Cyberbedrohung im Gesundheitswesen Wie man Ransomware im Gesundheitsbereich mit Transparenz bekämpft

Von Damian Chung*

Ransomware bleibt die dominierende Bedrohung der Cybersicherheit: Allein in der ersten Hälfte des Jahres 2021 stiegen die durchschnittlichen Lösegeldforderungen um 518 Prozent, während die Zahlungen um 82 Prozent zunahmen.

Besonders im Gesundheitswesen können Cyberangriffe fatale Folgen haben. Umso wichtiger ist die richtige Vorbeugung sowie der Umgang mit solchen Attacken
Besonders im Gesundheitswesen können Cyberangriffe fatale Folgen haben. Umso wichtiger ist die richtige Vorbeugung sowie der Umgang mit solchen Attacken
(© wladimir1804 – stock.adobe.com)

Besonders dramatisch sind Cyberangriffe auf Krankenhäuser und andere Einrichtungen des Gesundheitswesens: Die Fälle in Düsseldorf, Planegg, Lippstadt oder Wolfenbüttel sind wohl nur die Spitze des Eisbergs.Fast jede Woche sorgen neue Angriffe für Schlagzeilen und zeigen, wie sich Ransomware auf unterschiedliche Weise verbreitet, z. B. durch Social-Engineering-Angriffe und die Ausnutzung von Sicherheitslücken. Diese Vorfälle verursachen nicht nur enorme Wiederherstellungskosten, sondern führen auch zu Verzögerungen bei der Behandlung von Patienten.

Zur Bekämpfung von Ransomware beginnen viele Unternehmen und Einrichtungen des Gesundheitsbereichs mit einer grundlegenden eMail-Sicherheit, indem sie ein sicheres eMail-Gateway (SEG) einrichten. Doch dieser Schritt reicht nicht aus. Angreifer finden immer Wege, Links und Dateien an diesen Kontrollmechanismen vorbeizuschleusen. Deshalb müssen die Angriffsvektoren ganzheitlich betrachtet werden.

Steigende Komplexität vergrößert die Angriffsfläche

Der Schutz vor Ransomware muss sich weiterentwickeln, da sich auch die Nutzer und ihre Gewohnheiten weiterentwickelt haben. „Bring your own device“ (BYOD) ist auch im Healthcare-Bereich keine Seltenheit mehr. Entsprechend befinden sich die Daten nicht mehr ausschließlich auf einem physischen Server in einem lokalen Rechenzentrum. In den meisten Fällen werden sie jetzt irgendwo auf Rechnern gehostet, die von einem anderen Unternehmen verwaltet und gewartet werden. Dies führt leider häufig dazu, dass das Sicherheitsbewusstsein und die Wachsamkeit der Anwender sinken. Sie gehen davon aus, dass die Cloud-Anbieter schon für die Sicherheit der Daten sorgen würden. Und dass im Falle eines Ransomware-Angriffs der Provider in der Lage ist, alle Dateien auf eine frühere Version zurückzusetzen. In einigen wenigen Fällen mag das möglich sein, zumeist ist dies jedoch nicht der Fall.

Die Risikofaktoren bei Ransomware erfordern einen proaktiven Ansatz sowohl bei der Vorbeugung als auch bei der Wiederherstellung. Und das Risiko ist hoch: Oft reicht ein einziger Nutzer, der einen einzigen falschen Klick macht, um das gesamte Netzwerk lahmzulegen. Wenn man davon ausgeht, dass nur ein Prozent der Mitarbeiter anfällig ist, sind das bei 1.500 Angestellten immerhin 15 Klicks. Selbst extrem intelligente, gut ausgebildete und sicherheitsbewusste Menschen machen Fehler. Eine 100 Prozent geschützte Umgebung ist deshalb einfach nicht zu erreichen. Aus diesem Grund ist es entscheidend, wie man darauf reagieren kann, wenn ein Fehler, also etwa ein falscher Klick, passiert.

Abgesehen von der Frage, ob man überhaupt ein Lösegeld zahlen sollte, gibt es eigentlich nur zwei Dinge zu beachten, wenn man sich auf einen Ransomware-Angriff vorbereiten will:

  • 1. Wenn Daten verschlüsselt werden (oder anderweitig verloren gehen oder aufgrund einer Katastrophe offline sind), muss man in der Lage sein, seine Systeme so schnell wie möglich wiederherzustellen.
  • 2. Selbst wenn der Betrieb wieder aufgenommen werden konnte, besteht immer noch die Gefahr, dass Angreifer auch sensible oder private Daten entwendet haben.

Die Entwicklung hin zu cloudbasierten Wiederherstellungssystemen

Der Wiederherstellungsprozess wird leider häufig vernachlässigt. Die Wiederherstellung und Aufrechterhaltung der Geschäftskontinuität (Disaster Recovery and Business Continuity/DRBC) ist eine schwierige und häufig ignorierte Aufgabe. Für Einrichtungen des Gesundheitswesens oder kritische Infrastrukturen wie Versorgungsunternehmen kann eine Betriebsunterbrechung jedoch lebensgefährliche Folgen haben. Deshalb ist auch eine kurze Wiederherstellungszeit von größter Bedeutung.

Früher mussten zur Wiederherstellung von Systemen Bänder aus einem Archiv an einem externen Ort geholt werden, was Tage dauern konnte. Vor einigen Jahren verfügten viele Unternehmen über Sicherungssysteme in einem gehosteten Rechenzentrum, die eine Wiederherstellung von einem anderen Server durch Replikation der Daten über ein Netzwerk ermöglichten. Das war zwar wesentlich schneller als Bandsicherungen, hatte aber immer noch seine Grenzen. Heutzutage machen Cloud-Lösungen die Sache viel einfacher, da sie regelmäßig Snapshots der Daten erstellen. Aus diesem Grund ist DRBC mit Cloud-Speichern deutlich schneller als mit herkömmlichen Lösungen, die immer noch auf physische Server und Geräte ausgerichtet sind.

Um Ransomware einen Schritt voraus zu sein, müssen Sicherheitsverantwortliche ihre Strategie anpassen und auf eine Cloud-basierte DRBC-Strategie der nächsten Generation umsteigen. Einer der Hauptgründe, warum viele Unternehmen diesen entscheidenden Schritt nicht getan haben, ist die Sorge um die Sicherheit dieser Cloud-Umgebungen. Eine kürzlich durchgeführte Studie der Cloud Security Alliance (CSA) hat gezeigt, dass die Sicherheit für 58 Prozent der Befragten nach wie vor ein Hauptanliegen ist, wenn es um die Einführung der Cloud geht. Aber genau diese Angst führt zu einem anderen Risiko, wenn es um die schnelle, nahtlose Wiederherstellung und Kontinuität des Betriebs nach einem Ausfall geht, ganz gleich, ob dieser durch Ransomware, eine Naturkatastrophe oder aus einem anderen Grund verursacht wurde.

Tatsache ist, dass die Cloud im Vergleich zu vielen der alten sekundären Speichermethoden eine bessere Transparenz und Kontrolle über die Daten bieten kann als Server in einem physischen Rechenzentrum. Die Wiederherstellungszeit ist in der Regel viel kürzer und die Verfügbarkeit weitaus höher.

Die Datentransparenz sicherstellen

Im Gesundheitswesen geht es nicht nur darum, den Zugang zu den Daten wiederzuerlangen, sondern auch darum, was während des Verschlüsselungsvorgangs passiert ist. Haben die Angreifer die Daten manipuliert? Wurde bei diesem Angriff auch die Privatsphäre der Patienten verletzt? Wurden die Daten womöglich sogar entwendet?

Der zweite Teil der Vorkehrungen gegen Ransomware besteht darin, einen umfassenden Überblick über die eigenen Daten zu erhalten. Dies wird durch die Datenklassifizierung ermöglicht: Man muss in der Lage sein, alle Daten zu inventarisieren und sie nach Typ, Schutzwürdigkeit und Speicherort zu klassifizieren. Die Transparenz hilft dabei, Richtlinien festzulegen, die sicherstellen, dass sensible Daten die eigenen Systeme nicht verlassen. Darüber hinaus ermöglicht sie es, Dateien, die gegen die Richtlinien verstoßen (wie z. B. in der Cloud gespeicherte Ransomware), auf der Grundlage ihrer Klassifizierung zu blockieren. Somit wird alles Interne innen gehalten und alles Unerwünschte draußen.

Man kann nie sicher sein, ob ein Link oder eine Datei nicht durch geschickte Tricks an den Sicherheitskontrollen vorbeigeschleust wurde, um jemanden dazu zu verleiten, sie arglos zu öffnen. Ein Paradebeispiel sind Bewerbungen: Ein als Bewerber getarnter Angreifer könnte sich auf ein Stellenangebot melden und einen Dropbox-, Google Drive- oder OneDrive-Link zu seinem Lebenslauf oder einem Portfolio mit Arbeitsproben anfügen. Stattdessen wird allerdings Ransomware über die Cloud-Plattform in die Opfersysteme geschleust.

Die Kommunikation am Arbeitsplatz hat sich von der eMail zu speziellen Tools für die Zusammenarbeit im Team entwickelt. Infolgedessen nutzen Cyberkriminelle diese nun zunehmend als Angriffsvektor. Gehen die Angreifer also von einer hohen Mail-Sicherheit und einer gewissen Awareness bei den Mitarbeitern aus, werden sie auf andere Wege ausweichen, etwa Collaboration-Tools. Hier ist die Wachsamkeit in der Regel wesentlich geringer. Der Angreifer muss nur in der Lage sein, einen einzigen Klick auf einen Link auszulösen, um seine Malware zu starten und den Verschlüsselungsprozess zu beginnen. Eine transparente Sichtbarkeit und richtlinienbasierte Kontrollen können dies jedoch verhindern.

Mit Zero Trust auch das Unbekannte schützen

Mit Hilfe einer Secure Access Service Edge (SASE)-Architektur und Data Loss Prevention (DLP)-Tools lassen sich die Nutzer effektiv schützen. Allerdings nur in dem Bereich, den man kennt, also etwa OneDrive, Google Drive oder dem eigenen Slack-Kanal. Leider weiß man aber nicht von allen Aktivitäten, Geräten und genutzten Tools. Größere Mobilität, BYOD-Richtlinien, SaaS-Anwendungen und die steigende Zahl von Remote-Mitarbeitern haben die Situation zusätzlich erschwert. Entsprechend benötigt man eine tiefe Transparenz und richtlinienbasierte Kontrollen, um zu verhindern, dass bösartige Dateien auf ein Gerät heruntergeladen werden, das für den Zugriff auf Daten autorisiert ist.

Genau das lässt sich durch einen Zero Trust-Ansatz umsetzen. Die Transparenz muss über die Daten hinaus auf eine umfassende Sicht auf Benutzer, Geräte und Anwendungen ausgeweitet werden. Dies ermöglicht die Durchsetzung granularer, rollenbasierter Kontrollen, wodurch die Möglichkeiten für Bedrohungen (einschließlich Ransomware), überhaupt in das Netzwerk einzudringen, deutlich reduziert werden. Je mehr man über die erweiterten Netzwerkumgebungen weiß, desto besser kann man seine Benutzer, Geräte, Anwendungen und Daten vor Störungen schützen.

*Der Autor: Damian Chung, Business Information Security Officer von Netskope

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48104365)