Suchen

IT-Security-Automatisierung hilft im Kampf gegen Ransomware

Über „Patient Zero“-Erkennung der Ansteckungsgefahr vorbeugen

| Autor/ Redakteur: Ray Wolf* / Julia Mutzbauer

Zunehmend intelligentere Malware, mobile Mitarbeiter und die steigende Adaption von Cloud-Services stellen die IT-Sicherheit im Gesundheitswesen vor neue Herausforderungen. Doch ist es ein schwieriges Unterfangen, den Cyberkriminellen einen Schritt voraus zu sein, um einen Befall des Netzwerks mit Schadcode zu verhindern. Die Cyberangriffe wandeln sich rapide und der Mangel an IT-Sicherheits-Experten nimmt zu. Bei der Modernisierung ihrer Schutzschirme kann den Krankenhäusern eine Automatisierung der IT-Sicherheitsinfrastruktur durch Cloud Security helfen.

Firmen zum Thema

Für die Automatisierung der IT-Sicherheit in Kliniken eignet sich eine Cloud-basierte Lösung
Für die Automatisierung der IT-Sicherheit in Kliniken eignet sich eine Cloud-basierte Lösung
( © leowolfert - stock.adobe.com )

Ransomware-Infektionswellen haben sich seit Loki für Cyberkriminelle zum profitablen Geschäft entwickelt. Solche Schadprogramme, auch Verschlüsselungs-Trojaner genannt, unterbinden den Zugang auf Daten oder ein gesamtes Netzwerk durch Verschlüsselung und geben den Zugriff erst nach einer Lösegeldzahlung wieder frei. Besonders wenn in Kliniken die IT-Systeme von Ransomware befallen sind und beispielsweise nicht mehr auf Patientendaten zugegriffen werden kann, kommen hohe Lösegeldforderungen ins Spiel. Schließlich sind die Patientenversorgung und der reibungslose Klinikbetrieb gefährdet.

Kein Wunder, dass diese Art der gezielten Angriffe auf Einrichtungen des Gesundheitswesens zunehmen. 2016 ging das Lukas Krankenhaus in Neuss als erstes Opfer eines erfolgreichen Cyberangriffs per Verschlüsselungstrojaner in die noch junge IT-Geschichte ein. Seitdem nahm die Zahl der angegriffenen Kliniken weltweit zu und besonders innerhalb der letzten 12 Monate häufen sich die bekannt gewordenen Fälle. Erst im Juli 2019 wurden 11 Krankenhäuser der DRK-Trägergesellschaft Süd-West angegriffen.

Ein Mittel gegen Ransomware – die Cloud Sandbox

Oft reicht ein einziger, erfolgreich mit einem Trojaner infizierter PC im Krankenhaus aus, um das gesamte Netzwerk der Einrichtung lahmzulegen – im Fall von Ransomware mit fatalen Folgen für den Betrieb. Oberstes Ziel einer IT-Sicherheitsabteilung in Kliniken muss deshalb sein, bereits diese erste Infektion des ‚Patient Zero‘ zu vermeiden. Als Schutz gegen solche Angriffe mit Schadcode eignet sich eine Cloud-basierte Sandbox in Kombination mit einem Security Proxy, der den gesamten ein- und ausgehenden Datenverkehr in Echtzeit auf Malware prüft.

Ein solcher Ansatz ist traditionellen, Hardware-basierten on-premise-Sicherheitskonzepten einen Schritt voraus durch den Inline-Scan des gesamten Datenverkehrs in Echtzeit: die Cloud-basierte Sandbox ist in der Lage, eine verdächtige Datei in Quarantäne zu schicken und damit deren Download zu blockieren, bevor sie in das Postfach des Mitarbeiters zugestellt wird. Stellt sich im Zuge der Verhaltensanalyse in Quarantäne heraus, dass es sich um eine bösartige Datei handelt, können Sandbox und Proxy im Zusammenspiel die ‚Erstansteckung‘ durch die Blockade des Schadcodes verhindern.

Ist ein neues Malware-Sample bei einem Anwender identifiziert worden, trägt eine globale Sicherheits-Cloud automatisch dafür Sorge, dass jeder andere Nutzer weltweit ebenfalls geschützt wird. Dazu findet sofort eine Aktualisierung der Schadsoftware-Signaturen in der Datenbank in der globalen Sicherheitsplattform statt – ohne manuelle Interaktion – und unterbindet eine Infektionswelle. Die elastische Skalierbarkeit der Cloud und die damit einhergehende Leistungsfähigkeit eignet sich darüber hinaus, um den SSL/TLS-Datenverkehr zu entschlüsseln, zu untersuchen und wieder zu verschlüsseln, damit sich Angreifer dort nicht unbemerkt verstecken können.

In Hardware-Sicherheitsumgebungen wird aus Performance-Gründen oft auf eine derartige Untersuchung des verschlüsselten Netzwerkverkehrs verzichtet, was ein erhöhtes Sicherheitsrisiko für Organisationen mit sich bringt: Die neueste Version des HTTPS-Protokolls für sichere Verbindungen, Transport Layer Security (TLS) 1.3, führt dazu, das die überwiegende Mehrheit des Internet-Datenverkehrs mittlerweile verschlüsselt übertragen wird (laut dem Transparenzbericht sind bereits 91% des Traffics zu Google in Deutschland verschlüsselt). Angreifer machen sich diese Entwicklung zu nutze und verbergen ihr Schadprogramm in diesen verschlüsselten Datenströmen, wohl wissend, dass viele Organisationen keine flächendeckende Durchleuchtung auf versteckten Schadcode durchführen.

Automatisierung der IT-Sicherheit als Therapieplan

Für Krankenhäuser gewinnt eine Automatisierung der Schutzmaßnahmen an Bedeutung, vor allem vor dem Hintergrund des Mangels an IT-Sicherheits-Fachkräften. Da gerade das Gesundheitswesen auf höchstmögliche Sicherheit großen Wert legt und dabei ohne qualifiziertes Personal auskommen muss, kann die Automatisierung über Security-as-a-Service rettende Abhilfe schaffen. Ein Cloud-basierter Sicherheitsansatz, bei dem auch Big Data Analytics zum Einsatz kommt, reduziert die übliche Komplexität des Zusammenspiels verschiedenster traditioneller Hardware-Appliances mithilfe der Zentralisierung vieler Sicherheitslösungen in der Cloud-Plattform.

Ein solches Service-basiertes Bundle von Sicherheitsmodulen aus der Cloud deckt Funktionalitäten wie URL-Filtering, Next Generation Firewall, Verhaltensanalyse, Web Proxy, SSL Scanning oder Log-Analyse hochintegriert ab. Die Abstimmung der Module untereinander macht ein externes SIEM-System überflüssig. Fehlalarme lassen sich vermeiden und die Cloud-basierten Komponenten korrelieren die Logs untereinander, ohne die Geschwindigkeit des Systems zu beeinträchtigen.

Außerdem entfällt durch den Einsatz eines solchen Service-Modells nicht nur der interne Aufwand zur Administration der Sicherheits-Hardware. Der Service-Anbieter sorgt auch regelmäßig für die notwendigen Updates der Cloud-Produkte, und zwar in wesentlichen höherem Turnus, als das manuell zu erzielen wäre: Bis zu 125.000 Updates werden pro Tag automatisch eingespielt. Typische Fehler von manueller Administration und offene Lücken wegen zeitlich hinterherhinkender Updates werden damit eliminiert.

Der Autor Ray Wolf
Der Autor Ray Wolf
( © Zscaler )

Fazit

Bei einer Hardware-basierten Sicherheitsinfrastruktur laufen die Daten der unterschiedlichen Komponenten wie Virenscanner, URL-Filter und APT-Erkennung, oft in einem SIEM-System zusammen. Das ist notwendig, da die einzelnen Appliances aufgrund verschiedener Betriebssysteme nicht miteinander kommunizieren können, sodass ein aufwändiger Analyseprozess nachgeschaltet werden muss – der außerdem dafür bekannt ist, falschen Alarm zu schlagen.

Bei einem Cloud Security Service erfolgt dagegen die Zusammenführung der Logs verschiedenster Sicherheitsfunktionen automatisch, sodass nicht nur ein schlichter Alarm wegen einer Malware erfolgt, sondern sofort eine Blockade des Schadcodes möglich ist. Wird zum Beispiel ein Krankenhaus attackiert, erkennen die Sicherheitskomponenten einer hochintegrierten Cloud-Plattform im intelligenten Zusammenspiel, was im Netzwerk passiert, um sofort gegenzusteuern – in Echtzeit. So wird die Infektion des ‚Patient Zero‘ bereits im Keim erstickt.

*Der Autor: Ray Wolf ist Regional Sales Manager Government, öffentlicher Auftraggeber bei Zscaler.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46143228)