Krankenhäuser gehören zu den beliebtesten Zielen von Cyberkriminellen. Daher sind IT-Sicherheit und Cyberresilienz für sie wichtig. Wie sich die Kliniken auf Bedrohungen vorbereiten und dafür sorgen können, dass die Patientenversorgung auch nach einem Angriff sichergestellt ist, erläutert Dr.-Ing. Marten Neubauer, Field Director HealthCare bei Dell Technologies in Deutschland, in seinem Gastbeitrag.

 

Die Bedrohungslage für Krankenhäuser hat sich zuletzt deutlich verschärft. Cyberkriminelle nutzen KI, um ihre Phishing-Mails und Deepfakes überzeugender zu gestalten und um Schadprogramme kontinuierlich zu verändern, sodass Sicherheitssysteme sie nur noch schwer erkennen. Zudem kopieren sie bei Ransomware-Angriffen vor der Verschlüsselung die wichtigsten Daten, damit sie den Druck erhöhen und mit einer Veröffentlichung drohen können, sollte das geforderte Lösegeld nicht gezahlt werden. Überdies nehmen sie verstärkt auch die Lieferketten von Krankenhäusern ins Visier und attackieren etwa Labordienstleister. 

Da Krankenhäuser in der Vergangenheit eher in die medizinische Versorgung als in IT-Sicherheit investiert haben, sind sie oft sehr verwundbar – was auch Medienberichte über erfolgreiche Attacken immer wieder unterstreichen. Daher müssen sie nun dringend ihre IT-Sicherheit verbessern und resilienter werden, zumal regulatorische Vorgaben wie DSGVO, KRITIS-Verordnung und NIS2 sie dazu verpflichten.

Endgeräte schützen und Risiken minimieren

Schon grundlegende Maßnahmen wie das schnelle Einspielen von Updates und Patches kann die Angriffsfläche erheblich reduzieren, sind nicht geschlossene Sicherheitslücken doch ein typisches Einfallstor für Cyberkriminelle. Da Krankenhäuser eine Vielzahl an Endgeräten und IT-Systemen betreiben, ist das allerdings keine leichte Aufgabe – insbesondere, weil viele Geräte eigene Management-Lösungen mitbringen oder sich einer zentralen Verwaltung entziehen. Hinzu kommt gerade bei älteren Systemen oft, dass zeitgemäße Sicherheitsfunktionen fehlen und keine sicherheitsrelevanten Aktualisierungen mehr bereitgestellt werden.

Die Einführung eines zentralen Endpoint Managements erlaubt es, Endgeräte über eine einheitliche Oberfläche zu überwachen, zu konfigurieren und zu schützen. Krankenhäuser können Sicherheitsrichtlinien und Updates komfortabel planen und ausrollen, sodass Sicherheitslücken nicht mehr so lange offenstehen. Für Altsysteme und Systeme, die keine zentrale Verwaltung unterstützen, sind zusätzliche Maßnahmen notwendig. Eine Isolierung in geschützten Netzwerkbereichen sorgt dafür, dass nur noch bestimmte Verbindungen von und zu den Geräten aufgebaut werden können. Ein umfassendes Monitoring mit verhaltensbasierter Bedrohungserkennung zeigt darüber hinaus ungewöhnliche Aktivitäten auf und liefert Hinweise auf eine mögliche Kompromittierung.

Die Einrichtung separater Netzwerkbereiche für verschiedene Geräte, Micro-Segmentierung genannt, ist dann auch schon der erste Schritt in Richtung Zero Trust. Dabei handelt es sich um ein Security-Konzept, das Risiken minimiert, indem Nutzer, Geräte und Anwendungen nur mit minimalen Rechten ausgestattet werden (Least Privilege) und zusätzliche Berechtigungen nur kurzzeitig bei Bedarf erhalten (Just in Time). Sämtliche Zugriffe, darunter auch die in andere Netzwerksegmente, werden streng und konsequent überprüft. Die Umsetzung erfolgt unter anderem mit IAM-Lösungen (Identity and Access Management), die die Vergabe von Berechtigungen steuern und rollenbasierte Zugriffskontrollen durchsetzen. 

Angriffe erkennen und abwehren

Häufig fehlt es Krankenhäusern an Tools, um Angriffe frühzeitig zu erkennen. Dadurch haben Cyberkriminelle viel Zeit, weitere Systeme zu infiltrieren, sodass die Schäden deutlich größer sind, als sie sein müssten. Lösungen für Detection and Response ermöglichen eine Bedrohungserkennung schon in den frühen Angriffsphasen, da sie Status- und Aktivitätsinformationen von Systemen zusammentragen, mit Kontext anreichern und analysieren. So ergibt sich ein umfassendes Lagebild, in dem auch vorbereitende Aktionen sichtbar werden, die klassischen Sicherheitstools entgehen. Idealerweise konzentrieren sich die entsprechenden Lösungen nicht nur auf die Endpoints (Endpoint Detection and Response, EDR), sondern berücksichtigen auch Informationen von Security-Systemen, Netzwerkkomponenten und Cloud-Plattformen (Extended Detection and Response, XDR).

Der Betrieb solcher Lösungen und die Reaktion auf erkannte Sicherheitsvorfälle erfordert jedoch umfangreiches Spezialwissen, das Krankenhäusern in der Regel fehlt und kostenintensiv ist, da die entsprechenden Experten rund um die Uhr verfügbar sein müssen. Denn Cyberkriminelle nehmen keine Rücksicht auf Arbeitszeiten und legen Angriffe sogar gezielt auf Wochenenden oder Feiertage, weil Security-Abteilungen dann nicht oder nur schwach besetzt sind. Daher ist es meist sinnvoll, auf Managed Detection and Response (MDR) zu setzen. Hier kümmern sich professionelle Dienstleister um die Überwachung der Infrastruktur, untersuchen mögliche Bedrohungen und leiten im Ernstfall umgehend Gegenmaßnahmen ein. 

Krankenhausbetrieb wieder aufnehmen

Für einen Notbetrieb unmittelbar nach einem erfolgreichen Angriff muss als Erstes der Zugriff auf Patientenakten wiederhergestellt werden. Früher druckte man diese regelmäßig aus, um im Ernstfall mit Papier weiterarbeiten zu können. Heute lassen sich Kopien der Dokumente besser auf externen Servern oder bei Cloud-Anbietern ablegen – der Zugriff darauf ist mit Mobilgeräten über mobile Datenverbindungen möglich, selbst wenn das interne Netzwerk infolge des Angriffs ausgefallen ist. 

Die Wiederherstellung der Systeme erfolgt dann aus Backups. Diese müssen im Vorfeld regelmäßig auf Integrität und Funktion hin getestet werden, damit sie sich bei Bedarf auch wirklich einspielen lassen. Gute Lösungen für Data Protection können diese Aufgabe automatisieren. Da Cyberkriminelle meist gezielt nach Backups suchen, um sie unbrauchbar zu machen, sollten sie auf unveränderlichen Speichern abgelegt werden. Besonders wichtige Daten gehören darüber hinaus in einen sogenannten Cyber Vault – einen Datentresor, der durch ein Air Gap physisch und logisch vom Rest des Netzwerks getrennt und für Cyberkriminelle nicht zu erreichen ist.

So sollten Krankenhäuser den Ernstfall planen und durchspielen

Cyberresilienz ist allerdings kein rein technisches Thema, sondern erfordert auch organisatorische Maßnahmen. Hierzu zählen regelmäßige Awareness-Trainings, die das Personal für einen sicherheitsbewussten Umgang mit Daten, Anwendungen und Geräten sensibilisieren, um unter anderem Risiken durch achtlos angeklickte Dateianhänge, die Eingabe vertraulicher Daten auf unbekannten Websites oder nicht gesperrte Systeme in halb-öffentlichen Bereichen zu verringern. Schließlich ist der Mensch häufig das schwächste Glied in der Sicherheitskette.

Darüber hinaus werden detaillierte Notfallpläne benötigt, damit im Ernstfall jeder weiß, was zu tun ist, wer Entscheidungen trifft und welche Behörden und IT-Partner kontaktiert werden müssen. Lange Abstimmungen über Maßnahmen und die Suche nach Verantwortlichen oder Dokumentationen geben den Angreifern nur unnötig viel Zeit und verzögern die Aufnahme des Notbetriebs sowie die Rückkehr zur Normalität. Natürlich müssen die Pläne regelmäßigen Praxistests unterzogen werden, damit Mitarbeiter sich mit den Abläufen vertraut machen und Schwächen wie veraltete Kontaktdaten oder fehlende Checklisten beseitigen können. Eine gute Vorbereitung auf den Ernstfall ist ebenso wichtig wie effektive Abwehrmaßnahmen.

Quelle: Dr.-Ing. Marten Neubauer