France

Digital Shadows IoT-Geräte im Gesundheitssektor im Visier

Von Stefan Bange*

Das Gesundheitswesen befindet sich 2020 im Ausnahmezustand und stößt im Kampf gegen Covid-19 an seine Leistungsgrenzen. Umso bedenklicher ist es daher, dass die Zahl an Cyberangriffen und Datenhacks weiter zunimmt.

Der Autor Stefan Bange ist Country Manager DACH bei Digital Shadows.
Der Autor Stefan Bange ist Country Manager DACH bei Digital Shadows.
(Bild: Digital Shadows)

Tatsächlich war die Gesundheitswirtschaft im letzten Jahr mit 43 Prozent aller Datenschutzverletzungen die am stärksten betroffene Branche weltweit – und lag sogar noch vor dem Banken- und Finanzsektor. Medizinische und personenbezogen Daten gehörten im ersten Quartal 2020 mit 25 Prozent zu den am begehrtesten Zielen von Cyberangriffen. Die Folgen von Datenleaks treffen die ganze Industrie und kosteten pro geleakten Datensatz durchschnittlich 429 US-Dollar. Insgesamt belief sich der Schaden 2019 auf 17,76 Mrd. US-Dollar weltweit.

Wie genau sahen die Cyberbedrohungen in 2020 aus? Und warum steht die Branche so hoch oben auf der Angriffsliste von Cyberkriminellen?

Ransomware – Erpressung von Lösegeld

Ein Großteil der Daten in medizinischen Einrichtungen ist hochsensibel – seien es personenbezogene Patientendaten, oder Daten, die den laufenden Betrieb im Krankenhaus und in der ärztlichen Versorgung garantieren. Ransomware-Angriffe machen sich diesen Umstand zu Nutze. Die Malware schränkt den Zugriff auf Daten und Systeme ein oder verhindert diesen sogar vollständig. Je kritischer die „entführten“ Daten, desto höher die Wahrscheinlichkeit, dass Organisationen bereit sind, ein Lösegeld in Form von Bitcoins für die Freigabe zu zahlen.

Erwähnungen von Ransomware in Gesundheitsweisen im Darknet und einschlägigen Portalen (Januar – Oktober 2020).
Erwähnungen von Ransomware in Gesundheitsweisen im Darknet und einschlägigen Portalen (Januar – Oktober 2020).
(Bild: Digital Shadows)

Lassen sich medizinische Geräte nicht mehr bedienen oder Patientendaten einsehen, kann das auch unter normalen Umständen verheerende Folgen haben. Während der ersten Welle der Corona-Pandemie im März 2020 beobachteten Threat-Analysten einen sprunghaften Anstieg rund um Ransomware-Angriffe auf medizinische Einrichtungen. Insbesondere die Zahl von Erwähnungen und Diskussionen im Darknet und auf einschlägigen cyberkriminellen Foren und Marktplätzen nahm zu.

Die Entwicklung ist alarmierend, vergleicht man die Zahlen mit dem Vorjahr. Während des gesamten Zeitraums von 2019 veröffentlichte der Experte für Cybersicherheit Digital Shadows 13 Berichte, die vor gezielten Ransomware-Attacken auf das Gesundheitssystem warnten. Stand Oktober 2020 meldete das Unternehmen bereits 56 solcher Warnungen – ein Anstieg von 330 Prozent. Beobachtungen der Sicherheitsanalysten legen nahe, dass sich dieser Trend bis weit ins Jahr 2021 fortsetzen wird.

Staatliche Cyberkampagnen und Advanced Persistent Threats

Bei sogenannten Advanced Persistent Threats (APT) handelt es sich um Cyberangriffe, die großangelegt und von langer Hand geplant sind. Angriffsziele sind kritische IT-Infrastrukturen und Informationen von großen Unternehmen, aber auch staatlichen Behörden. APTs finden sich daher oft im Zusammenhang mit Spionage, staatliche Cyberangriff und politisch motivierte Aktivitäten.

Buchtipp

Das Buch "Cybersicherheit" führt grundlegend an die Einrichtung von Schutzmaßnahmen in Industrieunternehmen heran und widmet sich dabei insbesondere der Sicherheit von Industrie-4.0-Technologien.

Mehr erfahren

Weltweit ist derzeit eine dreistellige Zahl von APT-Gruppen aktiv. In Deutschland sind nach dem Lagebericht 2020 des Bundesamts für Sicherheit in der Informationstechnik (BSI) Aktivitäten von knapp über einem Dutzend Akteuren bekannt. Ziel der Angriffsversuche auf die Regierungsnetze in Deutschland waren vor allem Ministerien mit außenpolitischen Aufgaben. Auch Botschaften waren Ziel von APT-Gruppen. Weitere Angriffe bzw. Angriffsversuche richteten sich gegen international agierende NGOs und Unternehmen – vor allem im Chemie-, Automobil- und Maschinenbausektor.

Vor dem Hintergrund der Covid-19 Krise berichteten die USA, Kanada und Großbritannien von cyberkriminellen Aktivitäten der Gruppe APT 29, die auch unter dem Namen Cozy Bear bekannt ist und als Teil des russischen Geheimdiensts agiert. Die Gruppe nimmt seit Beginn der Corona-Pandemie Organisationen, Unternehmen und Forschungseinrichtungen ins Visier, die an der Entwicklung eines Impfstoffs arbeiten. Die USA warnte vor ähnlichen Spionage-Aktionen durch China. Betroffen seien vor allem Unternehmen im Gesundheitswesen, der Pharmazie und der medizinischen Forschung.

Einfallstor Legacy Systeme

Es gibt mehrere Gründe, warum Unternehmen in der Gesundheitswirtschaft im Fokus von Cyberangriffen stehen. Eine wichtige Rolle spielt dabei die zunehmende Anzahl von Legacy Systemen. So startete das Jahr mit dem End-of-Life (EOL) für Windows-7-Geräte. Systeme, die weiter auf dem Betriebssystem ausgeführt werden, erhalten seit Januar 2020 keine Sicherheitsupdates mehr und stellen automatisch ein Sicherheitsrisiko dar. Wie schnell Schwachstellen in EOL-Systemen ausgenutzt werden können, zeigten in der Vergangenheit bereits die Angriffe von Wanna-Cry, Petya und Not-Petya. Umso mehr überrascht es, dass nach einer Studie vom Februar 2020 noch über 20 Prozent aller medizinischen Geräte im globalen klinischen Ökosystem auf dem nicht mehr unterstützten Windows-7-Betriebssystem ausgeführt wurden.

Dabei ist Windows 7 nur eines von vielen veralteten Systemen und Anwendungen. Die Angriffsfläche wächst kontinuierlich. Bei medizinischen High-Tech-Geräten fallen in der Regel hohe Kosten sowohl bei der Anschaffung als auch bei der Nutzung an. Bei richtiger Wartung erreichen diese Geräte oft eine Lebensdauer von 20 Jahren und mehr. Die meisten Betriebssystemen hingegen erreichen ihr EOL nach etwa zehn Jahren. Natürlich gibt es Wege, die Systeme zu aktualisieren. Doch damit sind zwangsläufig Kosten, Aufwand sowie eine umfassende Planung verbunden, um Ausfallzeiten auf einem Minimum zu reduzieren und strikte regulatorische Anforderungen zu erfüllen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Das Internet of Medical Things (IoMT)

Die zunehmende Vernetzung medizinischer Geräte, IT-Systemen und Anwendungen über das Internet of Things (IoT) eröffnet zudem neue Angriffsvektoren. Eine nicht gepatchte Schwachstelle in einem Gerät kann ausreichen, das ganze Netzwerke einem Flächenbrand ähnlich zu kompromittieren. Cyberkriminelle arbeiten sich oft Schritt für Schritt und von Rechner zu Rechner vor, ehe sie zum Angriff übergehen. Ransomware ist hier besonders effektiv und kann ganze Krankenhäuser in kürzester Zeit lahmlegen. Erst im September 2020 wurde das Düsseldorfer Uni-Klinikum das Opfer eines Ransomware-Angriffs. Die Schadsoftware „Doppel-Paymer“ wurde dabei mit hoher Wahrscheinlichkeit unmittelbar nach Bekanntwerden einer Sicherheitslücke und noch vor dem Bereitstellen eines Patches eingeschleust. Unbemerkt blieb die Malware im System über mehrere Monate inaktiv und verbreitete sich erst nach der erneuten Aktivierung durch die Angreifer in den IT-Netzwerken.

Best Practices für Cybersicherheit

Cyberbedrohungen für den Healthcare-Sektor sind vielseitig und komplex. Es gibt jedoch einige grundlegende Maßnahmen, die Organisationen und Unternehmen ergreifen können, um digitale Risiken zu entschärfen:

  • Nutzen Sie Multi-Faktor-Authentifizierung (MFA) für berufliche und private Konten sowie Administratorkonten. Das gleich gilt für den Remote-Netzwerkzugriff sowie den Zugang zu Datenbanken mit sensiblen Informationen. Die Durchsetzung strikter Passwort-Richtlinien garantiert darüber hinaus die Verwendung von langen, einmaligen und komplexen Passwörtern durch Mitarbeiter, Partner, Patienten und Co.
  • Implementieren Sie einen zuverlässigen Software Vulnerability Manager (SVM), um Schwachstellen in allen IT-Assets frühzeitig zu identifizieren und zu patchen.
  • Ein zentralisiertes Logmanagement (CLM) in Verbindung mit einem Critical Incident Reporting System (CIRS) meldet in Echtzeit verdächtige Vorfälle und Login-Versuche. Zudem empfiehlt sich die Network Level Authentication (NLA) für bestimmte Services (z. B. Remote Desktop Protocol (RDP)), das Abschalten unnötiger Services sowie das Blockieren kritischer Ports.
  • Erstellen Sie regelmäßige Backups und testen Sie die Systemsicherung. Verschlüsseln Sie sowohl Daten, die lokal gespeichert sind (Data-at-Rest), als auch Daten, die sich durchs Netzwerk bewegen (Data-in-Transit). Sicherheitskritische Daten und IP sollten in segmentierten, überwachten und verschlüsselten Datenbanken gespeichert werden. Das Traffic Light Protocol (TLP) vereinfacht es, einen sicheren Informationsaustausch via E-Mail herzustellen.
  • Legen Sie Sicherheitsanforderungen in Verträgen mit Zulieferern, Partnern und Dritten fest und überprüfen Sie deren Einhaltung in regelmäßigen Sicherheitsaudits. Führen Sie darüber hinaus eine aktualisierte Aufzeichnung von Organisationen oder Einzelpersonen, mit denen sie Informationen, Daten etc. teilen.
  • Schaffen Sie unternehmensweit ein erhöhtes Sicherheitsbewusstsein bei Mitarbeitern durch Trainings und Best Practices. Playbooks ermöglichen es, Vorfälle (z. B. Ransomware-Angriffe) durchzuspielen und Aufgaben und Rollen zu definieren. Dazu gehören auch klar definierte Eskalationspfade, um Vorfälle schnell und unkompliziert zu melden. Für Mitarbeiter, die mit besonders sensiblen Informationen umgehen (z. B. Forschung) oder die in der Öffentlichkeit stehen (z. B. Unternehmensführung, Pressesprecher) sollten separate E-Mail-Konten eingerichtet werden.

Lesen Sie auch

Weitere Artikel zur Führung von Medizintechnik-Unternehmen finden Sie in unserem Themenkanal Management.

* Der Autor: Stefan Bange ist Country Manager DACH bei Digital Shadows.

(ID:47020280)