Warum das Gesundheitswesen immer wieder Opfer von Ransomware und anderen Cyberangriffen wird

  • Nate Warfield, CTO von Prevailion und ehemaliger Microsoft-Sicherheitsforscher, erörtert die vielen Sicherheitsherausforderungen und -mängel, die diese Branche plagen.

    Die Gesundheitsbranche wird angegriffen wie nie zuvor.

    Was als ein Anstieg krimineller Aktivitäten in den ersten Tagen der Coronavirus-Pandemie begann, hat sich nun zu einer ausgewachsenen Krise im Gesundheitswesen weltweit ausgeweitet. Die jüngsten Ransomware-Angriffe auf Scripps Health in San Diego, den nationalen Gesundheitsdienst Irlands und die Waikato-Krankenhäuser in Neuseeland zeigen den globalen Charakter der Bedrohung und das allgegenwärtige Risiko in dieser Branche.

    Das Gesundheitswesen ist aufgrund der wertvollen persönlichen und finanziellen Daten schon lange ein Ziel von Cyberkriminellen. Der Wechsel zu aggressiveren und destruktiven Taktiken – wie Ransomware-Erpressung und Doppelerpressung – stellt jedoch eine unglaubliche Belastung für diesen kritischen Dienstleistungssektor dar.

    Obwohl diese Angriffe seit dem letzten Jahr dramatisch angestiegen sind (ein 123-prozentiger Anstieg bei Ransomware und ein 25-prozentiger Anstieg bei Datenschutzverletzungen), sind sie nicht aus der Luft gegriffen.

    Während COVID-19 eine enorme Belastung für das Gesundheitssystem darstellte und Personal und Budgets bis zur Belastungsgrenze strapazierte, nutzten die Angreifer in den meisten Fällen die gleichen Sicherheitsmängel aus, die diese Branche schon lange plagen.

    Elektronische Gesundheitsakten: Eine wachsende Angriffsfläche

    Die Angriffsfläche des Gesundheitswesens hat sich in den letzten zwei Jahrzehnten beträchtlich vergrößert, insbesondere durch die Einführung elektronischer Gesundheitsakten (EHRs), drahtloser medizinischer Geräte und das Aufkommen von Telemedizin und Fernarbeit, die beide durch die Pandemie beschleunigt wurden.

    Durch die Umstellung auf elektronische Patientenakten sind Ransomware- und Datendiebstahlsangriffe für Einrichtungen des Gesundheitswesens wesentlich kostspieliger und schädlicher geworden. Es hat auch die Wahrscheinlichkeit erhöht, dass ein Cyberangriff die grundlegende Betriebsfähigkeit eines Krankenhauses stört.

    Neue Konnektivitätsfunktionen in medizinischen Geräten bedeuten, dass kritische Geräte nun direkter für Angreifer angreifbar sind.

    Der überstürzte Einsatz von Remote-Arbeitsplätzen hat es Hackern leichter gemacht, über die Mitarbeiter in Netzwerke im Gesundheitswesen einzudringen. Besonders besorgniserregend ist die weit verbreitete Nutzung von Remote-Desktop-Protokollen (RDP) und Remote-Access-VPNs durch das Krankenhauspersonal. Beide Technologien stellen erhebliche Risiken für Organisationen dar, wenn Software-Schwachstellen ausgenutzt werden oder die Angreifer direkt auf die Endbenutzer abzielen.

    Forscher haben festgestellt, dass die Ransomware Ryuk zunehmend auf RDPs abzielt, insbesondere im Gesundheitswesen. Im Jahr 2020 haben Hacker ihre Angriffe auf RDPs um 768 Prozent erhöht, zusammen mit VPNs für den Fernzugriff. Der Hacker TrueFighter wurde bei dem Versuch dokumentiert, einem Krankenhaus für 3.000 US-Dollar einen Zugang auf Admin-Ebene zu verkaufen.

    Ransomware-Kriminelle haben auch VPN-Schwachstellen in Citrix ADC Controller und Pulse Connect Secure ausgenutzt, um Zugang zu Krankenhausnetzwerken zu erhalten.

    Ungepatchte Systeme, Legacy-Geräte

    Ein altbekanntes Problem im Gesundheitswesen ist der Einsatz von veralteten und/oder ungepatchten Systemen und Geräten. Dies ist ein Problem, das größtenteils auf Budgetdruck zurückzuführen ist, sowohl in Bezug auf die Kosten für Geräte als auch für den Einsatz eines gut ausgestatteten IT-Sicherheitsbetriebs.

    Medizinische Geräte wie Kernspintomographen sind teuer, weshalb Krankenhäuser häufig viele Jahre oder sogar Jahrzehnte an diesen Geräten festhalten, nachdem sie ausgedient haben. Folglich ist diese medizinische Hardware oft auf veraltete und nicht unterstützte Versionen von Windows angewiesen, um Systeme wie Röntgengeräte, MRTs und CT-Scanner zu verwalten.

    Letztes Jahr fanden Forscher heraus, dass 83 Prozent der medizinischen Bildgebungsgeräte in Krankenhäusern, wie z. B. MRT- und Mammographie-Geräte, mit nicht unterstützten Windows-Betriebssystemen arbeiten und nicht gegen bekannte Sicherheitslücken gepatcht sind. Das Problem reicht jedoch viel weiter zurück. Im Jahr 2016 berichtete das HIPAA Journal über drei Krankenhäuser, die über veraltete medizinische Geräte mit Malware infiziert wurden (die Angreifer nutzten “uralte Exploits” von Windows XP), obwohl im gesamten Netzwerk moderne Cybersicherheitsmaßnahmen installiert waren.

    Zusätzlich zu den medizinischen Geräten haben Krankenhäuser auch Schwierigkeiten, andere Geräte und Software zu patchen. Im Jahr 2014 fanden Forscher heraus, dass eine große Gesundheitsorganisation Informationen über 68.000 Systeme, die mit ihrem Netzwerk verbunden waren, preisgab. Dieselben Systeme hatten es auch versäumt, eine sechs Jahre alte Sicherheitslücke in ihrer Version von Windows XP zu patchen.

    Flache Netzwerke

    Erschwerend kommt hinzu, dass es in Krankenhäusern häufig an einer angemessenen Netzwerksegmentierung mangelt, was die Gesamtangriffsfläche der Organisation und das Risiko einer seitlichen Bewegung durch einen Angreifer erhöht. Besonders besorgniserregend ist die Exposition von medizinischen Geräten, die in der Regel mit dem Hauptnetzwerk verbunden und von dort aus erreichbar sind.

    Die laxe Einstellung der Branche zur Segmentierung stellt ein echtes Problem dar, zumal in diesen Netzwerken viele Legacy-Geräte vorhanden sind. Krankenhäuser sollten aggressiv VLANs, Subnetze, Zugriffskontrolllisten und Firewalls einsetzen, aber diese werden oft nicht gründlich implementiert.

    Eine Studie aus dem Jahr 2019 ergab, dass 49 Prozent der Segmentierungsimplementierungen im Gesundheitswesen weniger als 10 VLANs in diesen Netzwerken verwenden, um alle medizinischen Geräte zu unterstützen. Und fast die Hälfte der Healthcare-Unternehmen in dieser Gruppe nutzte nur ein VLAN. In einer Folgestudie im Jahr 2020 wurde festgestellt, dass 60 Prozent der Unternehmen im Gesundheitswesen ihre IT-Geräte (wie Computer und Drucker) mit medizinischen Geräten in denselben VLANs bündeln.

    Sicherheitsrisiko von Drittanbietern in der Healthcare-IT

    Krankenhäuser haben ein unglaublich vielfältiges Ökosystem von Drittanbietern, das zahlreiche Sicherheitsherausforderungen mit sich bringt. Diese Drittparteien reichen von externen Ärzten, medizinischen Kliniken und Diagnostiklaboren bis hin zu Softwareanbietern, Abrechnungsdiensten, Versicherungen, Geräteanbietern, Dienstleistern und anderen Auftragnehmern.

    Eine Kompromittierung einer dieser Drittparteien kann sich direkt auf das Krankenhaus auswirken, da viele dieser externen Organisationen entweder direkten Zugriff auf Patientendaten oder eine Art von privilegiertem Zugriff auf das Netzwerk des Krankenhauses haben. Dies ist in den letzten Jahren so oft passiert, dass es schwierig ist, es zu zählen. Einige der bemerkenswerteren Fälle in den letzten zwei Jahren sind die AMCA-, Dominion National-, Dental Care Alliance- und Central Files-Datenverletzungen sowie der Blackbaud-Ransomware-Angriff.

    Uptime-Bedenken

    Während die Betriebszeit für jedes moderne Unternehmen unerlässlich ist, ist sie für Krankenhäuser besonders kritisch, da sie sich stark auf digitale Technologien wie EHRs, klinische Informationssysteme (CIS) und Point-of-Care-Terminals verlassen, um sicher und effektiv zu arbeiten.

    Jede Unterbrechung dieser Dienste wirkt sich auf die Patientenversorgung aus – und kann Menschenleben in Gefahr bringen.

    Dies erschwert die Reaktion auf einen Vorfall und die Bemühungen zur Behebung des Problems zusätzlich. Die Entscheidung, Systeme offline zu nehmen, um die Bedrohung zu isolieren und eine seitliche Ausbreitung zu verhindern, muss gegen die breiteren Auswirkungen abgewogen werden, die dies auf kritische medizinische Dienste und die Bedürfnisse der Patienten haben wird.

    Priorisierung der Sicherheit

    Die Cyber-Bedrohungen für das Gesundheitswesen werden auch nach der Pandemie nicht nachlassen. Krankenhäuser müssen aggressivere Maßnahmen ergreifen, um sich gegen diese Angriffe zu wappnen. Außerdem müssen sie ihre Investitionen in die Cybersicherheit erhöhen.

    Netzwerksegmentierung, rechtzeitiges Patchen, Software-/Firmware-Updates, sichere Daten-Backups und strenge Zugriffskontrollen sind wesentliche Bestandteile einer Defense-in-Depth-Strategie, ebenso wie ein großes und gut ausgestattetes IT-Sicherheitsteam, das all das verwalten kann.

    Die Gesundheitsbranche kann es jedoch nicht alleine schaffen.

    Im März 2020, als die Welt von der COVID-19-Pandemie erschüttert wurde, wurden freiwillige Gruppen wie die CTI League und die COVID-19 Cyber Threat Coalition von Infosec-Experten gegründet, um kostenlose Cyber-Bedrohungsdaten für Sicherheitsteams im Gesundheitswesen und in Krankenhäusern bereitzustellen. Diese Gruppen waren zwar erfolgreich und demonstrierten die Wirkung, die frei geteilte Bedrohungsdaten gegen bösartige Akteure haben können, aber sie waren nur eine Notlösung für ein größeres Problem.

    Das Gesundheitswesen ist ein kritischer Sektor für jedes Land, und ihn vor bösartigen Aktivitäten zu schützen, ist nur durch gemeinsame Anstrengungen des öffentlichen und privaten Sektors möglich. Fortschrittliche Verteidigungswerkzeuge müssen für den Gesundheitssektor leichter zugänglich sein, der Informationsaustausch zwischen Organisationen muss gefördert werden und die Zusammenarbeit zwischen allen Sektoren zur Verteidigung dieser lebensrettenden Branchen sollte die Norm sein, nicht die Ausnahme.

    Nate Warfield ist CTO von Prevailion und ehemaliger Senior Security Program Manager für das Microsoft Security Response Team.

    Weitere Einblicke der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com