KRITIS oder nicht: Krankenhäuser zeigen sicherheitstechnische Schwachstellen

KRITIS

Veröffentlicht 02.07.2021 08:40, kiw

Das deutsche Sicherheitsforschungsunternehmen Alpha Strike Labs hat Cyber-Angriffe auf Krankenhäuser als Anlass genutzt, um die öffentlich über das Internet erreichbaren Netzwerkdienste auf Schwachstellen zu untersuchen. Ein Drittel der analysierten Krankenhäuser weist Schwachstellen auf. Werden diese systematisch von Cyberkriminellen missbraucht, kann das zu einem nationalen Sicherheitsrisiko werden.

Die Anzahl der Sicherheits-Schwachstellen steigt proportional mit der Anzahl der Betten je Krankenhaus. Dies ist zu erwarten, denn eine zunehmende Größe eines Krankenhauses führt zu mehr Abteilungen, mehr IT-Systemen und erhöhter Komplexität und somit meist auch zu mehr Schwachstellen. Jedoch würde man meinen, dass Krankenhäuser mit mehr als 30.000 vollstationären Behandlungen im Jahr und somit in die KRITIS-Verordnung fallen, besser aufgestellt sind als Krankenhäuser, die nicht unter die KRITIS-Verordnung fallen. Eine Analyse von  Alpha Strike Labs zeigt allerdings ein gegenteiliges Ergebnis. Demnach ist die Mehrheit der größeren KRITIS-Krankenhäuser sicherheitstechnisch nicht besser aufgestellt sind als die nicht KRITIS-Krankenhäuser.

Zwar mag es sich bei vielen der verwundbaren Systeme wahrscheinlich eher um weniger wichtige oder vergessene Legacy-Systeme handeln. Doch gerade diese nicht beachteten Systeme werden von Angreifern als Eintrittsvektor in das Netzwerk genutzt. Um dies zu verhindern, empfiehlt es sich ein Netzwerk in verschiedene Sicherheitssegmente aufzuteilen. So wie die Schottsegmente in der Schifffahrt, ermöglichen verschiedene Sicherheitssegmente einen Angriff auf einen lokalen Teil eines Netzwerkes begrenzt werden. Oft wähnen sich Unternehmen sicher, wenn Sie eine § 8a Prüfung gemäß BSI-Gesetz oder eine ISO27001 Zertifizierung durchlaufen haben. Die Praxis zeigt, dass bei diesen Prüfungen oft nur die Papierdokumentation der Sicherheitsprozesse überprüft werden. Technische Prüfungen von z.B. Firewall- und Routerkonfiguration oder Aktualität der letzten Security-Patches für eingesetzte Netzwerkkomponenten und Serverbetriebssysteme oder -applikationen werden oft nicht durchgeführt. Neben technischen Maßnahmen fehlen häufig auch ausreichende Personalressourcen und grundlegende gelebte Prozesse, die für ein gut funktionierendes Asset-, Patch- und Schwachstellenmanagement notwendig sind.

Viele Organisationen wissen gar nicht, welche ihrer Systeme im öffentlichen Internet erreichbar sind. Mit der OSINT Plattform, die auch für die Erstellung der Studie verwendet wurde, kann hier sehr schnell Transparenz geschafft werden, um mögliche Ziele von Angreifern fernzuhalten.


Foto: Adobe Stock / greenbutterfly


Lesen Sie mehr zum Thema "IT-Sicherheit"

Lesen Sie hier die neuesten Beiträge