Aktuelles, Branche - geschrieben von am Mittwoch, September 16, 2020 20:39 - noch keine Kommentare

Hacker-Angriffe: Krankenhäuser können Abwehr stärken

Michal Salat gibt Tipps, wie Systeme, Patientendaten und Operationen gegen Hacker geschützt werden können

[datensicherheit.de, 16.09.2020] Die Uniklinik Düsseldorf laufe nach einem mutmaßlichen Hacker-Angriff seit Tagen im Minimalbetrieb. Der IT-Ausfall betreffe immer mehr Patienten und sorge für Verzögerungen von Operationen und Behandlungen. Immer wieder gerieten medizinische Einrichtungen ins Visier von Cyber-Kriminellen. In seinem aktuellen Kommentar geht Michal Salat, „Threat Intelligence Director“ bei Avast, auf diesen Vorfall ein gibt Tipps für Krankenhäuser, um sich vor solchen Angriffen zu schützen.

avast-michal-salat-klein

Foto: Avast

Michal Salat: Krankenhäuser für Hacker-Angriffe nicht unbedingt anfälliger, aber weitreichende Folgen drohen

Lösegeld: Krankenhäuser attraktive Ziele für Hacker

Salat: „Krankenhäuser sind für Hacker-Angriffe nicht unbedingt anfälliger als andere Institutionen, doch für sie kann ein Angriff weitreichende Folgen haben, wie etwa den Verlust von Patientenakten und die Verzögerung oder Absage von Behandlungen“.
Da Krankenhäuser lebensrettende Operationen durchführten und über sensible Patienteninformationen verfügten, neigten sie stärker dazu, das geforderte Lösegeld zu zahlen, als andere Organisationen – dies mache sie zu attraktiven Zielen für Cyber-Kriminelle.
Es gibt laut Salat indes Maßnahmen, die Krankenhäuser ergreifen können, um ihre Abwehr zu stärken und ihre Systeme, Kundendaten und Operationen zu schützen:

  1. Software auf dem neuesten Stand halten!
    Im Mai 2017 habe die Ransomware „WannaCry“ Millionen von Computern auf der ganzen Welt angegriffen und erfolgreich Geräte infiziert, „indem sie eine Schwachstelle missbrauchte, für die Microsoft zwei Monate zuvor einen Patch veröffentlicht hatte“. Millionen von Menschen und Unternehmen hätten das Update ignoriert, das sie vor einer „WannaCry“-Infektion geschützt hätte. Auch Krankenhäuser seien von „WannaCry“ betroffen gewesen.
    Es sei absolut entscheidend, die Software und alle Betriebssysteme jederzeit auf dem neuesten Stand zu halten. Microsoft gebe kontinuierlich Notfall-Patches heraus: „Kürzlich veröffentlichte das Unternehmen einen Notfall-Patch für eine kritische ,Windows 10‘-Schwachstelle mit dem Namen ,Eternal Darkness‘ – eine Schwachstelle, die von einem Wurm ausgenutzt werden könnte.“
    Diese betreffe das SMB-Protokoll, welches für den Austausch von Dateien verwendet werde – „dasselbe Protokoll, das vor drei Jahren zur Verbreitung von ,WannaCry‘ genutzt wurde“. Microsoft appelliere an die Anwender, das Update sofort einzuspielen, und gerade Einrichtungen im Gesundheitswesen sollten diesen Aufruf ernst nehmen.
  2. Zugriff einschränken!
    Für Krankenhäuser sei es empfehlenswert, „alle Dienste einzustellen, die direkt über das Internet erreichbar sind“. IT-Administratoren sollten in Betracht ziehen, eine strikte „Whitelist“ für ausführbare Dateien aufzusetzen, so dass nur bekannte und vertrauenswürdige Anwendungen auf Krankenhauscomputern ausgeführt werden könnten.
  3. Auf „digitale Hygiene“ achten!
    Krankenhäuser schulten ihr Personal zur Verbesserung der Hygiene – genauso sollten die Mitarbeiter regelmäßig Trainings und Informationen zur „digitalen Hygiene“ erhalten.
    Die Belegschaft sollte über die aktuellen Angriffsarten und Betrugsmaschen von Cyber-Kriminellen aufgeklärt werden.
    „Die E-Mail ist nach wie vor einer der beliebtesten Angriffsvektoren von Cyber-Kriminellen. Mitarbeiter müssen sich vor E-Mails von unbekannten Absendern in Acht nehmen und dürfen keinesfalls auf Links klicken oder Anhänge herunterladen, wenn sie nicht absolut sicher sind, dass diese seriös sind.“
  4. Regelmäßig alle wichtigen Daten sichern!
    „Wenn Dateien gesichert werden, verliert die Lösegeldforderung viel von ihrer Macht, denn die Systeme und Daten können wiederhergestellt werden.“
    Wichtige Dokumente, einschließlich Patientenakten, sollten regelmäßig gesichert werden, „damit Krankenhäuser immer eine saubere Version ihrer Dateien haben, falls diese von Hackern verschlüsselt werden“.
    Am besten sei es, die Daten sowohl in der Cloud als auch physisch auf einem Datenträger zu sichern. Darüber hinaus sei ein einzelnes Image mit allen Standardeinstellungen nützlich, wenn ein PC auf einen früheren Zeitpunkt vor der Infektion zurückgesetzt werden müsse.

Maßnahmen nach erfolgreichem Hacker-Angriff:

Trotz dieser Vorkehrungen sei es leider immer möglich, Opfer eines Angriffs zu werden. Daher sei es wichtig zu wissen, was in einem solchen Fall zu tun ist:

Schritt 1: Sofort die infizierten Geräte isolieren!
Bei einem Hacker-Angriff gelte es zuerst, alle infizierten kabelgebundenen und kabellosen Computer und Geräte im Netzwerk ausfindig zu machen und vom Netzwerk zu trennen. „So lässt sich verhindern, dass sich die Malware ausbreitet und weitere Computer, Tablets oder Smartphones befällt.“
Es werde empfohlen, wirklich alles, was mit den Geräten im Netzwerk verbunden ist, zu trennen, einschließlich der externen Speicher.
Administratoren sollten prüfen, ob eines der anderen Geräte mit dem infizierten PC verbunden war. In dem Fall müsse es ebenfalls auf Nachrichten mit Lösegeldforderungen hin untersucht werden.

Schritt 2: Protokolle sammeln für die forensische Analyse!
„Sobald das betroffene Gerät isoliert ist und der Netzwerkumgebung keinen weiteren Schaden zufügen kann, sollten Administratoren ein Bild des Live-Systems für die forensische Analyse erstellen.“
Das sei eine Momentaufnahme aller Protokolle und Ereignisse, welche dem Einsatzteam helfe, „herauszufinden, woher der Angriff kam und wie er ablief“.

Schritt 3: Identifizieren, welche Art von Malware vorliegt!
„Wenn es beispielsweise um Ransomware geht, empfehlen wir das Tool ,Cypto Sherrif‘ von No More Ransom’s. Es wird vom europäischen Cybercrime Center von Europol zur Verfügung gestellt und überprüft die verschlüsselten Dateien sowie die Lösegeldforderung.“ Wenn „Crypto Sheriff“ die Verschlüsselung erkennt und eine Lösung hat, gebe es einen Link zum Herunterladen des benötigten Entschlüsselungsprogramms.
Es empfehle sich auch, einschlägige Foren für PC-Fehlerbehebung und technischen Support zu durchforsten, um Informationen über die Ransomware-Variante zu finden, die entfernt werden muss. „Selbst wenn sie neu ist, kann es ,Threads‘ geben, die bei der Lösung helfen oder in denen die Forumsmitglieder gemeinsam auf eine Lösung hinarbeiten.“
Einige Ransomware-Arten gäben Dateien andere Dateierweiterungen (z.B.: .exe, .docx, .dll), nachdem sie diese verschlüsselt haben. Administratoren könnten in Foren nach den Namen der Erweiterungen suchen, um Diskussionen zu der Ransomware zu finden, die sie entfernen müssen.

Schritt 4: Malware entfernen!
Es sei wichtig, die Malware, die einen PC befallen hat, loszuwerden. Es gebe mehrere Optionen, Schadsoftware von einem Gerät mit „Windows 10“, „8“ und „7“ zu entfernen:

  • Prüfen Sie, ob sich die Schadsoftware selbst gelöscht hat (was häufig der Fall ist)!
  • Entfernen Sie es mit einem Antiviren-Programm!
  • Entfernen Sie das Schadprogramm manuell!
  • Das System mit einem Image neu installieren!

Weitere Informationen zum Thema:

datensicherheit.de, 15.09.2020
Düsseldorfer Universitätsklinikum: IT-System dieser KRITIS offenbar vollständig ausgefallen / Jürgen Venhorst kommentiert Vorfall und fordert besondere Vorkehrungen im Bereich der KRITIS

Diese Foren sind laut Michal Salat nützliche Informationsquellen:

Bleeping Computer

Computer Hope

Microsoft Community

Reddit (r/Ransomware)



Kommentieren

Kommentar

Medienpartner

it-sa 365

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Mitgliedschaft

German Mittelstand

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Gefragte Themen


Datenschutzerklärung