Gesundheitsdaten sind seit langem eines der beliebtesten Ziele von Cyberangreifern. Medizinische Aufzeichnungen liefern Cyberkriminellen eine Fülle von Daten, um Betrug zu begehen oder gezieltere Angriffe zu starten. In den letzten Jahren gab es so viele Angriffe auf das Gesundheitswesen, dass sogar der Wert eines einzelnen Datensatzes deutlich gesunken ist.
Medizinische Daten sind dennoch nach wie vor ein grundlegendes Geschäft in der cyberkriminellen Schattenwirtschaft, wie Vectra berichtet. Der Anbieter einer Plattform für Cybersicherheit auf Grundlage künstlicher Intelligenz wirft einen konkreten Blick auf die Bedrohungslage.
Gesundheitsdienstleister und vergleichbare Organisationen sind ständig in Gefahr, und immer wieder werden schwerwiegende Vorfälle gemeldet. Jeder Vorfall betrifft in der Regel Tausende oder sogar Millionen von Personen auf einmal. Im Februar war das Memorial Hospital in Gulfport, USA, von einem Phishing-Angriff betroffen, der die Daten von mehr als 300.000 Patienten offenlegte. Auch mit dem Gesundheitswesen vernetzte Branchen wie Versicherungen und Drittdienstleister, die mit medizinischen Daten zu tun haben, sind stark gefährdet. Ein besonders hochkarätiger Angriff traf die American Medical Collection Agency (AMCA), wo Daten von mehr als 20 Millionen Patienten kompromittiert wurden.
Niedrig hängende Früchte
Die Gesundheitsbranche hat – einen leider begründeten – Ruf als weicheres Ziel. Eine Kombination von Faktoren wie Altgeräte, überlastete Personalressourcen und Finanzierungsengpässe führten dazu, dass die Branche oft hinterherhinkt, wenn es darum geht, Systeme auf dem neuesten Stand und sicher zu halten. Ein aktueller Bericht des Imperial College London verdeutlicht, dass das nationale britische Gesundheitssystem NHS durch „veraltete Computersysteme, mangelnde Investitionen und einen Mangel an Fähigkeiten und Bewusstsein für Cybersicherheit“ gefährdet ist.
Das Gesundheitswesen steht gerade an vorderster Front vor besonderen Sicherheitsherausforderungen, da die Hauptpriorität in der Behandlung von Patienten und der Rettung von Leben besteht. Dies erschwert die Verwaltung der Ausfallzeiten, die erforderlich sind, um Systeme auf dem neuesten Stand und geschützt zu halten, denn selbst wenige Stunden Ausfallzeit können sich auf das Leben eines Patienten auswirken. Daher ist es üblich, dass Systeme mit veralteter Software und Rückstand in Sachen Patches, die zumindest alle gängigen Schwachstellen beheben würden, gefunden werden.
Konnektivitätsdichotomie
Einerseits sind die Systeme veraltet, andererseits stehen Gesundheitsdienstleister unter dem Druck, neueste intelligente medizinische Technologien anzuschaffen. Diese vernetzten Geräte können dazu beitragen, eine effizientere Umgebung zu schaffen, die ein höheres Niveau der klinischen Versorgung bietet und gleichzeitig die Kosten senkt. Die neuen Geräte des Internets der Dinge sind jedoch auch für Cyberangreifer ein einfaches Ziel. Klinische Kriterien übertrumpfen oft technische Sicherheitsüberlegungen bei der Evaluierung und Inbetriebnahme. Es ist üblich, dass intelligente medizinische Geräte ohne IT- oder Sicherheitsplanung bereitgestellt wurden. Ihr Netzwerkverhalten, ihre Aktualisierungsfunktionen und Schwachstellen werden oft nicht berücksichtigt. So zeigt ein kürzlich veröffentlichter Bericht auf, dass eine weit verbreitete Serie von angeschlossenen Anästhesiegeräten anfällig für Cyberangriffe sein könnte. Ein Bedrohungsakteur könnte somit neben anderen potenziell tödlichen Aktivitäten auch Überdosen injizieren oder Warnmeldungen deaktivieren.
Jedes neue Gerät, das dem Netzwerk hinzugefügt wird, egal ob es sich um ein intelligentes MRT-Gerät oder eine WLAN-fähige Infusionspumpe handelt, erhöht auch die potenzielle Angriffsfläche. Dies wird noch verstärkt durch die große Anzahl von Besuchergeräten, die an die typischen Krankenhausnetze angeschlossen sind. Patienten und ihre Besucher, Gastärzte und Spezialisten an mehreren Standorten, Medizinstudenten und viele andere Dritte werden sich ständig mit dem Netzwerk verbinden. Jede Verbindung setzt das Gesundheitssystem potenziell externen Netzwerken mit begrenzten Sicherheitskontrollen aus.
Was sind die Risiken?
Eine der größten Herausforderungen für die Sicherheit ist das rasante Tempo, mit der sich die Bedrohungslandschaft entwickelt. Um die neuesten Bedrohungen zu erfassen, nutzt die Cognito-Plattform von Vectra künstliche Intelligenz zur Analyse von Angreiferdaten. Die neuesten Trends wurden im Attacker Behaviour Industry Report 2019 vorgestellt, der sich auf eine Stichprobe von 354 Vectra Cognito KI-Implementierungen für mehr als drei Millionen Geräte stützt.
Im Mittelpunkt standen Verhaltensweisen, die auf Bedrohungen in allen Phasen eines Angriffs hinweisen, insbesondere fortgeschrittene, zielgerichtete Angriffe, zu denen Aktivitäten wie Command-and-Control, interne Auskundschaftung, seitliche Bewegung und Privilegieneskalation sowie Datenexfiltration gehören.
Ist Ransomware noch auf dem Radar?
Das öffentliche Bewusstsein für Ransomware schoss 2017 in die Höhe, nachdem der WannaCry-Ausbruch Millionen von Maschinen auf der ganzen Welt blockierte. Das britische NHS wurde zu einem der prominentesten Opfer, mit einem Schaden in einer einzigen Woche in Höhe von mehr als 20 Millionen Pfund. Für die anschließende Sanierung und Modernisierung der Cybersicherheit investierte das NHS weitere 72 Millionen Pfund.
Dennoch stellt Ransomware derzeit eine weniger auffällige Bedrohung dar, da die Zahl der Vorfälle von Juli bis Dezember 2018 deutlich zurückgegangen ist. Das bedeutet nicht, dass Organisationen ihre Wachsamkeit aufgeben sollten. Der Ansatz wird immer noch von vielen Angreifern genutzt, und zwar zunehmend zielgerichteter. Der Schlüssel zur Verteidigung liegt darin, eine Infektion frühzeitig in ihrem Lebenszyklus zu erkennen und ihre Ausbreitung zu stoppen. Dies kann verhindern, dass Dateien verschlüsselt werden und die Angreifer den Betrieb wesentlicher Dienste stören.
Fortfahren des Angriffs
Das Erreichen der Persistenz auf einem kompromittierten Gerät stellt in der Regel nur den Anfang eines Angriffs dar. Nach der Sicherung des Standorts beginnen Eindringlinge, die Betriebsumgebung zu untersuchen und mittels des gekaperten Rechners Scans von Netzwerken und Dateispeichern durchzuführen, um nützliche Ressourcen und Informationen zu identifizieren.
Wenn Angreifer mehr in Erfahrung bringen und sich erweiterte Privilegien beschaffen, bewegen sie sich seitlich durch das Netzwerk zu ihren Zielen. Das häufigste Anzeichen für eine solche Seitwärtsbewegung war im Gesundheitswesen zuletzt die Verwendung von Kerberos-Authentifizierungsdiensten und Brute-Force-Angriffe auf SMB-Fileshare-Accounts. Damit versuchen die Angreifer, mehr Privilegien im Netzwerk zu erlangen und sich Zugang zu höherwertigen Systemen und Ressourcen zu verschaffen.
Diese Schritte werden vom Angreifer mittels getarnter Command and Control (C&C)-Signalisierung aus der Ferne orchestriert. Das C&C-Verhalten, das auf diese bösartigen Handlungen hinweist, kann jedoch auch sehr ähnlich sein wie gewöhnliches Netzwerkaktivitäten, sodass die Angreiferaktivität schwer zu erkennen ist. Die Erkennung der Verwendung eines Fernzugriffstools könnte beispielsweise ein Zeichen dafür sein, dass ein Krimineller C&C-Kommunikation nutzt, könnte aber auch eine völlig legitime Aktivität sein. Häufig berechtigte Gründe für dieses Verhalten im Gesundheitswesen sind die Kommunikation mit unabhängigen Labors, Bildgebungszentren und anderen Dienstleistern wie dem IT-Support. Zu den am weitesten verbreiteten Arten von C&C-Verhalten, die Vectra im Gesundheitswesen entdeckt hat, gehörten versteckte HTTPS-Tunnel, um die C&C-Kommunikation zu verbergen.
Vervollständigung des Datendiebstahls
Da Patientenakten eine leichte und lukrative Beute für Cyberkriminelle darstellen, ist die Datenexfiltration in der Regel die oberste Priorität für einen Eindringling im Netzwerk. Am häufigsten erfolgt dies durch die Verwendung von versteckten DNS-Tunneln. Dies ermöglicht es den Akteuren, im Laufe der Zeit immer wieder Daten zu extrahieren, versteckt in der legitimen alltäglichen Kommunikation zur Auflösung von Domainnamen.
Alternativ können Angreifer sich für den offeneren „Smash and Grab“-Ansatz entscheiden und in kurzer Zeit eine große Datenmenge extrahieren. Dies bewirkt eine deutliche Steigerung des Datenverkehrs zu einem externen Ziel, was die Erkennung erleichtert. Es gibt jedoch auch hier berechtigte Gründe für ähnliche Datenspitzen, wie z.B. eine IP-CCTV-Kamera beim Uploaden von Aufnahmen zu einem Cloud-Host.
Mehr Konnektivität, mehr Risiko
Medizinische IoT-fähige Geräte mit schwachen Sicherheitskontrollen bieten Angreifern viele Möglichkeiten, sich in Subsysteme einzuschleusen und zwischen diesen zu wechseln. Angeschlossene Geräte bieten oft auch eine ideale Absicherung für bösartige Aktivitäten. Viele Geräte im Gesundheitswesen führen Aktionen wie die automatische Anmeldung am Netzwerk durch und versuchen ständig, sich anzumelden, wenn sie keine Verbindung herstellen. Dies erzeugt eine Menge „Lärm“, der die Aktivität des Eindringlings verbergen kann.
Keine Organisation ist absolut angriffssicher, und das Gesundheitswesen steht vor mehr Herausforderungen als die meisten anderen Branchen, da die Einrichtungen mit knappen Budgets, alten Technologien und Schwierigkeiten bei der Verwaltung von Ausfallzeiten zu kämpfen haben. Sobald ein Eindringling das Netzwerk erfolgreich infiltriert hat, hängt die Erkennung effektiv vom kontextuellen Verständnis ab. Die meisten Verhaltensweisen, die auf einen Angreifer am Arbeitsplatz hinweisen, können ebenso leicht das Ergebnis eines völlig legitimen Verhaltens sein.
Sichtbarkeit und Automatisierung sind entscheidend
Das Verständnis der häufigsten Angriffspfade und die Sichtbarkeit des Datenverkehrs und des Verhaltens, mit dem Angriffe erkannt werden, sind entscheidend, wenn die Sicherheitsteams im Gesundheitswesen verhindern sollen, dass cyberkriminelle Eindringlinge in ihren Systemen wüten. Lösungen auf KI-Basis sind zu immer leistungsfähigeren Werkzeugen in dieser Disziplin avanciert. Dies liegt an ihrer Fähigkeit, einen Großteil der Analyse- und Erkennungsaktivitäten zu automatisieren und Ergebnisse in einer Geschwindigkeit und einem Umfang zu liefern, die weit über das hinausgehen, was die besten menschlichen Analysten leisten könnten. Diese KI-Fähigkeiten sind für die individuellen Aufgaben optimiert und erweitern so die Fähigkeiten des Sicherheitsteams, die entlastet werden, um die Mitarbeiter für hochwertige Sicherheitsaufgaben einsetzen zu können. All dies führt zu einem verbesserten Gefahrenbewusstsein und einer verbesserten Reaktionsfähigkeit.
Schnelligkeit ist von wesentlicher Bedeutung, wenn ein Bedrohungsakteur im Netzwerk aktiv ist. Die Fähigkeit, verdächtige Aktivitäten schnell zu erkennen, kann verhindern, dass ein erstes Eindringen ins Netzwerk zu einem massiven Datensicherheitsvorfall wird, der Tausende von Patienten oder wichtige klinische Dienste betrifft. Angesichts der vielen Angreifer, die medizinische Daten ins Visier genommen haben, ist nach Meinung von Vectra jeder Vorteil, den das Gesundheitswesen hier nutzen kann, entscheidend.
www.vectra.ai