Gesundheitswesen Im Visier der Cyberkriminellen

Autor / Redakteur: Andreas Müller* / Julia Mutzbauer

Das Gesundheitswesen wird zunehmend zum Ziel von Cyberangriffen – ein aktueller Branchenreport beleuchtet die Risiken und zeigt Lösungsansätze auf.

Smarte medizinische Geräte erleichtern es Angreifern, sich seitlich in einem Gesundheitsnetzwerk zu bewegen
Smarte medizinische Geräte erleichtern es Angreifern, sich seitlich in einem Gesundheitsnetzwerk zu bewegen
(© auremar - stock.adobe.com)

Cybersicherheit ist ein großes Thema im Gesundheitswesen, denn Kliniken geraten immer öfter ins Visier von Cyberkriminellen. Klinische IT-Umgebungen wirken ­geradezu einladend auf versierte Hacker. So kommen immer mehr vernetzte Geräte zum Einsatz. Diese bieten neue Möglichkeiten, um die Versorgung zu verbessern und die Kosten zu senken.

Viele dieser intelligenten Geräte weisen jedoch unzureichende Sicherheitsmaßnahmen auf und sind meist ohne Sicherheitsüberprüfung mit dem Netzwerk verbunden. Oftmals sind Netzwerke nicht partitioniert, die Zugangskontrollen unzureichend und ohnehin sicherheitsanfällige Altsysteme im Einsatz. Dadurch entsteht eine ebenso große Angriffsfläche für die Attacken Krimineller.

Problem Patientenakte

Gesundheitseinrichtungen sind zudem gefährdet durch die Fahrlässigkeit und unbeabsichtigte Fehler der Mitarbeiter, aber auch durch Insider, die vorsätzlich Sicherheitslücken ausnutzen, um vertrauliche Daten zu stehlen und klinische Prozesse zu stören. Dies wird oft erleichtert durch die unsachgemäße Handhabung und Aufbewahrung von Patientenakten. Somit gibt es viele Schwachpunkte, die Cyberkriminelle, die das Gesundheitswesen ins Visier nehmen, gezielt ausnutzen können. Hinzukommen Risiken, die durch Mitarbeiter unbewusst oder vorsätzlich herbeigeführt werden.

Die Umsetzung der IT-Sicherheit in Klinikumgebungen ist anspruchsvoll. Allein das Patchen von Sicherheitslücken ist eine Herausforderung, da die IT-Systeme rund um die Uhr laufen müssen. Der Mix aus alter und neuer Infrastruktur sowie vielerlei Geräte schafft vielfältige Sicherheitsrisiken.

Einerseits sind gefährdete ältere Betriebssysteme und Software weit verbreitet, andererseits kommen immer wieder moderne Technologien und vernetzte medizinische Geräte hinzu. Ärzte und Pflegekräfte benötigen Zugang zu elektronischen Patientenakten, Bilddateien sowie Werkzeugen. Darüber hinaus ist eine Vielzahl von Produktivitäts- und Verwaltungsanwendungen im Einsatz. Zugleich nimmt die Nutzung der Cloud zu, da diese große wirtschaftliche Potentiale bietet.

In Zeiten von Online-Bewertungen ist auch die „Kundenzufriedenheit“ wichtig für den Ruf des Hauses. Patienten und ihre Familien nutzen das Gast-WLAN, um in Verbindung zu bleiben und für Unterhaltung, während sie warten bzw. während eines Krankenhausaufenthalts. Alle privaten, unkontrollierten Geräte erweitern die Angriffsfläche zusätzlich. Dies kann auch der Fall sein, wenn Ärzte für mehrere Krankenhäuser arbeiten und auf interne IT-Systeme über externe Netzwerke mit geringen Sicherheitskontrollen zugreifen. Viele Kliniken dienen zudem auch als Lehranstalten. Dadurch werden Medizinstudenten zu einem wichtigen Teil des Klinikbetriebs, wodurch noch mehr Menschen Zugang zu kritischen Daten erhalten.

Typische Verhaltensweisen von Cyberangreifern

Vectra verdeutlicht in seinem kürzlich veröffentlichten Spotlight-Report 2019 für das Gesundheitswesen die kritischsten Bedrohungsszenarien und vergleicht deren Häufigkeit mit anderen Branchen im Untersuchungszeitraum von Juli bis Dezember 2018:

Botnet-Aktivitäten

Botnets stellen opportunistische Angriffe dar, die nicht auf bestimmte Branchen ausgerichtet sind. Die Angreifer übernehmen dabei die Kontrolle über fremde Rechner oder IoT-Geräte, um Rechenleistung abzuschöpfen für die Verbreitung von Malware oder für das „Schürfen“ von Kryptowährungen. Während Botnet-Angriffe branchenübergreifend fortbestehen, ist ihre Häufigkeit im Gesundheitswesen nicht signifikant.

Command and Control

Durch „Command and Control“ kann ein Angreifer aus der Ferne eine Maschine kapern und für Angriffe missbrauchen. Versteckte HTTPS-Kommunikation ist das häufigste Command-and-Control-Verhalten im Gesundheitswesen. Dieser Datenverkehr stellt eine externe Kommunikation mit mehreren Sitzungen über einen längeren Zeitraum dar, die wie normaler verschlüsselter Webverkehr aussieht. Dadurch können die Schutzmechanismen getäuscht werden, und der Eindruck regulären Datenverkehrs entsteht. Der schwierige Aspekt der Sicherheit besteht darin, zu überprüfen, ob die Geräteverbindung zu entfernten Standorten wie vorgesehen funktioniert.

Weitere Bedrohungsszenarien finden Sie auf der nächsten Seite.

Netzwerkinternes ­Aufklärungsverhalten

Angreifer sind zunächst immer erst einmal daran interessiert, die unbekannte Umgebung auszuforschen. Vectra beobachtete einen Anstieg der internen Auskundschaftung im Gesundheitswesen, zurückzuführen auf interne Darknet-Scans und Scans von Micro­soft-Server-Message-Block (SMB)-Accounts. Interne Darknet-Scans erfolgen, wenn interne Host-Geräte nach internen IP-Adressen suchen, die im Netzwerk nicht vorhanden sind. SMB-Account-Scans treten auf, wenn ein Host-Gerät schnell mehrere Konten über das SMB-Protokoll verwendet, das typischerweise für die Dateifreigabe verwendet wird.

Seitlich im Netzwerk bewegen

Eindringlinge bewegen sich seitlich im Netzwerk und versuchen immer mehr Zugriffsrechte zu erlangen. Seitliche Bewegungen treten auf, wenn angeschlossene Systeme und Geräte über das Netzwerk miteinander kommunizieren. Das Gesundheitswesen ist hierbei durch veraltete Überwachungsmaßnahmen und unsichere Protokolle wie FTP gefährdet, zudem sind Remote-Desktops weit verbreitet.

Ebenso erleichtern es smarte medizinische Geräte den Angreifern, sich seitlich in einem Gesundheitsnetzwerk zu bewegen und über unkritische und kritische Subsysteme zu springen, bis sie Wege finden, ihre bösartigen Vorhaben auszuführen. Medizinische Geräte können auch als Plattform genutzt werden, von wo aus automatisierte Replikationsverhalten ausgeführt wird, indem sie sehr ähnliche Nutzlasten an mehrere interne Ziele senden. Angreifer können diese Art von Verhalten nutzen, um ihre eigene Seitwärtsbewegung innerhalb von Gesundheitsorganisationen zu verbergen.

Ransomware

Vor zwei Jahren wurden mehrere Kliniken weltweit Opfer einer hohen Rate von Ransomware-Angriffen, auch in Deutschland, wodurch der Klinikbetrieb teils massiv beeinträchtigt wurde. Im aktuellen Untersuchungszeitraum waren Ransomware-Angriffe nicht so häufig, bleiben aber dennoch weiterhin eine echte Bedrohung in der Branche. Daher ist es entscheidend, entsprechende Anzeichen zu erkennen, bevor Ransomware sich ausbreitet, zuschlägt und Dateien verschlüsselt.

Datendiebstahl

Liegen wertvolle Daten in ihrer Reichweite, dann werden Angreifer versuchen, dieser habhaft zu werden und zu Geld zu machen. Versteckte DNS-Tunnel waren die häufigste erkannte Aktivität im Zusammenhang mit Datenexfiltration im Gesundheitswesen. Hierbei kommuniziert ein internes Host-Gerät mit einer externen IP über DNS, während ein anderes Protokoll über die DNS-Session läuft.

Das zweithäufigste Exfiltrationsverhalten ist Smash-and-Grab, das auftritt, wenn ein großes Daten­volumen an ein externes Ziel gesendet wird. Ein Beispiel wären ­Sicherheitskameras, die schnell große Datenmengen an eine gehostete Cloud-Site senden. Es ist wichtig, dass diese Art von Datenexfiltrationsverhalten dokumentiert und überwacht wird, um einen unbeabsichtigten Datenverlust zu vermeiden.

Die dritthäufigste Art von Exfiltra­tionsaktivitäten war der Datenschmuggel, indem ein internes Host-Gerät große Datenmengen von einem oder mehreren internen Servern erfasst und anschließend eine beträchtliche Datenmenge langsam und heimlich an ein externes System sendet, ohne erkannt zu werden.

Legitim oder nicht?

Nicht jede Phase des Angriffslebenszyklus oder jedes Angreiferverhalten ist in einem Angriff notwendig, aber die Phasen sind oft miteinander verbunden. So lässt sich beobachten, wie Angriffe in bestimmten Phasen voranschreiten, was auf Motive wie finanziellen Gewinn, Diebstahl und Datenvernichtung hindeutet. Erkanntes Verhalten kann aber auch legitim und normal sein in einer bestimmten Umgebung.

Der Autor: Andreas Müller
Der Autor: Andreas Müller
(© Vectra)

Sicherheitsanalysten müssen daher wissen, was zulässig und was nicht zulässig ist, um zu entscheiden, wo weitere Untersuchungen durchgeführt werden sollen. Unzulässige Verhaltensweisen können auf vorsätzlichen Diebstahl von Informationen oder unbeabsichtigte Offenlegung hindeuten, und letztlich auch zur Unterbrechung klinischer Dienstleistungen führen. Der Einsatz einer KI-gestützten Plattform zur Verfolgung von Bedrohungsaktivitäten und schnellen Reaktion im Ernstfall ist eine zeitgemäße proaktive Maßnahme, um den Klinikbetrieb aufrechtzuerhalten und Patienten zu schützen. Mit der zunehmenden Bedeutung neuer medizinischer Technologien für die Qualität und Geschwindigkeit der Gesundheitsversorgung ist auch das Wissen ­darüber, welche Technologien vorhanden sind, wie sie genutzt werden und wann unbefugte Handlungen stattfinden, erforderlich. Eine bessere Transparenz über den Verkehr und das Verhalten innerhalb des Netzwerks erleichtert es den Sicherheitsverantwortlichen, wachsam zu bleiben und erlaubt es, schnell zu reagieren.

*Der Autor: Andreas Müller, Sales Director DACH bei Vectra

(ID:46140521)