Wie sich Krankenhäuser vor WannaCry & Co. schützen können

imagesDie weltweite Angriffsserie der Erpresser-Malware WannaCry hat Unternehmen, Behörden und Anwender gleichermaßen erschüttert. Innerhalb weniger Stunden und Tage infizierte der gefährliche Trojaner mehr als 200.000 Computer in rund 150 Ländern, verschlüsselte wichtige Daten und forderte Lösegeld. Krankenhäuser des britischen Gesundheitssystems National Health Service (NHS) wurden dabei mit am schwersten getroffen. Einmal mehr wird deutlich, dass die IT-Sicherheit in Krankenhäusern und Gesundheitseinrichtungen der aktuellen Bedrohungslage nicht mehr gewachsen ist.

Eine Sicherheitslücke in Microsoft-Windows und ein verpasstes Sicherheitsupdate wurden rund 45 Kliniken in England und Schottland unlängst zum Verhängnis: Sie infizierten sich mit dem gefährlichen WannaCry-Trojaner und mussten sich daraufhin für viele Stunden von einem normalen Verwaltungs- und Behandlungsablauf verabschieden.

Etliche Erkrankte – darunter auch Krebspatienten –, deren Daten nicht zur Verfügung standen, mussten unbehandelt nach Hause geschickt oder in andere Kliniken umgeleitet werden.

Veraltete Infrastrukturen und verspätete Updates

Dass keine Krankenhäuser im deutschsprachigen Raum von der Ransomware-Welle betroffen waren – zumindest wurden keine Angriffe öffentlich bekannt – ist dabei wohl nur Zufall. Denn auch hierzulande ist es um die IT-Sicherheit im Gesundheitswesen alles andere als gut bestellt. Nimmt man die Krankenhaus-IT einmal genauer unter die Lupe, stößt man in vielen Kliniken auf veraltete Netzwerke, Soft- und Hardware.

Auch in deutschen Kliniken laufen viele PCs aber auch lebenswichtige Medizingeräte noch auf Windows XP, für das es schon lange Zeit keinen offiziellen Support mehr gibt. Der Großteil der Updates wird von den Verantwortlichen, wenn überhaupt, verspätet oder unvollständig ausgeführt. Die Gründe für diese Vernachlässigung sind dabei vielfältig. Fehlendes Budget für neue Software, Security-Experten oder Mitarbeiterschulungen dürften hier jedoch ausschlaggebend sein.

Zur Verteidigung der Krankenhäuser ist jedoch zu sagen: Das zeitnahe Einspielen von Updates ist für Kliniken wie für viele andere Unternehmen und Behörden nicht immer so einfach wie man gerne annehmen möchte und geht mit Abwägungen einher. Was ist, wenn die Softwareaktualisierung Probleme bereitet und es zu Konflikten innerhalb des Systems kommt, die einen kompletten System-Ausfall nach sich ziehen?

Auch dies kann letztlich den Arbeits- und Verwaltungsbetrieb oder aber die lebenswichtige Intensivpflege eines Patienten beeinträchtigen. Kein Wunder also, dass Updates verschoben werden und IT-Verantwortliche notgedrungen hinnehmen, dass sich Sicherheitslücken einschleichen.

Dabei ist diese Fahrlässigkeit in zweifacher Hinsicht fatal: Denn einerseits zählen Gesundheitseinrichtungen zu den kritischen Infrastrukturen des Landes, d.h. zu den Einrichtungen, deren Ausfall Versorgungsengpässe und Störungen der Sicherheit nach sich ziehen. Andererseits sind Gesundheitseinrichtungen für Cyberkriminelle auch ein besonders attraktives Ziel, da sie Unmengen an sensiblen personenbezogenen Daten speichern. Immerhin werden im Dark Web gestohlene Patientendaten mittlerweile höher gehandelt als gestohlene Kreditkarteninformationen. Eine angemessene IT-Sicherheit auf aktuellstem Stand ist für Krankenhäuser und Kliniken also mehr als wichtig.

Endpunktschutz: Nur verhaltensbasierte Lösungen schützen wirklich

Eine Nachlässigkeit, die man IT-Verantwortlichen in Krankenhäusern jedoch nicht verzeihen kann, ist der Einsatz unzureichenden Endpunktschutzes. Noch heute verlassen sich viele Gesundheitseinrichtungen bei der Abwehr von Schadsoftware auf herkömmliche Antivirus-Lösungen, die schadhafte Dateien, URLs oder IP-Adressen mit Hilfe eines signaturbasierten Ansatzes aufspüren und bei der Identifizierung von hochentwickelten und verschleierten Angriffen daher versagen müssen.

Erst im Januar dieses Jahres offenbarte eine Befragung von SentinelOne, dass 30 Prozent der britischen NHS-Einrichtungen bereits Opfer eines Ransomware-Angriffs wurden und das, obwohl fast alle befragten Krankenhäuser Antivirus-Software installiert haben, um ihre Endgeräte vor Malware zu schützen. Dass herkömmliche Sicherheitstechnologien im Kampf gegen bösartige Malware-Formen ohnmächtig sind, steht also außer Frage, nicht aber, warum die IT-Verantwortlichen diese Unzulänglichkeit  hinnehmen und damit Angriffe wie WannaCry Tür und Tor öffnen, anstatt zu handeln.

Tatsache ist: Bereits heute existieren Endpoint Protection-Lösungen, die den signaturbasieren Ansatz hinter sich lassen und bei der Erkennung von Schadcode neue, effektivere Wege gehen. Endpunktschutz der nächsten Generation nutzt innovative Technologien wie maschinelles Lernen und dynamische Verhaltensanalysen, die Einblick in den Modus Operandi der Malware gewähren, ihr Vorgehen aufdecken und schädliche Manipulationen verhindern. Da diese Lösungen in der Lage sind, schadhaften Code anhand seines Laufzeitverhaltens zu erkennen, können auch völlig neuartige und bisher unbekannte Varianten identifiziert werden. Die WannaCry-Angreifer hätten keine Chance gehabt!

Sicherheit hat im Gesundheitswesen in vielerlei Hinsicht oberste Priorität. Bei der Umsetzung einer adäquaten IT-Sicherheit hapert es jedoch nach wie vor. Vor allem aus rechtlicher Sicht begeben sich Kliniken und ihre Geschäftsführer damit jedoch auf dünnes Eis, denn Bundesdatenschutzgesetz, BSI-Gesetz, NIS-Richtlinie und die nahende EU-Datenschutzgrundverordnung stellen an Betreiber kritischer Infrastrukturen mittlerweile hohe Anforderungen.

Um Datenrechtsverletzungen und damit verbundenen Bußgeldern vorzubeugen, müssen Krankenhäuser für eine ausreichende technische Ausstattung sorgen und die entsprechenden organisatorischen Maßnahmen schaffen, um Cyberangriffe bestmöglich abzuwehren und im Krisenfall schnell und rechtssicher agieren zu können.

 Autor: Rainer M. Richter, CEE, SentinelOne

 

 

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>