Security in der Krankenhaus-IT Virtual Patching schützt Schwachstellen im Gesundheitswesen

In den Client-Server-Landschaften von Kliniken und anderen Gesundheitseinrichtungen fällt es jedoch häufig schwer, Schwachstellen zeitnah zu schließen. So lassen sich Server nur schwer patchen, während das Einspielen von Sicherheits-Updates bei Medizintechnik oder Legacy-Systemen zu riskant oder nicht möglich ist. Virtuelle Patches hingegen schirmen die Angriffsflächen dieser Systeme ab.

Kliniken stellen lukrative Ziele für die Cybercrime-Szene dar. Ein Systemausfall in einer solchen Einrichtung könnte sich gravierend auf die Versorgung von Patienten auswirken. Um dem entgegenzuwirken, zählen Krankenhäuser, die mehr als 30.000 stationäre Behandlungen im Jahr durchführen, zu den KRITIS-Betreibern. Als solche sind sie verpflichtet, ihre IT-Sicherheit auf dem „Stand der Technik“ zu unterhalten. Das soll die Voraussetzung schaffen, gegen mögliche Attacken gewappnet zu sein oder schnell reagieren zu können.

Einen Eindruck darüber, wie gefährdet die deutschen Krankenhäuser sind, gibt die Preview-Studie „Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic“, die Alpha Strike Labs, Limes Security und die Universität der Bundeswehr erstellt haben. Die Forscher werteten Internetscans von 1.500 Krankenhäusern aus und fanden dabei über 900 kritische Schwachstellen. 32 Prozent der Netzwerkdienste waren verwundbar, die sich auf 36 Prozent der untersuchten Einrichtungen verteilten. Die Studie benennt knappes Budget, wenig Personal und fehlendes Risikobewusstsein als Gründe, warum Hackern Angriffsfläche geboten wird. Konkret verweisen die IT-Sicherheitsexperten auf Windows-2003-Server, die noch im Einsatz sind, obwohl Microsoft für diese Systeme seit 2015 keine Sicherheits-Updates mehr bereitstellt.

Aufwändige oder unmögliche Sicherheitsupdates

Betrachtet man die typische IT-Umgebung einer Healthcare-Einrichtung genauer, fallen weitere Risikofaktoren neben den End-of-Support-Systemen auf. Meist ist Medizintechnik eingebunden, deren Geräte sich nicht patchen lassen, weil sonst seitens der Hersteller eine einwandfreie Funktionsweise nicht mehr garantiert werden kann. Zudem betreiben Krankenhäuser in der Regel eine Client-Server-Architektur, wobei das Absichern der Server herausfordernd und aufwändig ist. Bevor ein Patch eingespielt wird, muss ein Test erfolgen, der Zeit kostet, die eine IT-Abteilung in der Regel nicht hat. Der B3S (Branchenspezifischer Sicherheitsstandard) bestätigt die Wichtigkeit eines solchen Rollback-Prozesses im Falle von Patch-Problemen. Dadurch geraten IT-Abteilungen zusätzlich unter Druck. Falls ein Patch nicht funktioniert, muss die interne IT den Vorher-Zustand wiederherstellen. In diesem Fall geht Zeit verloren und darüber hinaus bleibt womöglich eine Sicherheitslücke offen, für die Microsoft beispielsweise Notfall-Patches bereitgestellt hat. Im Durchschnitt brauchen Unternehmen jedoch zehn Tage, um diese aufzuspielen. Bei Patchen mit geringerer Prioritätsstufe dauert es bis zu sechs Monate oder länger.

Virtual Patching versus klassische Exploit-Filter

Auf der Netzwerkebene kommen deshalb häufig Exploit-Filter zum Einsatz, die Angriffe auf nicht gepatchte Schwachstellen abwehren sollen. Ein Filter wird jedoch jeweils nur für einen speziellen Exploit entwickelt. Ein anders programmierter Schadcode „rutscht“ deshalb durch dieselbe Schwachstelle durch, weshalb Softwarehersteller und Systemanbieter unter Zeitdruck einen weiteren Filter aufsetzen müssen. In der Folge summieren sich zum einen die nötigen Filter, wodurch der Prozess zunehmend länger dauert, bis der Netzwerkverkehr alle Filter passiert hat. Zum anderen sind die Filter fehleranfällig und decken nicht die gesamte Schwachstelle ab. Deshalb steigt mit jedem neuen Filter die Zahl der False-Positive-Meldungen, während das zu schützende System verwundbar bleibt. Es besteht folglich die Gefahr, dass Attacken übersehen werden.

Ein Intrusion Prevention System (IPS), das Virtual Patching anwendet, betrachtet hingegen nicht die einzelnen Exploits, sondern die Schwachstelle an sich. Die Technologie blockiert dabei die Pakete, welche versuchen, Schwachstellen auszunutzen. Das kann beispielsweise der unautorisierte Zugang zu einem System, einer Software oder einem Netzwerk-Element sein. Cyberkriminelle können so die vorhandenen Angriffspunkte nicht mehr ausnutzen, wodurch auch ungepatchte Systeme geschützt sind.

Geschwindigkeitsvorsprung für den Nutzer

Dabei ist entscheidend, dass ein virtueller Patch möglichst schnell zur Verfügung steht, sobald eine Schwachstelle bekannt wird. Aus diesem Grund haben sich in der Zero Day Initiative (ZDI) unabhängige Sicherheitsforscher, Technologieanbieter und Sicherheitsspezialisten wie Trend Micro global zusammengeschlossen, um Schwachstellen aufzudecken. Der Verbund identifiziert rund die Hälfte aller weltweit bekannten Vulnerabilities. Daher kann auf Daten der ZDI basierendes Virtual Patching auch Schwachstellen schließen, die noch nicht veröffentlicht sind. Im Durchschnitt können Nutzer so einen Sicherheitsvorsprung von 96 Tagen gewinnen, bis ein Hersteller-Patch verfügbar ist. Ist das Sicherheitsupdate erfolgreich, wird der virtuelle Patch automatisch deaktiviert. Er wird nicht mehr benötigt, sobald der echte Patch implementiert wurde.

Virtual Patching bringt viele Vorteile

Virtual Patching macht die Krankenhaus-IT sicherer, da es ungepatchte Legacy-Systeme und Medizintechnik sowie schwer zu updatende Server abschirmt, ohne dass interne IT-Fachkräfte die Software bearbeiten müssen. Diese Systeme sind automatisch innerhalb von 24 Stunden nach Bekanntwerden einer Schwachstelle geschützt, wobei die Technologie den „Fingerprint“ der Schwachstelle abdeckt und Angriffe möglichst effektiv blockt. Für Schwachstellen, die zuerst von der ZDI gefunden werden, stellen Security-Anbieter der ZDI einen virtuellen Patch vor Veröffentlichung der Schwachstelle bereit.

(ID:47331009)