Aktuelles, Branche, Gastbeiträge - geschrieben von am Montag, Januar 13, 2020 14:48 - noch keine Kommentare

IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich

Mangelhafte Kommunikatiion im Unternehmen problematisch

Von unserem Gastautor Jürgen Venhorst, Country Manager DACH von Netwrix

[datensicherheit.de, 13.01.2020] Das Internet ist nach der Erfindung des Rads der wohl größte logistische Meilenstein in der Geschichte der Menschheit. Eine unvorstellbare Menge an Daten zirkuliert jeden Tag über die globalen Datenhighways. Doch die digitalen Adern unserer Gesellschaft befördern auch gefährliche Schädlinge, die es auf die finanzielle Gesundheit von Unternehmen und Privatpersonen gleichermaßen abgesehen haben. Hat sich erstmal ein Virus im Firmennetzwerk eingenistet, kann man sich nur noch um Schadensbegrenzung bemühen.

Wenn sich der privat genutzte Rechner zu Hause eine Schadsoftware einfängt, sind alle Daten und Zugänge potenziell in Gefahr. Das ist sehr schmerzhaft für den Betroffenen – private Dokumente sind verschlüsselt oder gelöscht, das Passwort für den E-Mail-Account oder den Online-Banking-Account wurden entwendet und womöglich geändert.

Was im privaten Kontext bereits heftige Symptome hervorruft, kann für eine Firma lebensbedrohliche Ausmaße annehmen. Hat sich ein Virus erstmal im Firmennetzwerk eingenistet, kann er dort (oft unbemerkt) seine Zerstörungskraft auf fast alle Organe des Unternehmens entfalten. Im schlimmsten Fall kommt der Betrieb gänzlich zum Erliegen.

Jürgen Venhorst, Country Manager der DACH-Region bei Netwrix

Bild: Netwrix

Jürgen Venhorst, „Country Manager DACH“ bei Netwrix

Angriffe auf Kritische Infrastrukturen mehren sich

2016 wurde das Lukaskrankenhaus in Neuss Zufallsopfer einer damals grassierenden Schadsoftware. Zum Schutz der Patientendaten musste der Betrieb für einige Zeit vollständig auf Papier und Bleistift verlagert werden. Die erdrückende Mehrheit solcher Angriffe werden niemals aufgeklärt; auch im Fall der Lukasklinik konnten die Täter bis zur Einstellung des Verfahrens nicht ermittelt werden. Der finanzielle Schaden belief sich auf knapp eine Million Euro und hätte noch weitaus höher ausfallen können, wenn sensible Patientendaten entwendet worden wären.

2014 wurde ein Krankenhaus in Boston Ziel einer Hackerkampagne, die sich als Reaktion auf einen Sorgerechtsstreit formierte. Das Krankenhaus wurde von Hackern regelrecht in die Zange genommen. Die Angreifer nahmen nicht nur die Haupt-Webseite aufs Korn, sondern auch Unterseiten. Etwa die, auf der Patienten ihre medizinischen Daten einsehen können. Nur mit Hilfe einer Cybersicherheitsfirma konnte das Schlimmste verhindert werden.

Dieses Jahr wurde in Rheinland Pfalz der laut BSI erste Angriff seiner Art auf einen Krankenhausverbund von 20 Krankenhäusern gefahren. Ein Trojaner hatte sich in das Netzwerk eingenistet und die Datenbanken verschlüsselt. Wie im Falle des Lukaskrankenhauses wurde auch hier der Betrieb vorübergehend mit Papier und Bleistift bestritten. Über eine Woche lang war der digitale Betrieb im Krankenhausverbund beeinträchtigt oder kam in manchen Bereichen vollständig zum Erliegen.

Existenzielles Risiko für Krankenhäuser durch doppelte Bedrohung: Unterbrechung des Betriebs plus Strafzahlungen

Diese drei Beispiele veranschaulichen den Trend, dass Einrichtungen der Gesundheitsindustrie einer steigenden Anzahl von Angriffen ausgesetzt sind. Der Grund hierfür ist, dass Krankenhäuser in der Hackerszene als leichte Beute angesehen werden, da ihre IT Infrastruktur schwerer zu schützen ist, speziell wenn niedergelassene Ärzte per Remote, oder auch verschiedene Fachabteilungen, Zugang auf sensible Daten erhalten müssen. Auf den ersten Blick winken hier zwar keine lukrativen Industriegeheimnisse. Doch auf den zweiten Blick erkennt der findige Kriminelle das Erpressungspotenzial in Geiselhaft genommener Patientendaten.

Diese sind nämlich nicht nur von erheblicher Bedeutung für das medizinische Tagesgeschäft der jeweiligen Klinik – spätestens seit dem Inkrafttreten der DSGVO im Mai 2018 drohen empfindliche Strafen für Betriebe, denen personenbezogene Daten ihrer Kunden oder Patienten abhandenkommen.

Zwei Jahre vor der DSGVO trat bereits das IT-Sicherheitsgesetz des BSI in Kraft, welches die kritischen Infrastrukturen (KRITIS) wie Krankenhäuser, Finanzinstitute, Energie- und Wasserversorger sowie Betriebe im Lebensmittelsektor einer besonderen Sorgfaltspflicht unterwirft. So gilt in diesen Unternehmen beispielsweise eine Meldepflicht für Datenlecks.

Wie kann es also sein, dass Betriebe der KRITIS bis heute einen IT-Sicherheitsrückstand aufzuholen haben?

Kinderkrankheit mangelnde interne Kommunikation

Einer der ausschlaggebenden Gründe für diesen Missstand ist eine unzureichende oder gar fehlende Kommunikation der Chefetage mit ihrer IT-Abteilung. Dies führt oft zu einem mangelhaften Verständnis der Bedrohungslage und der damit einhergehenden Konsequenzen für das Unternehmen. Um die notwendigen personellen und finanziellen Mittel zu erhalten, müssen die meisten Anträge der IT-Sicherheit von der Chefetage bewilligt werden. Dafür ist ein Grundverständnis der Materie unumgänglich. Es kann also nur jedem Krankenhausleiter nahegelegt werden, sich in regelmäßigen Abständen von seinen IT-Experten auf den neuesten Stand bringen zu lassen, um die aktuelle Gefahrenlage besser einschätzen zu können und notwendige Investitionen nicht zu verschlafen.

Vertrauen ist gut, Kontrolle ist besser

Ab einer gewissen Betriebsgröße ist es der IT-Abteilung nicht mehr möglich, jede einzelne Aktivität im System zu überwachen. Die traditionelle Lösung, um seinen Mitarbeitern den geregelten Zugang zu firmeninternen Daten zu gewährleisten, ist ein System aus Nutzername und Passwort. Die dadurch errichtete Zugangsbarriere liefert jedoch nur ein Mindestmaß an Datensicherheit. Ein versierter Angreifer hat vielfältige Möglichkeiten, diese Schranke zu überwinden. Im Gegensatz zum Verlust eines Hausschlüssels, wird der Verlust eines Passworts nicht immer sofort bemerkt. Somit bietet sich dem Hacker ein Einfallstor, über welches er möglicherweise monatelang Zugriff auf kritische Informationen des Unternehmens erhalten kann. Das böse Erwachen kommt oft viel zu spät, um den Schaden noch unter Kontrolle halten zu können. Niemand möchte aus den Nachrichten erfahren, dass ein riesiger Datensatz der eigenen Patienten im Darknet feilgeboten wird. Ein solcher Skandal kann die Existenzgrundlage eines Krankenhauses von einem Tag auf den anderen zerstören. Das Vertrauen der Patienten ist verloren und die Strafzahlungen können den Betrieb ruinieren.

Um jederzeit die Kontrolle über die Zugriffe in der Betriebseigenen IT-Infrastruktur zu behalten kann man Dienste in Anspruch nehmen, die sich auf Identitäts-Management spezialisiert haben. Netwrix bietet beispielsweise einen zweistufigen Ansatz: Im ersten Schritt werden alle Daten im Firmennetz aufgrund vorher festgelegter Regeln analysiert und klassifiziert. Zugang erhalten nur die Mitarbeiter, die das jeweilige Dokument für ihre Arbeit auch benötigen. Überflüssige und zu weit gedehnte Zugriffsrechte sind nämlich einer der Hauptrisikofaktoren für die Datensicherheit eines Unternehmens.

Im zweiten Schritt werden Risiken in Echtzeit überwacht; auffällige Nutzungsmuster werden von der Software erkannt und der IT-Abteilung gemeldet. Der Koch benötigt den Zugriff auf den Speiseplan, nicht jedoch Adminrechte, mit denen er die Röntgenaufnahmen von Frau Müller einsehen kann. Sollte ein funktionsfremder Account versuchen, sich Zugriff auf große Mengen sensibler Patientendaten zu verschaffen, wird dies vom Sicherheitsprogramm auf einer zentralen Plattform als Risiko mit hoher Priorität dargestellt, das eliminiert werden sollte.

Fazit

Viele Unternehmen der KRITIS sind bis heute unzureichend gegen Angriffe aus dem Internet geschützt. Die Entscheidungsträger dieser Einrichtungen stehen in der Pflicht sich von den Experten im eigenen Unternehmen beraten und aufklären zu lassen, um mit Sachverstand die notwendigen Sicherheitsvorkehrungen treffen zu können.

Dedizierte Spezialisten können dabei helfen, immer raffinierter werdenden Bedrohungen mit dem nötigen Rüstzeug zu begegnen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung