Bürger im Landkreis Anhalt-Bitterfeld z.B. direkt geschädigt, kommentiert Patrick Englisch

[datensicherheit.de, 20.07.2021] Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit hätten die Folgen der jüngsten Cyber-Attacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib spüren müssen: Erst der Hacker-Angriff auf Colonial Pipeline, dann JBS, COOP und zuletzt auf den Landkreis Anhalt-Bitterfeld. In all diesen Beispielen sei ein Teil der Grundversorgung für die Einwohner ausgehebelt worden. Der Landkreis Anhalt-Bitterfeld sei weiterhin nahezu handlungsunfähig und habe unter anderem keine Sozialhilfen mehr auszahlen können. Diese Hacker-Attacke „schädigt die Bürger im Landkreis direkt“, kommentiert Patrick Englisch, „Director Technical Sales DACH“ bei Veritas Technologies, in seiner aktuellen Stellungnahme.

Foto: Veritas Technologies

Patrick Englisch: Ein besonders drastischer Hacker-Vofall ereignete sich im September 2020 im Uniklinikum Düsseldorf…

Liste der Hacker-Angriffe auf Krankenhäuser wird immer länger

Englisch betont: „Ebenfalls schwerwiegend sind Cyber-Attacken, bei denen Krankenhäuser erfolgreich gehackt werden.“ Auch hierzu werde die Liste der Angriffe immer länger: „Ein besonders drastischer Fall ereignete sich im September 2020 im Uniklinikum Düsseldorf, als Cyber-Kriminelle die IT-Systeme korrumpierten und lahmlegten. Die Folge war, dass eine Patientin nicht rechtzeitig versorgt werden konnte und starb.“
Laut Check Point Research seien Krankenhäuser in Deutschland seit November 2020 besonders stark ins Visier genommen worden – Cyber-Attacken gegen diese hätten „um 220 Prozent“ zugenommen. Im Vergleich dazu sei die Zahl aller anderen Wirtschaftssektoren zusammen um 22 Prozent angestiegen. Im Durchschnitt erlebe die Gesundheitsbranche 187 Millionen Angriffe pro Monat weltweit, was in etwa 498 Attacken im Monat pro Organisation entspreche.

Vorkehrungen gegen hacker-Attacken: Kliniken und Krankenhäuser rechtlich verpflichtet

Krankenhäuser hätten wie viele andere Branchen ihre Prozesse immer stärker digitalisiert, weshalb sie auch anfälliger würden für Angriffe und stärker gesichert werden müssten. „Cybersecurity hat in der Gesundheitsbranche an Bedeutung gewonnen, auch weil neue Richtlinien mehr Engagement auf diesem Gebiet fordern“, so Englisch.
Bis Ende 2021 seien Kliniken und Krankenhäuser verpflichtet, ihre IT-Security zu verstärken und kontinuierlich zu überprüfen. Dabei gehe es nicht nur um die wachsende Bedrohung durch Cyber-Attacken, sondern um die Einhaltung gesetzlicher Vorgaben. Laut § 8a BSIG seien Institutionen im Gesundheitswesen verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur IT-Sicherheit zu treffen.

Nach aktuellem Stand der Technik Krankenhäuser gegen Hacker-Angriffe härten

„Konkret bedeutet das, dass ab dem 01.01.2022 die Sicherheitsmaßnahmen aller Krankenhäuser auf den aktuellen ,Stand der Technik‘ ausgerichtet sein müssen. Damit sich auch kleinere Hospitäler vor Hacker-Angriffen schützen können, hat das Bundesamt für Soziale Sicherung einen Krankenhauszukunftsfond (KHZF) eingerichtet, der 4,3 Milliarden Euro für digitale Schutzmaßnahmen zur Verfügung stellt“, erläutert Englisch.
Obwohl der Gesundheitssektor stark reglementiert sei und es dort grundsätzlich länger dauere, neue Technologien einzuführen, als in anderen Branchen, seien viele kritische Arbeitsabläufe auf den Stationen im Krankenhaus bereits durchgängig digitalisiert worden. Alle anfallenden Informationen – von Bestellformularen über Röntgenbilder bis hin zu Kardiografie – würden per Datum digital erfasst. „Es ist für IT-Verantwortliche daher wichtig, einen genauen Überblick zu behalten, wo welche Daten abgelegt und gespeichert sind.“

Lücken in der Abdeckung oft erst nach Hacker-Attacke erkennbar

Oft aber fehle dieser Überblick, weil Daten auf verschiedenste Infrastrukturen und Datensilos verstreut und die Daten in eigenen Datenstrukturen abgelegt seien. Diese würden wiederum ihrerseits mit eigenen isolierten Programmen gesichert. Die Punktlösungen überlappten zum Teil oder ließen Lücken in der Abdeckung – „die man erst dann entdeckt, wenn Daten korrumpiert wurden oder verloren gehen“. Ohne ein konsolidiertes Gesamtbild erhöhe sich daher die Gefahr, einen „Restore“ nicht anforderungsbezogen und zeitnah umsetzen zu können.
Es sei essenziell, alle Daten im Krankenhaus vom Rand des Netzes („Edge“) über die zentralen Rechenzentren bis hin zur „Cloud“ lückenlos mit einer Datenschutzlösung abzudecken. Englisch erläutert: „Dadurch gewinnen Verantwortliche nicht nur einen vollständigen Überblick über den Datenbestand in ihrer gesamten IT-Infrastruktur. Sie können mit weniger Kosten und weniger Aufwand alle Daten mit demselben hohen Schutzniveau sichern und wiederherstellen, unabhängig vom Speicherort.“

Ransomware als beliebter Angriffsvektor für Hacker

Dank einer zentralen Datenschutzlösung sei es zudem möglich, einen effizienten und automatisierten „Backup und Desaster Recovery“-Plan durchzusetzen, der die wichtigen Applikationen hochverfügbar halte und es zugleich erlaube, hochsensible Daten auf ihrem Weg durch die Backup-Infrastruktur und auf den Backup-Systemen selbst zu verschlüsseln. Ein solches Konzept helfe ebenfalls, Symptome einer laufenden Cyber-Attacke mit Ransomware zu erkennen. „Wenn Ransomware die Daten verschlüsselt, entsteht Last auf dem System und die Daten werden erkennbar manipuliert. Das löst auf der Backup-Seite zwei Effekte aus: Statt wie üblich zwei Stunden dauert das Backup dieses Ziels plötzlich sechs Stunden.“ Außerdem sinke die Deduplikationsrate der Daten „in den Keller“.
Deduplikation vergleiche auf Segmentebene die Daten im Backup mit den Produktionsdaten und sichere nur, „was sich verändert hat“. Es sei klar, dass stark verschlüsselte Dateien sich erheblich von der Klarform unterschieden. Dies sei ein deutlicher Hinweis für IT-Teams, sich das Zielsystem unbedingt anzuschauen. „Aber jede einzelne Punktlösung, die isoliert einen ,Workload‘ absichert, schwächt am Ende das Gesamtsystem und die Reaktionsfähigkeit. Daher ist es entscheidend, dass das Backup-System alle ,Workloads‘, alle ,Clouds‘, alle ,Storage‘- und Datenquellen zentral und ganzheitlich unterstützt“, rät Englisch.

Künste der Hacker jedes Jahr ausgeklügelter und zielgerichteter

Die Künste der Hacker würden jedes Jahr ausgeklügelter und zielgerichteter, zugleich öffneten sich dank Digitalisierung neue Hintertüren in die IT-Infrastruktur. „Und es gilt: Je interessanter und wichtiger Daten sind, umso lukrativer sind die Ziele für Cyber-Kriminelle. Trotz aller Bemühungen ist daher davon auszugehen, dass die Attacken gegen Krankenhäuser weiter zunehmen.“
Ein robustes, konsolidiertes und zentrales Backup-System auf Basis einer resilienten, abgehärteten Infrastruktur könne also die zuverlässige letzte Verteidigungslinie etablieren, „wo sich Daten zuverlässig wiederherstellen lassen und jeder Erpressungsversuch somit ins Leere läuft“, sagt Englisch abschließend.

Weitere Informationen zum Thema:

buzer.de Bundesrecht – tagaktuell konsolidiert – alle Fassungen seit 2006
§ 8a – BSI-Gesetz (BSIG) / § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Check Point Blog
Attacks targeting healthcare organizations spike globally as COVID-19 cases rise again

datensicherheit.de, 13.07.2021
Landkreis Anhalt-Bitterfeld: Katastrophenfall nach Cyber-Angriff ausgerufen / Katastrophenfall betrifft Verwaltung des Landkreises mit seinen rund 157.000 Einwohnern

UKD Universitätsklinikum Düsseldorf, 17.09.2020
IT-Ausfall an der Uniklinik Düsseldorf

[datensicherheit.de, 15.07.2021] Der jüngste Ransomware-Angriff auf Kaseya beweise einmal mehr: „,Safety First‘ ist das Gebot der Stunde, besonders für Krankenhäuser.“ Jetzt gelte es, Geld in die Hand zu nehmen, um die IT zu schützen. Deskcenter AG, nach eigenen Angaben vom Bundesamt für Soziale Sicherung (BAS) zertifizierter Dienstleister, möchte in einer aktuellen Stellungnahme aufzeigen, „wie es durch Fördergelder weniger weh tut“.

Cyber-Kriminalität im großen Stil hat Hochkonjunktur

Cyber-Kriminalität im großen Stil habe offensichtlich Hochkonjunktur. Die kürzlich erfolgte Attacke auf Kaseya ziehe weiter Kreise: Nach der ersten Welle versuchten Cyber-Kriminelle nun, Unternehmen zu vermeintlichen Updates zu verleiten. Doch der Klick auf einen solchen Link führe zur Installation weiterer Malware.
Gerade Krankenhäuser gehörten aufgrund ihrer sensiblen Daten und Prozesse zu den bevorzugten Zielen von Ransomware-Angriffen. Dies belegten Angriffe auf zwei französische Krankenhäuser Anfang 2021 sowie drei Fälle aus Deutschland innerhalb der letzten Monate. Dabei habe es die Uniklinik Düsseldorf, die Evangelische Klinik in Lippstadt und eine Fachklinik in Planegg bei München getroffen.

Schutz der IT gegen Cyber-Angriffe gehört für jeden Klinikleiter ganz oben auf die Agenda

Alarmstufe „Rot“ also für die Krankenhaus-IT. Es gelte: „Jetzt sichern, was später einer Erpressung zum Opfer fallen könnte.“ Christoph Harvey, Vorstand der Deskcenter AG, rät daher: „Der Schutz der IT gegen Cyber-Angriffe gehört für jeden Klinikleiter ganz oben auf die Agenda. Essenziell für die Security der Infrastruktur ist vor allem ein ganzheitliches Asset- und Lizenzmanagement.“
Dieses müsse wirklich jedes Device – mobil wie stationär – inventarisieren und vom Patch-Management über das OS-Deployment die heutigen, komplexen IT-Strukturen zuverlässig managen. „Wer jetzt schnell ist, kann sich über den ,Fördertatbestand 10‘ des Krankenhauszukunftsgesetzes seine Maßnahmen eventuell noch bezuschussen lassen“, so Harvey.

Cyber-Abwehr stärken: Wichtiger Baustein des 4,3 Milliarden Euro schweren Krankenhauszukunftsgesetzes ist IT-Sicherheit

Denn auch Bund und Länder hätten den Bedarf erkannt und Anfang 2021 das Förderprogramm „Krankenhauszukunftsgesetz (KHZG)“ zur Digitalisierung im Gesundheitswesen aufgelegt. Ein wichtiger Baustein des 4,3 Milliarden Euro schweren Pakets sei die IT-Sicherheit.
Die Mittel ließen sich für digitales Patienten- und Klinikmanagement sowie dessen Absicherung nutzen. „Noch ist der Topf nicht leer, in einigen Bundesländer stehen nach wie vor Gelder zum Abruf bereit.“ Doch es gelte schnell zu sein; Die nächsten Fristen liefen Ende Juli 2021 ab, weitere im September.

Weitere Informationen zum Thema:

Deskcenter, 13.07.2021
Safety first – and fast! / Wie Sie jetzt Ihre Klinik-IT mit staatlicher Förderung schützen

datensicherheit.de, 22.06.2021
IoT-Geräte im Gesundheitswesen: Check Point warnt vor Zunahme von Angriffen / Hacker könnten IoT-Geräte als Einfallstor missbrauchen

datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

datensicherheit.de, 28.10.2020
Cyber-Attacken: Gesundheitsorganisationen laut Forescout-Studie weiter anfällig / „Connected Medical Device Security Report“ von Forescout basiert auf Analyse von drei Millionen Geräten

Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

[datensicherheit.de, 07.01.2021] Check Point Research maß die Zunahme von Cyberangriffe gegen Krankenhäuser in den letzten zwei Monaten in Prozent. Stärker als in Deutschland mit 220 Prozent war der Anstieg nur in Kanada mit 250 Prozent zu verzeichnen. Bereits der dritte Platz, Spanien, liegt weit dahinter mit einem Anstieg um 100 Prozent.

Abbildung 1: Anstieg der Attacken im Gesundheitsbereich nach Ländern, Bild: Check Point Software Technologies Ltd.

Außerdem war Zentraleuropa von allen gemessenen Regionen mit 145 Prozent am stärksten betroffen. Weltweit stieg die Zahl der Angriffe gegen Krankenhäuser um 45 Prozent. Alle anderen Sektoren der Weltwirtschaft zusammen ergeben dagegen nur einen Anstieg um 22 Prozent.

Abbildung 2: Anstieg der Attacken im Gesundheitsbereich nach Regionen der Welt, Bild: Check Point Software Technologies Ltd.

Hauptsächlich sahen die Sicherheitsforscher verschiedene Ransomware als Waffe im Einsatz, darunter Ryuk und Sodinokibi. Hinzu kommen Angriffe durch Bot-Netze, Remote Code Execution (Ausführung von Schad-Code über Fernzugriff) und DDoS-Attacken, um Systeme lahm zu legen.

Anzeichen bevorstehender Cyberangriffe erkennen

Aufgrund der vielen Ransomware raten die Sicherheitsforscher allen Unternehmen danach, die ersten Anzeichen für eine bevorstehende Attacke zu erkennen und daher nach Trojaner im Netzwerk zu suchen. Diese können das Unternehmen aushorchen und Hintertüren öffnen, um den Angriffsweg zu ebenen. Sie weisen weiter darauf hin, dass Ransomware-Attacken im vergangenen Jahr vornehmlich am Wochenende und während der Ferien durchgeführt wurden. Entsprechend muss die Sicherheitsstrategie angepasst sein. Zusätzlich gibt es mittlerweile spezialisierte Anti-Ransomware-Sicherheitslösungen und ganze IT-Sicherheitsarchitekturen, die eine Reihe von Gegenmaßnahmen zentral steuern. Die Schulung der Mitarbeiter und Fachkräfte durch spezielle Kurse an Akademien darf außerdem nicht vernachlässigt werden. Schließlich hilft es gerade Krankenhäusern, die auf ihre Systeme oft keinen Patch einspielen können, weil sonst alle Maschinen angehalten werden müssten, ein sogenanntes Intrusion Prevention System (IPS) zu nutzen, wodurch Patches sich virtuell einspielen lassen. Auf diese Weise kommen die Einrichtungen doch in den Genuß der Verbesserungen durch das Update.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH, führt zu den Ergebnissen aus: „Es ist kein Wunder, dass derzeit die Angriffe gegen und Erpressungen von Krankenhäusern so stark zunehmen: In vielen Fällen können Kriminelle so schnelles Geld verdienen. Den Einrichtungen kommt nicht nur eine wichtige Rolle an sich zu, sondern, wegen der Corona-Krise, auch viel Aufmerksamkeit. Wird eine Lösegeldforderung durch eine Ransomware, die kritische Systeme des Krankenhauses lahm legt, gestellt, so können Leben von Patienten auf dem Spiel stehen. Darum neigen diese Einrichtungen natürlich stärker dazu, den Forderungen nachzugeben und zu bezahlen. Der vermehrte Einsatz der Ransomware Ryuk lässt außerdem darauf schließen, dass gezielte Attacken beliebter sind, als breit angelegte Spam-Kampagnen.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender

Check Point Software
Attacks targeting healthcare organizations spike globally as COVID-19 cases rise again

[datensicherheit.de, 29.10.2020] Laut einer aktuellen Meldung von FireEye warnen Regierungsvertreter in den USA vor Hackern, die versuchten, Daten US-amerikanischer Krankenhäuser zu erbeuten und Lösegeldzahlungen zu erzwingen. In seiner Stellungnahme gibt Charles Carmakal, „SVP“ und „CTO“ von Mandiant, einer Einheit von FireEye, eine Einschätzung dieser Bedrohung.

Ransomware-Angriffe auf US-Gesundheitssystem möglicherweise größte bisherige Cyber-Bedrohung

„Ransomware-Angriffe auf unser Gesundheitssystem sind möglicherweise die größte Cyber-Bedrohung, die wir in den Vereinigten Staaten je gesehen haben. ,UNC1878‘, eine osteuropäische Hacker-Gruppe, nimmt absichtlich US-Krankenhäuser mit Ransomware ins Visier und zwingt sie, Patienten umzuleiten“, berichtet Carmakal.

Ryuk-Ransomware führt zur Abschaltung der Netzwerke

Die Patienten müssten dadurch unter Umständen längere Wartezeiten für dringend notwendige Behandlungen in Kauf nehmen. Mehrere Krankenhäuser seien bereits erheblich von der „Ryuk“-Ransomware betroffen – ihre Netzwerke seien abgeschaltet worden. Carmakal warnt: „Da die Kapazitäten der Krankenhäuser durch ,COVID-19‘ immer stärker beansprucht werden, wird die Gefahr, die von diesem Akteur ausgeht, weiter zunehmen.“

UNC1878 einer der gefährlichsten Ransomware-Akteure

„,UNC1878‘ ist einer der dreistesten, skrupellosesten und gefährlichsten Akteure, die ich im Laufe meiner Karriere beobachtet habe.“ Sie teilten die ihnen vorliegenden Informationen über „UNC1878“, um betroffene Organisationen bei der Verteidigung ihrer Netzwerke zu unterstützen, so Carmakal und verweist auf den aktuellen FireEye-Blogpost „Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser“.

Weitere Informationen zum Thema:

FIREEYE, Kimberly Goody, Jeremy Kennelly, Joshua Shilko, Steve Elovitz, Douglas Bienstock, 28.10.2020
Threat Research / Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser

datensicherheit.de, 16.09.2020
Hacker-Angriffe: Krankenhäuser können Abwehr stärken / Michal Salat gibt Tipps, wie Systeme, Patientendaten und Operationen gegen Hacker geschützt werden können

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 07.05.2020
Kommentar zum Ransomware-Angriff auf Fresenius / Attacken werden zunehmend zielgerichtet

Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

[datensicherheit.de, 09.08.2020] Phishing gehört offensichtlich zu den erfolgreichsten Cyber-Attacken. „Es ist schon länger bekannt, dass sich auch Cyber-Kriminelle an die aktuelle Situation angepasst haben und ihre Angriffe auf Unternehmen ständig verfeinern, um zu ihrem Ziel zu gelangen“, betont Tim Berghoff, „Security Evangelist“ bei G DATA, in seiner aktuellen Stellungnahme. Laut einer kürzlich veröffentlichten Meldung von Interpol sähen sich nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt. Diese basierten oft auf einem Mangel an Informationen und einem gesteigerten Informationsbedarf in Bezug auf Themen rund um die „Corona“-Thematik. Dem entgegen stehe das zu Beginn der Krise von einigen Hacker-Gruppen gegebene Versprechen, während der „Pandemie“ explizit keine Krankenhäuser anzugreifen.

Foto: G Data

Tim Berghoff: Viele Vorfälle, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangt…

Kritischen Infrastruktur im Visier: Opfer von Ransomware- und Phishing-Kampagnen

Angriffe dieser Art indes seien nicht neu: „Schon häufiger waren Organisationen, die zur Kritischen Infrastruktur gehören, Opfer von Ransomware- und Phishing-Kampagnen.“
So habe es Anfang 2016 der erfolgreiche Ransomware-Angriff auf das Lukas-Krankenhaus in Neuss zu großer medialer Aufmerksamkeit gebracht, in dessen Folge dessen Arbeitsabläufe in vielen Bereichen behindert worden seien. „Es dürften viele weitere Fälle dieser Art existieren, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangte“, so Berghoff.

Phishing und andere Cyber-Angriffe: Nur eine Frage der Zeit

Daher empfiehlt er: „IT-Verantwortliche im Health-Sektor sollten die derzeitige Bedrohungslage vor Augen haben und Gegenmaßnahmen ergreifen.“ Hierunter fällt demnach etwa eine effektive Antivirus-Software, die es zu jeder Zeit auf dem aktuellsten Stand zu halten gelte. „Auch Lösungen zum E-Mail-Schutz, die eingehende Mails auf verdächtige, beziehungsweise schädliche Anhänge und Links untersuchen, stellten sich bereits in der Vergangenheit als wichtige Komponente für die IT-Sicherheit dar.“
Zwar habe sich hierbei schon eine Menge getan, aber ein Aspekt, der oft genug vernachlässigt werde, sei, „dass die Frage nicht lautet, ob es einen erfolgreichen Angriff geben wird, sondern wann das passieren wird“. Oberstes Ziel sei nicht die Verhinderung von Angriffen mit aller Macht, sondern die Erhaltung der eigenen Handlungsfähigkeit im Falle eines erfolgreichen Angriffs, unterstreicht Berghoff.

Mitarbeiter über E-Mail-Anhänge und Phishing-Webseiten aufklären!

Der wichtigste Faktor allerdings, den es bei der Stärkung der IT-Sicherheit zu beachten gelte, sei der Mitarbeiter. Rein technische Lösungen hätten naturgemäß dort ihre Grenzen, „wo es um menschliche Verhaltensweisen des Mitarbeiters geht“:
Ist dieser ausreichend geschult und über die Gefahren schadhafter E-Mail-Anhänge und Phishing-Webseiten aufgeklärt, könnten viele Sicherheitsvorfälle schon im Ansatz verhindert werden. Es gelte, ein Bewusstsein für die potenziellen Folgen unbedachter Klicks oder Eingaben zu schaffen, ohne Mitarbeiter dabei einzuschüchtern.

Phishing rechtzeitig erkennen: Wissen um sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen!

Einen ersten Schritt könnten etwa Leitfäden darstellen, welche „die gängigsten Angriffsformate beschreiben und Tipps geben, wie man unseriöse Webseiten und Mails erkennt“. Den zweiten Schritt sollten „Security Awareness Trainings“ bilden, welche „das Wissen um den sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen“.
Darüber hinaus schulten einige Awareness-Anbieter Mitarbeiter in anderen wichtigen Praktiken, welche nicht nur die Sicherheit des Unternehmens gewährleisteten, sondern auch den reibungslosen Betrieb. Berghoff: „Hierunter fällt etwa die Durchführung regelmäßiger Backups, um bei Datenverlusten schnell wieder die Arbeit aufnehmen zu können.“

Ausführliche Schulung der Mitarbeiter senkt Gefahrenpotenzial von Phishing- und anderen Cyber-Angriffen

Der Aufbau einer „Security Awareness“ dürfe kein einmaliges Ereignis sein, vielmehr handele es sich um einen kontinuierlichen Prozess. Verantwortliche sollten sich deshalb für einen Anbieter entscheiden, „der nicht nur Tagesschulungen, sondern Online-Kurse mit Sofort-Feedback bereithält“.
Berghoffs Fazit: „Sind Mitarbeiter im Gesundheitswesen erst einmal ausführlich geschult, stellen auch immer raffiniertere Cyber-Angriffe eine geringere Gefahr dar und der Betrieb kann sich auch in schwierigen Zeiten seinem eigentlichen Ziel widmen – dem Wohl des Patienten.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2020
Cyber-Protection: Krankenhäuser müssen ihre IT schützen / Massive Sicherheitslücken dominieren die IT-Infrastruktur im Gesundheitssektor

datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

datensicherheit.de, 24.02.2020
BlueKeep: Schwachstelle bereitet Krankenhäusern Ungemach / Im Mai 2019 stellten Sicherheitsforscher fest, dass sie „aktiv ausgenutzt“ wird

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser / Jochen Koehler kommentiert jüngsten Vorfall in Rheinland-Pfalz und im Saarland

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln / Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON

KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 09.03.2019
Sicherheitslücken: Ultraschallgeräte als Einfallstore in Krankenhäusern / Verlust und zur Weitergabe personenbezogener Daten drohen

Im Mai 2019 stellten Sicherheitsforscher fest, dass sie „aktiv ausgenutzt“ wird

[datensicherheit.de, 24.02.2020] Die Schwachstelle „BlueKeep“ und ihre Gefahr für die Gesundheitsversorgung seien nicht gebannt – viele Betreiber von Krankenhäusern handelten fahrlässig, weil sie ihre medizinischen Geräte nicht aktualisierten, obwohl diese Sicherheitslücke längst bekannt sei und Patches veröffentlicht worden seien. Christine Schönig, „Regional Director Security Engineering“ bei Check Point Software Technologies, kommentiert die anhaltende Bedrohung.

BlueKeep hält Krankenhäuser noch immer auf Trab

Das National Cyber Security Centre in Großbritannien hat demnach 2019 die gefährliche Sicherheitslücke „BlueKeep“ (CVE-2019-070) aufgedeckt. Diese habe neben Unternehmen auch sehr sensible Einrichtungen, wie eben Krankenhäuser, bedroht.
Im Mai 2019 stellten Sicherheitsforscher der Firma Check Point Software Technologies nach eigenen Angaben fest, dass sie „aktiv ausgenutzt“ wird. Konkret handele es sich um eine Schwachstelle im „Remote Desktop Protocol“ (RDP), welche die Ausführung schädlichen Codes über den Fernzugriff ermögliche. Schönig moniert: „Nun ist beinahe ein Jahr seit der Entdeckung vergangen, doch die Bedrohung ist nicht gebannt.“

Foto: Check Point Software Technologies

Christine Schönig: Segmentierung des Netzwerks über zentrale Sicherheitsplattform zu empfehlen!

22 Prozent aller Windows-Geräte in Klinken weiterhin anfällig für BlueKeep

Eine Studie von CyberMDX habe ergeben, dass 22 Prozent aller „Windows“-Geräte in Klinken weiterhin anfällig für „BlueKeep“ seien. Doch damit nicht genug, so Schönig: „Der Blick auf medizinische Geräte, die ans Internet angeschlossen sind und mit ,Windows‘ betrieben werden, zeigt, dass die Schwachstelle bei 45 Prozent noch offen liegt.“
In Gefahr brächten sich die Betreiber der Krankenhäuser selbst, da sie die Systeme schlicht nicht aktualisiert hätten, „obwohl entsprechende Patches längst verfügbar sind, wie die Studie weiter bemerkt“.

BlueKeep auszunutzen, um persönliche Informationen über Kranke zu stehlen

„Die Verantwortlichen in den Kliniken müssen sich dringend bewusst werden, welcher Gefahr sie ihre Patienten aussetzen, wenn die Systeme ungesichert gegen bekannte IT-Schwachstellen sind“, fordert Schönig. „BlueKeep“ lasse sich ausnutzen, um persönliche Informationen über die Kranken zu stehlen, zu ihrer Therapierung und im schlimmsten Fall sogar zur Manipulation der Internet-fähigen, medizinischen Geräte.
Um dem entgegenzuwirken, empfiehlt sich laut Schönig „eine Segmentierung des Netzwerks über eine zentrale Sicherheitsplattform, um sensible Bereiche zu trennen“. So könnten Hacker im Fall eines erfolgreichen Angriffs keine weiteren Bewegungen im Netzwerk durchführen, um die gesamte IT-Infrastruktur zu infizieren.

Weitere Informationen zum Thema:

Check Point
Healthcare Breaches Affected Nearly One Million US Patients: The Security Risks of Medical IoT

CYBER MDX
2020 Vision: A Review of Major IT & Cyber Security Issues Affecting Healthcare

datensicherheit.de, 27.07.2019
BlueKeep: Patrick Steinmetz warnt vor ersten Exploits

Mangelhafte Kommunikatiion im Unternehmen problematisch

Von unserem Gastautor Jürgen Venhorst, Country Manager DACH von Netwrix

[datensicherheit.de, 13.01.2020] Das Internet ist nach der Erfindung des Rads der wohl größte logistische Meilenstein in der Geschichte der Menschheit. Eine unvorstellbare Menge an Daten zirkuliert jeden Tag über die globalen Datenhighways. Doch die digitalen Adern unserer Gesellschaft befördern auch gefährliche Schädlinge, die es auf die finanzielle Gesundheit von Unternehmen und Privatpersonen gleichermaßen abgesehen haben. Hat sich erstmal ein Virus im Firmennetzwerk eingenistet, kann man sich nur noch um Schadensbegrenzung bemühen.

Wenn sich der privat genutzte Rechner zu Hause eine Schadsoftware einfängt, sind alle Daten und Zugänge potenziell in Gefahr. Das ist sehr schmerzhaft für den Betroffenen – private Dokumente sind verschlüsselt oder gelöscht, das Passwort für den E-Mail-Account oder den Online-Banking-Account wurden entwendet und womöglich geändert.

Was im privaten Kontext bereits heftige Symptome hervorruft, kann für eine Firma lebensbedrohliche Ausmaße annehmen. Hat sich ein Virus erstmal im Firmennetzwerk eingenistet, kann er dort (oft unbemerkt) seine Zerstörungskraft auf fast alle Organe des Unternehmens entfalten. Im schlimmsten Fall kommt der Betrieb gänzlich zum Erliegen.

Bild: Netwrix

Jürgen Venhorst, „Country Manager DACH“ bei Netwrix

Angriffe auf Kritische Infrastrukturen mehren sich

2016 wurde das Lukaskrankenhaus in Neuss Zufallsopfer einer damals grassierenden Schadsoftware. Zum Schutz der Patientendaten musste der Betrieb für einige Zeit vollständig auf Papier und Bleistift verlagert werden. Die erdrückende Mehrheit solcher Angriffe werden niemals aufgeklärt; auch im Fall der Lukasklinik konnten die Täter bis zur Einstellung des Verfahrens nicht ermittelt werden. Der finanzielle Schaden belief sich auf knapp eine Million Euro und hätte noch weitaus höher ausfallen können, wenn sensible Patientendaten entwendet worden wären.

2014 wurde ein Krankenhaus in Boston Ziel einer Hackerkampagne, die sich als Reaktion auf einen Sorgerechtsstreit formierte. Das Krankenhaus wurde von Hackern regelrecht in die Zange genommen. Die Angreifer nahmen nicht nur die Haupt-Webseite aufs Korn, sondern auch Unterseiten. Etwa die, auf der Patienten ihre medizinischen Daten einsehen können. Nur mit Hilfe einer Cybersicherheitsfirma konnte das Schlimmste verhindert werden.

Dieses Jahr wurde in Rheinland Pfalz der laut BSI erste Angriff seiner Art auf einen Krankenhausverbund von 20 Krankenhäusern gefahren. Ein Trojaner hatte sich in das Netzwerk eingenistet und die Datenbanken verschlüsselt. Wie im Falle des Lukaskrankenhauses wurde auch hier der Betrieb vorübergehend mit Papier und Bleistift bestritten. Über eine Woche lang war der digitale Betrieb im Krankenhausverbund beeinträchtigt oder kam in manchen Bereichen vollständig zum Erliegen.

Existenzielles Risiko für Krankenhäuser durch doppelte Bedrohung: Unterbrechung des Betriebs plus Strafzahlungen

Diese drei Beispiele veranschaulichen den Trend, dass Einrichtungen der Gesundheitsindustrie einer steigenden Anzahl von Angriffen ausgesetzt sind. Der Grund hierfür ist, dass Krankenhäuser in der Hackerszene als leichte Beute angesehen werden, da ihre IT Infrastruktur schwerer zu schützen ist, speziell wenn niedergelassene Ärzte per Remote, oder auch verschiedene Fachabteilungen, Zugang auf sensible Daten erhalten müssen. Auf den ersten Blick winken hier zwar keine lukrativen Industriegeheimnisse. Doch auf den zweiten Blick erkennt der findige Kriminelle das Erpressungspotenzial in Geiselhaft genommener Patientendaten.

Diese sind nämlich nicht nur von erheblicher Bedeutung für das medizinische Tagesgeschäft der jeweiligen Klinik – spätestens seit dem Inkrafttreten der DSGVO im Mai 2018 drohen empfindliche Strafen für Betriebe, denen personenbezogene Daten ihrer Kunden oder Patienten abhandenkommen.

Zwei Jahre vor der DSGVO trat bereits das IT-Sicherheitsgesetz des BSI in Kraft, welches die kritischen Infrastrukturen (KRITIS) wie Krankenhäuser, Finanzinstitute, Energie- und Wasserversorger sowie Betriebe im Lebensmittelsektor einer besonderen Sorgfaltspflicht unterwirft. So gilt in diesen Unternehmen beispielsweise eine Meldepflicht für Datenlecks.

Wie kann es also sein, dass Betriebe der KRITIS bis heute einen IT-Sicherheitsrückstand aufzuholen haben?

Kinderkrankheit mangelnde interne Kommunikation

Einer der ausschlaggebenden Gründe für diesen Missstand ist eine unzureichende oder gar fehlende Kommunikation der Chefetage mit ihrer IT-Abteilung. Dies führt oft zu einem mangelhaften Verständnis der Bedrohungslage und der damit einhergehenden Konsequenzen für das Unternehmen. Um die notwendigen personellen und finanziellen Mittel zu erhalten, müssen die meisten Anträge der IT-Sicherheit von der Chefetage bewilligt werden. Dafür ist ein Grundverständnis der Materie unumgänglich. Es kann also nur jedem Krankenhausleiter nahegelegt werden, sich in regelmäßigen Abständen von seinen IT-Experten auf den neuesten Stand bringen zu lassen, um die aktuelle Gefahrenlage besser einschätzen zu können und notwendige Investitionen nicht zu verschlafen.

Vertrauen ist gut, Kontrolle ist besser

Ab einer gewissen Betriebsgröße ist es der IT-Abteilung nicht mehr möglich, jede einzelne Aktivität im System zu überwachen. Die traditionelle Lösung, um seinen Mitarbeitern den geregelten Zugang zu firmeninternen Daten zu gewährleisten, ist ein System aus Nutzername und Passwort. Die dadurch errichtete Zugangsbarriere liefert jedoch nur ein Mindestmaß an Datensicherheit. Ein versierter Angreifer hat vielfältige Möglichkeiten, diese Schranke zu überwinden. Im Gegensatz zum Verlust eines Hausschlüssels, wird der Verlust eines Passworts nicht immer sofort bemerkt. Somit bietet sich dem Hacker ein Einfallstor, über welches er möglicherweise monatelang Zugriff auf kritische Informationen des Unternehmens erhalten kann. Das böse Erwachen kommt oft viel zu spät, um den Schaden noch unter Kontrolle halten zu können. Niemand möchte aus den Nachrichten erfahren, dass ein riesiger Datensatz der eigenen Patienten im Darknet feilgeboten wird. Ein solcher Skandal kann die Existenzgrundlage eines Krankenhauses von einem Tag auf den anderen zerstören. Das Vertrauen der Patienten ist verloren und die Strafzahlungen können den Betrieb ruinieren.

Um jederzeit die Kontrolle über die Zugriffe in der Betriebseigenen IT-Infrastruktur zu behalten kann man Dienste in Anspruch nehmen, die sich auf Identitäts-Management spezialisiert haben. Netwrix bietet beispielsweise einen zweistufigen Ansatz: Im ersten Schritt werden alle Daten im Firmennetz aufgrund vorher festgelegter Regeln analysiert und klassifiziert. Zugang erhalten nur die Mitarbeiter, die das jeweilige Dokument für ihre Arbeit auch benötigen. Überflüssige und zu weit gedehnte Zugriffsrechte sind nämlich einer der Hauptrisikofaktoren für die Datensicherheit eines Unternehmens.

Im zweiten Schritt werden Risiken in Echtzeit überwacht; auffällige Nutzungsmuster werden von der Software erkannt und der IT-Abteilung gemeldet. Der Koch benötigt den Zugriff auf den Speiseplan, nicht jedoch Adminrechte, mit denen er die Röntgenaufnahmen von Frau Müller einsehen kann. Sollte ein funktionsfremder Account versuchen, sich Zugriff auf große Mengen sensibler Patientendaten zu verschaffen, wird dies vom Sicherheitsprogramm auf einer zentralen Plattform als Risiko mit hoher Priorität dargestellt, das eliminiert werden sollte.

Fazit

Viele Unternehmen der KRITIS sind bis heute unzureichend gegen Angriffe aus dem Internet geschützt. Die Entscheidungsträger dieser Einrichtungen stehen in der Pflicht sich von den Experten im eigenen Unternehmen beraten und aufklären zu lassen, um mit Sachverstand die notwendigen Sicherheitsvorkehrungen treffen zu können.

Dedizierte Spezialisten können dabei helfen, immer raffinierter werdenden Bedrohungen mit dem nötigen Rüstzeug zu begegnen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware

Medizinische Daten aufgrund ihrer Sensibilität wertvoll

[datensicherheit.de, 19.09.2019] Die Digitalisierung stellt die Gesundheitsbranche offensichtlich immer wieder vor Herausforderungen – so auch im neuesten bekanntgewordenen Fall, bei dem millionenfach hochsensible medizinische Patientendaten ungeschützt im Netz gelandet sind. Schon 2017 habe eine Studie der Unternehmensberatung Roland Berger nachweisen können, dass bereits 64 Prozent der Kliniken mindestens einmal von einem Hacker-Angriff betroffen gewesen seien. Hans-Peter Bauer, „Vice President Central Europe“ bei McAfee, geht in seiner Stellungnahme auf die Herausforderungen ein, welchen sich Krankenhäuser im Umgang mit Cyber-Kriminalität stellen müssten, und zeigt Lösungsansätze auf.

Abbildung: McAfee

McAfee-Bericht „Gefahren für das Gesundheitswesen – Cyber-Kriminelle nehmen das Gesundheitswesen ins Visier“

Oftmals noch Gefahr der Cyber-Kriminalität unterschätzt

„Medizinische Daten sind durch ihre Sensibilität wertvoll. Oftmals wird die Gefahr von Cyber-Kriminalität unterschätzt, da sie fernab vom alltäglichen Leben lokalisiert wird. Die Gefahr ist jedoch für jeden real. Wenn man die letzten drei, vier Jahre etwa zusammennimmt, hat sich die Anzahl der Angriffe verdoppelt.“

Darkweb: Illegaler Handel mit Patientendaten

McAfee habe bei einer Untersuchung feststellen können, dass im sogenannten Darkweb bereits illegal mit Patientendaten gehandelt werde und eine aktive Nachfrage für diese bestehe. Der Paketpreis für solche Datensätze habe sogar über dem Großmarktpreis für Kreditkartendaten gelegen. Auch Erpressungen seien ein boomender Geschäftsbereich.

Gefahr durch Ransomware

Mögliche Risiken seien unter anderem, dass Unbekannte die Server und Datenbanken von Krankenhäusern verschlüsseln könnten, so dass das Personal nicht mehr auf benötigte Dateien zugreifen könne. Bauer betont: „Diese sind jedoch für die bestmögliche Versorgung von Erkrankten unerlässlich.“

Krankenhäuser müssen Präventivmaßnahmen ergreifen

„Daher müssen Krankenhäuser Präventivmaßnahmen ergreifen, um die Wahrscheinlichkeit eines Datendiebstahls zu verringern. Um die Innovationen, die sich hierdurch ergeben, nicht auszubremsen, können Sicherheitslösungen von IT-Dienstleistern unterstützend wirken, beispielsweise durch den aktiven Schutz der Daten in der Cloud.“ Dafür müssten jedoch alle Beteiligten zunächst die dazugehörigen Risiken verstehen und in die digitale Sicherheit der Patienten investieren.

Weitere Informationen zu Thema:

BR24, 17.09.2019
Millionenfach Patientendaten ungeschützt im Netz

Roland Berger, Juli 2017
Krankenhausstudie 2017

McAfee
Bericht: Gefahren für das Gesundheitswesen / Cyber-Kriminelle nehmen das Gesundheitswesen ins Visier

datensicherheit.de, 19.09.2019
Patientendaten: Luxemburg forciert sicheren Austausch

datensicherheit.de, 18.09.2019
Öffentlich zugänglich Patientendaten: Was Unternehmen nun lernen sollten

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

Jochen Koehler kommentiert jüngsten Vorfall in Rheinland-Pfalz und im Saarland

[datensicherheit.de, 23.07.2019] „Nicht schon wieder…“, so kommentiert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn, sein Déjà-vu, dass deutsche Krankenhäuser abermals von Cyber-Attacken betroffen waren. „Gab es das nicht voriges Jahr schon einmal? Und im Jahr davor? Und 2016? Ja, ich erinnere mich, das gab es schon damals, da war es das Lukaskrankenhaus in Neuss.“

Foto: Bromium

Jochen Koehler: „Gab es das nicht voriges Jahr schon einmal? …“

Hinweise auf neuerliche Ransomware-Attacke

Diesmal habe es den Südwesten Deutschlands erwischt. Betroffen gewesen seien anscheinend mehr als zehn Krankenhäuser der DRK-Trägergesellschaft Süd-West in Rheinland-Pfalz und im Saarland. Über die konkreten Ursachen sei bisher nichts bekannt, es deute viel auf eine neuerliche Ransomware-Attacke hin.

Vermutlich auf gut gefälschte E-Mail reingefallen

Man könne nur vermuten, „dass wieder einmal ein tüchtiger Mitarbeiter auf eine gut gefälschte E-Mail hereingefallen ist, wie es allein in Deutschland täglich hundertfach passiert“. Wirklich vorwerfen könne man es ihm sicher nicht.

An der Zeit, die Sicherheitstechnik aufzurüsten

Vielleicht sei es doch an der Zeit, die Sicherheitstechnik ein wenig aufzurüsten und sich nicht länger allein auf die rechtzeitige Detektion von Schadcode zu verlassen.

Isolation aller riskanten Anwenderaktivitäten

Der folgerichtige Weg sei die „Isolation aller riskanten Anwenderaktivitäten“. Solche Lösungen setzten nicht reaktiv auf die reine Erkennung von Angriffen, sondern bauten proaktiv einen Schutzwall auf. Derartige Maßnahmen dürften dem Gesundheitswesen nicht unbekannt sein: „Patienten aus Epidemie-Krisengebieten werden bei ihrer Aufnahme ja schließlich auch isoliert…“

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

[datensicherheit.de, 19.07.2019] Wie mehrere Medien am 17. Juli 2019 berichteten, ist die Trägerschaft Süd-West des Deutschen Roten Kreuzes (DRK) Opfer eines Angriffs mit einem Verschlüsselungstrojaner (Ransomware) geworden. Insgesamt sollen 13 Kliniken betroffen sein – ein Großteil zwischen Mannheim und Bonn, zwei weitere nahe der Grenzen zu Frankreich und Luxemburg. Arved Graf von Stackelberg, „Managing Director“ bei DRACOON, geht in seinem aktuellen Kommentar auf diesen neuen Ransomware-Fall in deutschen Krankenhäusern ein – die Gefahrenlage sei weiterhin angespannt.

Foto: DRACOON

Arved Graf von Stackelberg: Ransomware noch immer große Gefahr für deutsche Organisationen – nicht nur für KRITIS-Unternehmen… 

Server und Datenbanken verschlüsselt

Die Attacke ist demnach am Morgen des 14. Juli 2019 festgestellt worden: Die Malware habe sowohl Server als auch Datenbanken verschlüsselt. Als Reaktion seien die Server noch am Nachmittag vom Netz genommen geworden, um sie auf einen Befall zu überprüfen und eine weitere Ausbreitung der Schadsoftware zu verhindern.
Der Vorgang der Verschlüsselung konnte sodann laut der Klinik-Trägerschafft gestoppt werden. Das Landeskriminalamt (LKA) sei verständigt und eine Anzeige laut dem Sprecher der Trägerschaft erstattet worden. Auch wenn eine konkrete Forderung nach Lösegeld ausgeblieben sei, soll eine E-Mail inklusive einer Textdatei eingegangen sein – diese sei aber ungeöffnet an das BKA gegeben worden. „Es ist davon auszugehen, dass es sich hierbei um die Forderung gehandelt hat. In der Konsequenz der Attacke waren die betroffenen Kliniken zeitweise komplett vom Internet abgeschnitten und auch per Mail, Telefon oder Fax nicht erreichbar“, berichtet von Stackelberg.

Ransomware zwei Jahre nach WannaCry noch immer große Gefahr

Dieser Vorfall zeige, dass Ransomware rund zwei Jahre nach „WannaCry“ immer noch eine große Gefahr für deutsche Organisationen sei – nicht nur für KRITIS-Unternehmen. Dies bestätige auch die kürzlich erschienene Studie des Wirtschaftsprüfungs- und Beratungsnetzwerks KPMG „E-Crime in der deutschen Wirtschaft“. Für diese Erhebung seien 1.000 Firmen in Deutschland, unter anderem aus den Bereichen Gesundheitswesen, Handel und der Industrie zu ihren Erfahrungen mit Cyber-Kriminalität befragt worden.
Hierbei werde deutlich, dass jeder dritte Betrieb (31 Prozent) in den letzten zwei Jahren bereits Opfer eines Angriffs mit einem Verschlüsselungstrojaner geworden sei. „Das sind doppelt so viele wie in der vorherigen KPMG-Befragung. Weitere 28 Prozent berichteten über Versuche, Ransomware in die Systeme einzuschleusen“, so von Stackelberg.

BSI warnte vor gezielten Ransomware-Attacken auf Unternehmen

Besonders bei großen Unternehmen könne man laut der Veröffentlichung einen deutlichen Anstieg der Angriffe erkennen. Angesichts dieser Zahlen verwundere es nicht, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) im April 2019 in einer Pressemitteilung erneut vor gezielten Ransomware-Attacken auf Unternehmen gewarnt habe. Laut der Behörde sei eine beliebte und derzeit verbreitete Angriffstechnik der Versand von breit angelegten Spam-Kampagnen wie „Emotet“, „um zunächst Zugang zu einzelnen Unternehmensnetzwerken zu bekommen, um dann manuell das Netzwerk und die Systeme der Betroffenen zu erforschen“.
Hierbei versuchten die Kriminellen, Backups zu manipulieren oder zu löschen und verbreiteten dann selektiv bei besonders lukrativen Zielen koordiniert Ransomware auf den Computersystemen. Die Folge seien teilweise massive Betriebsunterbrechungen, außerdem könnten die Verursacher deutlich höhere Lösegeldforderungen stellen als bei ungezielten Ransomware-Kampagnen.

Verschärfung der Bedrohungslage: Unternehmen sollten gewappnet sein

„In Zeiten einer Verschärfung der Bedrohungslage im Bereich Ransomware müssen Unternehmen dringend gewappnet sein“, betont von Stackelberg. Im Falle einer Infektion rate das BSI davon ab, auf die Forderungen der Erpresser einzugehen. Auch sollten Unternehmen Geschäftspartner und Kunden zeitnah informieren und auf etwaige Angriffsversuche per E-Mail mithilfe gefälschter Absender ihres Betriebs hinweisen.
Am besten seien Firmen allerdings beraten, „wenn sie sicherstellen, dass eine Attacke von vornherein ins Leere läuft und geschäftliche Daten nicht in Gefahr sind“. Hierzu sollten Unternehmen insbesondere ihre firmeninterne Software unter die Lupe nehmen, etwa die verwendete Cloud-Speicher-Lösung. Idealerweise sei diese mit einem integrierten Storage-Ransomware-Schutz (wie z.B. einem Papierkorb und einer Versionierung) ausgestattet, „der dafür sorgt, dass die Daten bei einem Verschlüsselungsangriff nicht betroffen sind“. Sollte Ransomware trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlören Betriebe dank der Versionierung durch den Papierkorb trotzdem keine Datei. „Bei einem Ransomware-Angriff werden die Daten mit den verschlüsselten Daten überschrieben – die unverschlüsselten Versionen der Daten liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden.“ Somit könne ein Verlust von wichtigen Informationen von Vornherein verhindert werden.

Krankenhäuser müssen hinsichtlich IT-Infrastruktur neuestem Stand der Technik entsprechen

Auch die Ende Juni 2019 verbindlich für zahlreiche deutsche Kliniken in Kraft getretene BSI-KRITIS-Verordnung besage, dass betroffene Krankenhäuser bezüglich ihrer IT-Infrastruktur dem neuesten Stand der Technik entsprechen müssten. Dort müsse gewährleistet sein, „dass ein Angriff jeglicher Art auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat“. Die Schutzmechanismen von Computer-Netzwerken müssten dies verhindern.
„Auch hier greift ein Feature, das eine Ransomware-Attacke eindämmt und mit der die geschädigten Daten zeitnah wiederhergestellt werden können.“ Insgesamt müssten Unternehmen sich auch zwei Jahre nach der historischen „WannaCry“-Welle „darauf einstellen, dass Angreifer noch professioneller und heimtückischer agieren, um maximalen Schaden anzurichten, und ihr Sicherheitsniveau anpassen“.

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen