IT-Sicherheitsgesetz für Krankenhäuser

Veröffentlicht 30.06.2020 09:00

Krankenhäuser und Gesundheitseinrichtungen stellen aufgrund ihrer zentralen Bedeutung für das Allgemeinwohl eine der wichtigsten Institutionen einer Gesellschaft dar. Ein Ausfall oder eine Störung hat das Potenzial, signifikante Folgen für die öffentliche Sicherheit nach sich zu ziehen. Aufgrund dieser Relevanz sowie der Tatsache, dass es in der Vergangenheit bereits zu Cyberangriffen auf Gesundheitseinrichtungen gekommen ist, werden sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zu den sogenannten Kritischen Infrastrukturen (KRITIS) gezählt. Daraus resultieren auch spezielle Regelungen im Hinblick auf die IT-Sicherheit. Mit der für Herbst erwarteten Neuauflage des IT-Sicherheitsgesetzes („IT-SG 2.0“) steht eine Ausweitung der bisherigen Regelungen sowie der darunterfallenden Betriebe an. Speziell im Gesundheitswesen werden deshalb auch kleinere Krankenhäuser als bisher von den Vorgaben des IT-SG betroffen sein.

Warum gibt es das IT-SG?

Das IT-SG ist eine Reaktion auf die immer größer werdende Abhängigkeit systemrelevanter Organisationen von IT-Infrastrukturen. Eine Beeinträchtigung, insbesondere in Schlüsselbereichen, kann das öffentliche Leben maßgeblich beeinflussen. Hinzu kommt, dass derartige Cyberattacken in aktuellen politischen Krisen und bei wichtigen politischen Entscheidungen, wie beispielsweise Wahlen, bereits eingesetzt wurden, um
den jeweiligen „Gegner“ zu beeinflussen. In der Öffentlichkeit werden solche Angriffe punktuell wahrgenommen, wie beispielsweise Stuxxnet (2010), der Bundestagshack (2015) oder Wannacry/NotPetya (2017). Der strategischen Überlegung folgend, dass künftige Konfliktsituationen teilweise oder komplett über IT-Infrastrukturen ausgetragen werden könnten, hat die Bundesregierung mit dem IT-Sicherheitsgesetz 2015 eine Vorsichtsmaßnahme ergriffen, um vor allem essenzielle Bereiche des täglichen Lebens zu schützen.

Aktuelle Gefährdungslage für Krankenhäuser

Krankenhäuser und medizinische Einrichtungen waren in keinem der bisher gesehenen politischen Angriffe primäre Ziele. Dies mag damit zusammenhängen, dass nach der Genfer Konvention
diese Einrichtungen selbst im Kriegsfall besonderen Schutz erhalten. Leider gilt diese Aussage ausschließlich für staatlich organisierte Angriffe. Medizinische Einrichtungen wurden durchaus Opfer von privaten Akteuren. So wurden 2019 Krankenhäuser Opfer der als „Emotet“ bekannt gewordenen Erpresser, deren technische Wurzeln direkt auf den politischen Angriff auf die Ukraine mit NotPetya (2017) zurückzuführen
sind. Aber auch gegen Massenangriffe, wie sie speziell mit klassischer Ransomware durchgeführt werden, zeigen sich Kliniken immer wieder verwundbar. Aufgrund der Tatsache, dass meist nur punktuell einzelne Häuser betroffen waren, kam es bisher kaum zu Versorgungsengpässen oder ausfallbedingten Schädigungen.

Der Branchenspezifische Sicherheitsstandard für die Gesundheitsfürsorge in Krankenhäusern

Da das IT-SG in vielen Punkten nur sehr allgemeine Regelungen erlässt, können die betroffenen Sektoren einen branchenspezifischen Sicherheitsstandard (B3S) erarbeiten, um ihre Unternehmen besser unterstützen zu können. Der B3S hat dabei eine Laufzeit von zwei Jahren bis er aktualisiert wird. Die hier punktuell zitierte Version 1.1, herausgegeben von der Deutschen Krankenhausgesellschaft, trägt das Datum 22.10.2019.

Risikobetrachtung im B3S

Die Riskiobetrachtung des B3S umfasst primär die Vermeidung der Beeinträchtigung des Patientenwohles. Die IT eines Krankenhauses ist damit zwar nicht direkt beauftragt, aber als Unterstützung in vielen Bereichen mittlerweile unverzichtbar. So ist die Logistik im Krankenhaus, sowie der korrekte Einsatz vieler medizinischer Geräte auf eine funktionierende, störungsfreie IT angewiesen. Die Feststellung und Einschätzung möglicher Risiken, die zu einem Ausfall oder einer Beeinträchtigung der für das Patientenwohl kritischen IT führen können, sind somit Hauptziel des B3S. Als Hersteller von IT-Security Lösungen
kann Trend Micro dabei unterstützen, die softwarebasierten Probleme einzuschätzen und zu lösen. Andere damit einhergehende Herausforderungen, wie beispielsweise ein Ausfall der Stromversorgung, können nicht von Trend Micro abgedeckt werden.

IT-Risiken im Krankenhaus

Betrachtet man IT-Angriffe allgemein, so kann man sagen, dass weit über 90 Prozent dieser Attacken per E-Mail mit entsprechender User-Interaktion starten. IT-Experten, das IT-SG sowie der B3S stimmen darin überein, dass eine entsprechende Schulung des Personals erfolgreiche Angriffe zumindest minimieren kann. So fordert der B3S beispielsweise: „Regelmäßige Schulungsmaßnahmen (Awareness) der Mitarbeiter zu den geltenden Vorgaben und ein geeignetes Controlling der Umsetzung der Vorgaben sind ebenfalls obligatorisch.“ Die Herausforderung speziell in Krankenhäusern und medizinischen Einrichtungen ist dabei, dass Angreifer hier einen besonderen Vorteil gegenüber der Verteidigung haben. So sind Gesundheitsinformationen generell vertraulich. E-Mails mit entsprechenden vertraulichen Inhalten dürfen vom medizinischen Personal nicht an die IT-Administration weitergeleitet werden. Insbesondere in der aktuellen Krise kommt hinzu, dass Neuigkeiten und Nachrichten rund um das Thema Covid-19 gerade bei ohnehin an der Grenze der Belastbarkeit arbeitenden Fachkräften auf berufliches Interesse stoßen müssen. Eine Tatsache, die auch Cyberkriminellen natürlich bewusst ist. Die Gegenmaßnahmen lassen sich in zwei Bereiche untergliedern. Zum einen empfehlen wir immer eine gewisse „E-Mail-Hygiene“ zu beachten. So sollten ausführbare Dateien grundsätzlich nicht in einer normalen E-Mail-Kommunikation verwendet werden. Diese können einfach über diverse Filter geblockt werden. Gleiches gilt in den allermeisten Fällen für

Makros in Office-Dokumenten

Der zweite Bereich sind kommerzielle Sicherheitstools, die im Idealfall nicht nur die Inhalte der E-Mails auf Schadcode prüfen (sogenannte „Contentfilter“), sondern auch die Quelle (Reputationsfilter). Da immer mehr Unternehmen bereits Maßnahmen zur E-Mail-Hygiene umsetzen, wechseln Angreifer immer häufiger auf den Einsatz von Links in E-Mails. Diese sollten deshalb ebenfalls mit entsprechenden Techniken überprüft werden. Für die Verbreitung von Malware innerhalb eines Netzwerkes stehen vor allem zwei Begriffe: „Sicherheitslücken“ und „Passwörter“. Kommen Hacker an Passwörter, egal ob mit Phishing oder der Installation entsprechender Tools, können sie sich praktisch ungehindert in einem Unternehmen bewegen. Die Grundregel, sichere Passwörter zu implementieren und diese regelmäßig zu wechseln, ist daher weit verbreitet. Für besonders schützenwerte Daten ist auch eine Zwei-Faktor-Authentifizierung empfehlenswert.

Die Herausforderungen des Patch-Managements

Beim Patch-Management ist die Situation speziell in Krankenhäusern wesentlich schwieriger. Sicherheitslücken und fehlende beziehungsweise nichtexistierende Patches sind leider immer noch das Problem der IT. Zusätzlich stellen die verschiedenen Hersteller unterschiedlich ausgereifte Patches zur Verfügung. Daraus ergibt sich das Problem, diese korrekt zu implementieren. Wie der B3S fordert, braucht es für bestimmte Bereiche der IT einen „formalen Freigabeprozess“, um Risiken für die fortgesetzte medizinische Behandlung auszuschließen. Dieser Prozess erfordert das Testen der entsprechenden Patches auf
einem unkritischen System und eine entsprechende Risikobetrachtung. Auch wenn es erfahrungsgemäß sinnvoll ist, sorgt dieser Prozess teilweise für lange Verzögerungen, bis der Patch implementiert werden kann. Im Ernstfall, also einer durch diesen Patch verursachten Störung, kann es auch zu einer Nichtimplementierung kommen.
Die Patching-Problematik wird in Krankenhäusern noch verstärkt, da durch Budget- und Personalherausforderungen oftmals veraltete Applikationen und Betriebssysteme eingesetzt werden. Dadurch wird die Installation immer problematischer, beziehungsweise kann es dazu kommen, dass benötigte Patches herstellerseitig nicht mehr zur Verfügung gestellt werden. Hinzu kommt, dass Bereiche der Medizintechnik ebenfalls in die IT-Infrastruktur integriert und damit anfällig gegen Verbreitungstechniken von Angreifern sind. Hier liegt eine der Hauptproblematiken der IT-Sicherheit in Krankenhäusern. Denn die Einrichtungen der Medizintechnik sind entscheidend für das übergeordnete Ziel des B3S: die Wahrung des Patientenwohls. Gleichzeitig sind es diese Geräte, die häufig nur selten von der IT betrachtet werden können oder dürfen. Für die einwandfreie Funktion ist oft der Hersteller selbst zuständig, weshalb sich die Implementierung eines Patches oftmals stark verzögert. Eine strikte Segmentierung und Abschottung kritischer Systeme zu anderen Bereichen der IT ist daher eine immer wiederkehrende Empfehlung. Der Vorteil der Segmentierung liegt darin, das jeweils schützenswerte Segment mit Barrieren, wie Firewalls und vor allem IPS (Intrusion Prevention Systeme), gegen interne Bereiche zu schützen, die gefährdeter sind. Das Ziel dabei ist, die für das Patientenwohl unerlässliche IT soweit abzukoppeln, dass sie selbst bei einem Totalausfall aller anderen Systeme nach wie vor funktioniert.

Die Lösung der Patch-Problematik

In der Realität lässt sich dieser Ansatz allerdings oftmals jedoch nur in Teilbereichen der IT umsetzten. So gibt es für unkritische Systeme clientseitig geeignete Patch-Prozesse, die vollkommen automatisch durchgeführt werden können. Wo immer dies möglich ist, ist das der zu präferierende Prozess. Wie eingangs erwähnt, ist das nicht mehr möglich, wenn Systeme älter werden oder sie für Teile der IT kritisch sind. In diesen Fällen fordert auch der B3S einen Freigabeprozess, der idealerweise auch eine „Rollback“-Option bietet. Diese Vorgabe, ist auf die Tatsache zurückzuführen, dass jeder Patch ein System verändert. Deshalb sollte zunächst geklärt werden, ob die Implementierung des Patches nicht zu größeren Problemen führen kann als die Schwachstellen an sich. Insbesondere in der IT ist das Abschätzen des Risikos, das von einer Nichtinstallation ausgeht, eine fast unlösbare Aufgabe, die vor allem Zeit benötigt. Die gängige Praxis ist deshalb sehr oft, dass in der IT-Abteilung entschieden wird, ob der Patch implementiert wird oder nicht. Daraus ergibt sich, dass vor allem in kritischen Bereichen, speziell bei Servern, häufig ein Aktualitätsmangel herrscht, der über die Zeit immer schwerwiegender wird. Um hier nun Abhilfe zu schaffen, gibt es im Bereich der IPS-Technologie eine Spezialtechnik, die sich „virtuelles Patchen“ nennt. Die Idee dabei ist es, anstatt einen Patch zu installieren, diesen zu „simulieren“ und damit das System gegen Angriffe nach außen abzusichern.

Die letzte Phase des Angriffs

Ist eine Malware erst einmal unerkannt in ein System eingedrungen und hat sich verbreitet, besteht der letzte Schritt darin, Schaden zu verursachen. Aufgrund des dramatischen Effektes gehört Ransomware zu den beliebtesten Tools von Angreifern. Allerdings ist die Zahlungsbereitschaft der betroffenen Opfer nicht mehr so hoch, wie zu den Anfangszeiten der Welle. Nicht zuletzt deshalb werden der erzeugte Schaden
sowie die geforderten Summen immer höher. Politisch motivierte Akteure nutzen Ransomware, wie beispielsweise bei Wannacry oder NotPetya, um Schaden anzurichten. Auch wenn dies die offensichtlichen Anzeichen einer Infektion sind, so muss bedacht werden, dass die Täter sich bereits verhältnismäßig lange im System bewegt haben, um dieses Ausmaß an Zerstörung erzeugen zu können. Deshalb muss bei einem erfolgreichen Angriff auch immer davon ausgegangen werden, dass ein Angreifer noch weitere Aktionen, wie das Ausspionieren von Daten oder das Identifizieren anderer potentieller Opfer, durchgeführt hat. Von der Emotet-Gruppe ist beispielsweise bekannt, dass sie sich in befallenen Systemen umsieht und den E-Mail-Verkehr ausliest. Das wird anschließend unter anderem für neue Angriffe verwendet oder in sogenannten Business Email Compromise (BEC) ausgenutzt.

Rechtzeitig eingreifen

Die Tatsache, dass sich Angreifer teilweise über Wochen und Monate in einem Netzwerk ausbreiten, stellt sowohl Problem als auch Chance für die Betroffenen dar. Das Problem ist, dass die Angreifer viel Erfahrung darin haben, sich unerkannt zu verbreiten, um kaum Aufmerksamkeit in der täglichen Flut an Information zu erzeugen. Ist die IT-Security also im Normalzustand bereits aus- oder sogar überlastet, ist die Wahrscheinlichkeit hoch, dass der Angreifer sein Ziel erreichen wird. Die Chance besteht allerdings darin, dass man durch Auffälligkeiten und Anomalien im Netzwerk auf diese Situation aufmerksam wird und dann schnell Gegenmaßnahmen einleiten kann. Die benötigten Schritte sind dabei:

Erkennung des Angriffes (Detection):
In der Regel bedeutet eine einzelne Anomalie lediglich, dass irgendetwas Ungewöhnliches passiert. Im ersten Schritt geht es deshalb darum herauszufinden, was passiert und wo es passiert: Gibt es beispielsweise Zusammenhänge zu anderen Vorkommnissen oder Geräten? Wurden kritische Systeme kompromittiert? Gab es bereits Datenabfluss? Wie und wann ist das Problem ins Netzwerk gelangt? Je nach Ergebnis dieser Untersuchung stellt sich die Frage, wie schwer der Angriff ist und welche Ziele er hat. In KRITIS-Umgebungen bedeutet dies in der Regel auch, dass das BSI möglichst frühzeitig in
Kenntnis gesetzt wird, um in der jeweiligen Situation beratend tätig zu werden oder aber in besonders schweren Fällen auch andere KRITIS-Einrichtungen zu warnen.

Gegenmaßnahmen (Response):
Wurde ein Angriff erkannt oder erfolgte eine Warnung durch das BSI, besteht der nächste Schritt darin, geeignete Gegenmaßnahmen einzuleiten. Diese müssen nicht nur die Systeme wieder bereinigen, beziehungsweise wiederherstellen, sondern auch eine Neuinfizierung verhindern. Für beide Schritte ist der Einsatz entsprechender Technologie ratsam. Im Industrie-Kontext heißen die zugehörigen Konzepte
„Detection and Response“. Im Fokus stehen hier zuerst die Endpoint-Systeme (EDR = Endpoint Detection and Response). Die überwiegende Anzahl der bekannten Angriffe landen oder starten auf Endpoints. Aus diesem Grund ist der Einsatz einer Technologie sinnvoll, die entsprechende Zusammenhänge erkennt. Gerade aber im KRITIS-Kontext sind häufig vor allem die Systeme entscheidend, auf denen keine eigene Software installiert oder betrieben werden darf. Davon sind beispielsweise Geräte aus der Medizintechnik betroffen. Ein Ausfall dieser Geräte hat entsprechend hohe Auswirkungen. Deshalb ist es nur logisch, diese Technik auch netzwerkseitig einzusetzen.
Die aktuell fortschrittlichsten Technologien verbinden deshalb Detection and Response auf verschiedenen Ebenen, korrelieren die erzeugten Daten und legen so Zusammenhänge dar. Zudem können Gegenmaßnahmen in der Regel auf gleichem Wege „rückwärts“ durchgesetzt werden. Verknüpft man nun Detection and Response mit der klassischen Schutzleistung, die Security-Produkte bieten, so können auch Neuinfektionen automatisch beseitigt werden. Der Industriebegriff für diese Art Konzept ist XDR wobei das „X“ für übergreifend (englisch „cross“) steht. Für Kliniken und Gesundheitseinrichtungen bedeuten die Regelungen des IT-SG 2.0 neue Herausforderungen. Nicht nur, weil im Falle eines Verstoßes Geldbußen von bis zu 20.000.000 Euro oder von bis zu vier Prozent des jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs drohen. Letzten Endes ist bei Angriffen auf die IT vor allem die Sicherheit der Patienten gefährdet, was es unter allen Umständen zu vermeiden gilt.

Richard Werner, TrendMicro

Autor: Richard Werner, Business Consultant, Trend Micro

Quelle & Foto: Trend Micro