Vor einem Jahr war es nur ein Nebensatz, jetzt ist es eine ausdrückliche Warnung: Immer öfter geraten Krankenhäuser und andere Einrichtungen des Gesundheitswesen ins Visier von Cyberkriminellen. Besonders Ransomware-Erpresser stellen eine extrem hohe Gefahr dar. Das zeigt der aktuelle Lagebericht zur IT-Sicherheit in Deutschland, den das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) im Oktober 2020 herausgebracht hat. Allein im Berichtszeitraum zwischen Juni 2019 und Mai 2020 sind 117,4 Millionen neue Varianten bekannter Malware hinzugekommen, besonders aktiv war die Kombination aus Emotet, Trickbot und der Ransomware Ryuk.
Welche Folgen ein erfolgreicher Cyberangriff haben kann, zeigte zuletzt auf tragische Weise der Fall des Universitätsklinikums Düsseldorf: Das Krankenhaus konnte nach dem Ausfall seines IT-Systems keine neuen Patienten mehr aufnehmen, weswegen eine Frau, die dringend Hilfe benötigte, in eine deutlich weiter entfernte Klinik transportiert werden musste. Die zusätzliche Zeit erwies sich als tödlich. Einfallstor für die Ransomware-Attacke war eine Sicherheitslücke in der VPN-Software von Citrix. Und auch wenn die Angreifer den Entschlüsselungscode kostenlos übergeben haben, dauerte es mehr als zwei Wochen, bis das Krankenhaus wieder einigermaßen in den Normalbetrieb übergehen konnte.
Der richtige Sicherheitsansatz sollte ein breites Spektrum an Next-Generation-Technologien, die Threat Intelligence und maschinelle Lernalgorithmen für ihre Arbeit nutzen, umfassen einschließlich einer mehrstufigen Sicherheit für Endpoints – darunter physische und virtuelle Maschinen, mobile Devices, eingebettete Geräte in medizinischer Ausrüstung und Cloud-basierte Workloads. Viele Datenlecks werden jedoch nicht in böser Absicht, sondern durch Unachtsamkeit verursacht. Interne Weiterbildungen und Schulungen sorgen hier für Abhilfe. Alle Nutzer mit Zugang zu den entsprechenden Daten müssen über unternehmensinterne Compliance- und branchenspezifische Datenschutzrichtlinien informiert sein. Zudem müssen sie für verschiedene Bedrohungssituationen und -möglichkeiten sensibilisiert werden: Wie kann man Phishing-Mails oder kompromittierte Webseiten erkennen? Welche aktuellen Bedrohungen gibt es? Wen muss ich im Gefahrenfall informieren? Ziel ist es, durch aufmerksame und geschulte Mitarbeiter ein „menschliches Intrusion Detection System“ zu bekommen, das neben den technologischen Lösungen zur Bekämpfung von Cybergefahren beiträgt.
Abgesehen von der Bedrohung durch externe Angreifer stellen gerade auch sogenannte „Internal Threats“ eine Gefahr dar. Eine DLP-Lösung verhindert den – ob nun fahrlässige oder vorsätzlichen – Datenabfluss durch Mitarbeiter. Das kann an den unterschiedlichsten Stellen passieren: Patientendaten werden beispielsweise per E-Mail ungesichert zur weiteren Behandlung an den Hausarzt oder durch einen Tippfehler sogar an Dritte verschickt. Gesundheitsinstitutionen sind in dieser Hinsicht besonders gefährdet, da sich die Mitarbeiter oftmals gleichzeitig in unterschiedlichen Datennetzwerken befinden und Informationen über private, meist ungeschützte Endgeräte bearbeiten oder weiterleiten. Eine DLP-Lösung sorgt dafür, dass Mitarbeiter weder Daten unberechtigterweise verschicken noch auf externe Datenträger kopieren können. Basierend auf einer auf die Berechtigungen des jeweiligen Nutzers abgestimmten Datenklassifizierung werden ausgehende Nachrichten gescannt. Sollten klassifizierte Daten enthalten sein, wird der Versand geblockt. Zudem gibt es Sicherheitslösungen, die Alarm schlagen, wenn ungewöhnliche Aktivitäten auftreten. Darunter fallen das Verschieben großer Datenmengen, die aktive Nutzung eines Rechners außerhalb der üblichen Arbeitszeiten und das wiederholte Besuchen ungewöhnlicher Webseiten.
Eine Next Generation Firewall wiederum, die über ein integriertes Intrusion Prevention System (IPS) verfügt, analysiert nicht nur in Echtzeit den Stream, um so frühzeitig auf Bedrohungen reagieren zu können.
