Abwehr von Cyber-Attacken im Gesundheitswesen IoT-Hardware als Bedrohung für klinische Netzwerke

Anbieter zum Thema

Cohesity GmbH

TXOne Networks

Arctic Wolf Networks Germany GmbH

Cyberkriminelle haben zunehmend Daten zu Patienten und zum Krankenhausbetrieb im Visier. Für die eigene IT ist die Hardware, die sie verarbeitet und überträgt, oft nicht einmal sichtbar. Ein veritabler Sicherheitsmangel, denn nur die Kenntnis der tatsächlichen Konnektivitätslandschaft ermöglicht deren integrierten, proaktiven Schutz

Die Attacken auf Anbieter von Gesundheitsleistungen nehmen zu. Vor allem im Zusammenhang mit der Corona-Pandemie und zusätzlich zu den damit einhergehenden Belastungen der Krankenhäuser ist die Zahl der sicherheitsrelevanten Vorfälle gestiegen. Google verzeichnete einen Zuwachs von Malware und Phishing-Mails mit Bezug auf COVID-19. Untersuchungen der IT-Sicherheitsexperten von Bitdefender zufolge haben die Angriffe auf Krankenhäuser im März 2020 gegenüber dem Vormonat um fast 60 Prozent zugenommen. Auch ein starker Anstieg der Ransomware-Attacken war von Februar bis April zu verzeichnen.

Die Daten belegen, das Cyberkriminelle die Pandemie für ihren eigenen Vorteil nutzen und gezielt das überlastete Gesundheitswesen angreifen. Sie profitieren dabei von immer neuen Möglichkeiten. Virtuelle Lösungen sowie Telemedizin wurden nach Ausbruch von Corona unter hohem Zeitdruck implementiert und damit neue Hardware oder medizinische Geräte dem Netzwerk hinzugefügt. Dadurch finden die Angreifer mehr Schwachstellen.

Medizinische und IoT-Hardware als Bedrohung für klinische Netzwerke

Die IT-Administratoren in den Krankenhäusern und generell im Gesundheitswesen müssen daher ihre Cyber-Abwehr verstärken – parallel zum wieder steigenden Patientenaufkommen infolge der Pandemie.

Eine wichtige Rolle in Sachen Cyber-Sicherheit spielt die sichere Anbindung einer steigenden Zahl von neuen IoT-Sensoren (Internet of Things) und medizinischen Geräten an das Netzwerk. Analysten von Gartner prognostizierten den IoT-Anbietern im Gesundheitsbereich für das Jahr 2020 einen Umsatzzuwachs von 25 auf 29 Milliarden US-Dollar. Für diesen Anstieg sorgt unter anderem der Verkauf von Armbändern zur Patientenüberwachung, Tracking-Lösungen für Apparate in Notfallwagen, Beatmungs- und tragbare Röntgengeräte sowie Monitore zur Messung von Vitalparametern und individuellen Wearables.

All diese Systeme müssen sicher in die IT-Infrastruktur eingebunden werden, da sie wertvolle Informationen übermitteln. Ob zur besseren Behandlung von Kranken oder zur Beschränkung des Kontakts zu Patienten und potenziell Infizierten – auf Basis von Daten arbeiten Kliniken schneller, effizienter und sicherer.

Jedes an das Netz angeschlossene Gerät stellt allerdings auch einen Einstiegspunkt für Cyberkriminelle dar. Speziell IoT-Hardware ist extrem verwundbar, wie das Beispiel Ripple20 zeigt: Von den im Sommer 2020 bekannt gewordenen Sicherheitslücken sind Hunderte Millionen von Geräten quer durch alle Branchen betroffen. Aufgezeigt wurden Sicherheitslücken in einer weit verbreiteten Low-Level-TCP/IP-Softwarebibliothek von Treck, durch die sich viele Geräte einfach angreifen lassen. Die Notwendigkeit, diese Lücken zu schließen und Patches aufzuspielen, liegt auf der Hand. Aber die Hersteller brauchen auch Zeit, um die Patches zu programmieren und in ihre Systeme einzuspielen.

So lange können die IT-Verantwortlichen in der Regel nicht warten. Zeit ist ein kritischer Faktor – auch und vor allem im Gesundheitsbereich. Eine Studie des Ponemon-Instituts hat gezeigt, dass die meisten Datenlecks in einem Krankenhaus erst nach 55 Tagen entdeckt werden. In dieser langen Zeit bilden jede Aktivität im Netzwerk und alle an die Patienten direkt angeschlossenen Geräte ein offenes Angriffsziel. Das Risiko, dass Cyberkriminelle Zugriff auf Informationen erhalten, steigt exponentiell mit jedem Endpunkt. Die Angreifer wissen, dass Netzwerke in Krankenhäusern komplex sind und dass die Verantwortlichen kaum einen Überblick haben, welche Geräte an das Netz angeschlossen sind, wo sie sich befinden und wer sie benutzt.

Sicherheit ist Verwaltungssache

Um die Sicherheit zu erhöhen, schließen Administratoren zunächst die bestehenden Lücken, indem sie die Geräte mit Netzanschluss besser verwalten und vor allem ihre Sichtbarkeit erhöhen. Im Anschluss daran wird eine umfassende Überwachung der Hardware eingerichtet. Und zuletzt segmentieren die Administratoren alle Systeme in Gruppen.

Sichtbarkeit

Um Geräte schützen zu können, müssen sie für den IT-Administrator des Krankenhauses zunächst einmal sichtbar sein. Niemand kann Hardware schützen, von der er gar nichts weiß. Mithilfe von Deep-Packet-Inspection (DPI)-Technologien lassen sich alle vernetzten medizinischen Geräte ausfindig machen. Die detaillierten Informationen zu Standort, Status und Sicherheitseinstellungen der vorhandenen Hardware bilden die Grundlage für eine starke Abwehr. Eine solche „Inventur“ darf aber kein einmaliger Vorgang bleiben, die einschlägigen Daten müssen ständig erfasst werden. Das wirkt sich nicht nur auf die IT-Sicherheit aus, auch Verwaltung und Finanzplanung profitieren davon. Zudem lässt sich die Wartung durch das kontinuierliche Einspielen von Patches und Updates verbessern.

Das oben beschriebene Vorgehen sollte für die Krankenhaus-IT Routine sein. Tatsächlich herrscht hier jedoch noch viel Nachholbedarf. Die aktuelle Pandemie hat die Problematik weiter verschärft, weil neue Geräte schnell installiert werden mussten und jetzt mangels Dokumentation nicht überwacht werden. Dadurch haben die Administratoren Schwierigkeiten, sich ein Bild von der eingesetzten Hardware und ihren spezifischen Verwundbarkeiten zu machen.

Überwachung

Wenn Geräte und ihre Interaktion mit dem Netzwerk wirksam überwacht werden, lassen sich Verhaltensabweichungen schnell erkennen. Gegebenenfalls lassen sich diese blockieren, um etwa eine Datenexfiltration zu verhindern. Administratoren müssen nicht nur die Geräte kennen, sondern auch wissen, wie sie im Normalbetrieb interagieren und kommunizieren. Durch eine erhöhte Sichtbarkeit der Geräte und ausführliche Dokumentationen der Hersteller lassen sich Abweichungen schnell erkennen und Angriffe im Vorfeld eindämmen.

Um die Gerätesichtbarkeit innerhalb kurzer Zeit herzustellen, empfiehlt sich der Einsatz dedizierter Lösungen. Das Torrance Memorial-Krankenhaus in Los Angeles sah sich einer potenziellen Urgent/11-Bedrohung ausgesetzt und musste die Sichtbarkeit und Analyse seiner vernetzten Hardware möglichst schnell verbessern. Die Ergebnisse allein schon der Zählung der vorhandenen Hardware waren aufschlussreich: Die eingesetzte Medigate-Lösung erkannte 19 Prozent mehr medizinische Geräte als von der IT vermutet, bei nicht medizinischen konnektiven IoT-Systemen waren es sogar 26 Prozent. Es konnten bedrohungsrelevante Schwachstellen und Empfehlungen zu ihrer Behebung aufgezeigt werden. Dadurch wurde Urgent/11 nicht zur Gefahr für das US-Krankenhaus. Und auch für die Zukunft ist das Torrance Memorial nun gewappnet: Es kennt seine gesamte Netzwerklandschaft und kann sie überwachen und mit entsprechenden Richtlinien für Sicherheit sorgen.

Netzwerke untergliedern

Der letzte Schritt zur Einrichtung einer sicheren Abwehr besteht in der Segmentierung der Hardware. Vorab definierte Richtlinien helfen, Angriffsflächen zu kontrollieren und die Reichweite einer erfolgreichen Attacke einzudämmen. Die Segmentierung erweitert zudem den bestehenden Schutzumfang der Firewalls.

Mit einem integrierten und proaktiven Schutz lässt sich verhindern, dass Cyberkriminelle Patientendaten und Betriebsinformationen stehlen. Und das ist gerade in der gegenwärtigen Pandemie enorm wichtig. Denn aufgrund des zunehmenden Patientenaufkommens muss die IT mehr Geräte in die Netzinfrastruktur einbinden. Und hier zeigen die Zahlen derzeit nur in eine Richtung – nach oben.

Über den Autor: Jonathan Langer ist CEO und Mitgründer von Medigate.

(ID:47080024)