannten Herausforderungen zu begegnen, sollten Organisationen daher einige grundlegende Fragen zum Gesundheitscheck ihrer IT-Systeme prüfen:

• Sind alle Geräte im Netzwerk bekannt und wurde ihre Sicherheitslage beurteilt?

• Entsprechen alle medizinischen Geräte den Branchenvorschriften und können ohne Beeinträchtigung der Patientendienste verwaltet werden?

• Wird der Gerätezugang zu allen Netzwerkumgebungen kontrolliert?

• Ist das Netzwerk richtig segmentiert und wird diese konsequent umgesetzt?

• Kann anomales Verhalten von Akteuren im Netzwerk erkannt und schnell darauf reagiert werden?

Krankenhäuser benötigen auch ein Höchstmaß an Netz- und Geräteverfügbarkeit und -zuverlässigkeit, um eine kontinuierliche, qualitativ hochwertige Patientenversorgung zu gewährleisten. Die Verbesserung der allgemeinen Cybersicherheit ist ein wichtiger Teil der Erfüllung dieser Anforderung. Verbesserungen der IT-Sicherheit sollten umgesetzt werden können, ohne dass die aktuelle Netzwerkinfrastruktur völlig neugestaltet oder ersetzt werden muss.

Darüber hinaus sollten sie keine kritischen Prozesse negativ beeinflussen, insbesondere solche, die sich auf die Patientenversorgung auswirken könnten. IT-Sicherheitsabteilungen von Krankenhäusern sollten mit kontinuierlicher, kontextabhängiger Netzwerk- und Geräteintelligenz die richtigen richtlinienbasierten Aktionen zur Kontrolle des Netzwerkzugangs und zur Eindämmung von Bedrohungen ohne Netzwerkunterbrechung durchführen.

Daraus lassen sich vier zentrale Empfehlungen ableiten:

• Agentenlose Erkennung aller angeschlossenen Geräte: Obwohl Software-Agenten es dem Sicherheits- und IT-Management erleichtern, mit diesen Geräten zu kommunizieren und ihre Aktivität zu überwachen, unterstützen die meisten medizinischen Geräte keine Agenten. Eine agentenlose Erkennung aller IP-verbundenen Geräte im gesamten erweiterten Netzwerk ist daher entscheidend.

• Geräte identifizieren und automatisch klassifizieren: Es reicht nicht aus, einfach nur die IP-Adresse eines Geräts zu ermitteln. Eine schnelle und granulare Auto-Klassifizierung ist unerlässlich, um kontextbezogene Erkenntnisse aus jedem Gerät im Netzwerk zu gewinnen und seinen Zweck, seinen Besitzer und sein Sicherheitsprofil zu bestimmen. Diese Informationen müssen in eine Echtzeit-Bestandsaufnahme einfließen, um Zugriffskontrollrichtlinien festzulegen und Sicherheitsteams dabei zu unterstützen, schnell auf gezielte Angriffe auf bestimmte Betriebssysteme oder Geräte zu reagieren.

• Geräte kontinuierlich überwachen: Medizinische Geräte müssen kontinuierlich überwacht werden, um jede Veränderung des von Ihnen potentiell ausgehenden Risikos zu erkennen. Eine periodische Point-in-Time-Analyse kann zu einer Set-it-and-forget-it-Mentalität führen, bei der die Compliance-Müdigkeit einsetzt und sich das Risiko ausbreitet. Eine kontinuierliche Netzwerküberwachung mit passiven und/oder aktiven Techniken in klinischen und OT-Umgebungen bietet Sicherheitsteams ein situatives Echtzeit-Bewusstsein, um die Informationen und das Verhalten der Geräte kontinuierlich zu verfolgen. Dies steigert die Effizienz der Sicherheitsteams und spart wertvolle Zeit.

• Segmentierung durchsetzen: Netzwerksegmentierung ist eine bekannte Best Practice, aber sie ist nicht einfach zu verwalten oder im gesamten Netzwerk durchzusetzen. Risikobehaftete Geräte, wie z.B. Alt-Systeme, von denen man weiß, dass sie anfällig sind, sollten segmentiert werden, um eine potenzielle Verletzung einzudämmen und das Risiko zu begrenzen. Eine kontinuierliche Überwachung, ob Segmentierungsvorgaben effektiv umgesetzt werden, ist daher geboten.

Fazit

Die Cyber-Bedrohungen für Krankenhäuser steigen. Angeblichen Versprechen von cyberkriminellen Gruppierungen über angebliche Schonungen darf schon deshalb kein Glaube geschenkt werden, weil die Angreifer hier nicht chirurgisch, sondern mit der Metzgerklinge vorgehen. Viele Einrichtungen sind schlecht auf den Trend „Internet der Medizin“ vorbereitet. Wenn Sicherheitsverantwortliche jedoch die vier Sicherheitstipps in diesem Beitrag beherzigen, haben sie eine Chance die Angriffe wenigstens zu erkennen und zu stoppen, bevor Menschenleben gefährdet werden.

*Der Autor: Kristian von Mejer, Global Account Executive bei Forescout Technologies Inc.

(ID:46825806)