IT-Sicherheit in der Medizintechnik

Healthcare-Hacker auf dem Vormarsch

01.06.2016
Von Christoph Stoica

IT-Sicherheitsbranche in der Pflicht

Den Weg ins System finden Hacker oft über den Weg des geringsten Widerstands. Schließlich handelt es sich bei modernen Cyberkriminellen um Profis mit Geschäftssinn. Die meisten IoT-Devices sind in Sachen Prozessor- und Storage-Kapazität limitiert. Bei vielen dieser "intelligenten" Systeme lassen sich derzeitige Security-Modelle nicht einfach 1:1 umsetzen. Das betrifft zum Beispiel die automatische Installation von Updates über das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und das Konfigurieren von Host-basierten Firewalls. Darüber hinaus spielt der Faktor Mensch eine große Rolle. Bedienungsfehler, unsichere Passwörter oder einfach Gutgläubigkeit stehen auf der Top-Ten-Liste der Sicherheitsbedrohung weit oben.

Nicht jeder Angriff auf IoT-Gerätschaften birgt die gleichen Risiken - während ein Angriff auf ein intelligentes Thermostat in einem Büro vielleicht nur dazu führt, dass die Klimaanlage mehr oder weniger kühlt, kann der Angriff auf das gleiche Thermostat in einem Kühlbecken eines Atomreaktors gravierende Konsequenzen haben.

Schwachstellen erkennen und IT-Systeme härten

Die offenkundigen Schwachstellen in der IT-Sicherheit zeigen, dass es für die Sicherheitsmaßnahmen eine gezielte Neuausrichtung und Priorisierung geben muss. Hierfür sind gestaffelte und aufeinander abgestimmte Maßnahmen zur Prävention, Detektion und Reaktion erforderlich. Eine entscheide Rolle spielt hierbei die Einschätzung der Gefahrenlage und die Entwicklung neuer Strategien für die Erkennung und Abwehr von Cyberangriffen.

1. Prävention

Die Angreifer optimieren ihre Angriffstechniken, sie planen ihr Vorgehen sehr genau und lange im Voraus. Sie suchen solange nach einem wunden Punkt im Unternehmensumfeld, bis sie schließlich in der Lage sind, Zugangsdaten abzufangen und sich somit unberechtigten Zugriff zu verschaffen - auch begünstigt durch unzureichende Authentifizierungsmaßnahmen. Der Fokus solcher Angriffsmethoden richtet sich vor allem auf Passwörter und Nutzerkonten. Starke Authentifizierungsverfahren - wie Multi-Faktor-Authentifizierung - sind in der Lage, die Zahl der Identitätsdiebstähle zu begrenzen und damit die Sicherheit zu erhöhen.

Des Weiteren sollte eine risikobasierte Analyse für den Schutz von Unternehmensinformationen die Basis eines jeden Sicherheitskonzeptes sein. Die Implementierung einer risikobasierten Authentifizierung stellt die effektivste Möglichkeit zur Streuung ihres Risikos und zur einfachen Gestaltung von Benutzerzugriff dar. Sie ermöglicht die Auswertung einer Reihe von kontextbezogenen Faktoren, die in Zusammenhang mit einem Zugriff stehen.

2. Detektion

Ist die Malware erst einmal eingedrungen, spielt es keine Rolle, ob der Angreifer aktuelle Zero-Day-Exploits nutzt; entscheidend wird sein, wie schnell ein Unternehmen den Angriff entdeckt und ob man in der Lage ist, adäquat darauf zu reagieren. Durch Einsatz von Security Information & Event Management (SIEM)-Technologien wird eine Grundkonfiguration für die normalen Aktivitätsmuster in der IT-Umgebung definiert. Auf diese Weise können Inkonsistenzen anhand einer Echtzeit-Sicherheitsanalyse identifiziert werden, ohne genau zu wissen, wonach eigentlich gesucht wird.

Mit einer Change-Monitoring-Lösung kann die SIEM-Lösung noch erweitert werden. Dabei werden die SIEM-Funktionen um Warnmeldungen zu unbefugtem Zugriff und Änderungen an geschäftskritischen Dateien und Systemen erweitert. Dies ermöglicht kürzere Warn- und Reaktionszeiten und reduziert das Risiko eines gravierenden Datenmissbrauchs erheblich.

3. Reaktion

Unkompliziertes Identitäts- und Zugriffsmanagement ist für eine schnelle Reaktion nicht nur im Angriffsfall von Bedeutung. Auch das Provisioning in der Cloud sollte Grundlage einer IAM-Strategie sein, sodass Zugriffsrechte für Cloud-Ressourcen automatisch gewährt oder entzogen und neue Anwendungen auf intelligente und effiziente Weise eingeführt werden können.

Künstliche Intelligenz erfordert Security Intelligence

Die Verbreitung von Wearables, Insideables und vernetzter Medizintechnik im Allgemeinen bedeutet mehr wertvolle Daten in mehr Händen als je zuvor, gepaart mit einer zunehmenden Angriffsfläche. Ob im Gesundheitswesen oder in anderen Wirtschaftszweigen - Sicherheitsexperten müssen sich darauf einstellen, dass ihr Verantwortungsbereich deutlich anwächst. Handelte es sich bei der ersten Welle vonByoDnur um Smartphones und Tablets, so tragen Nutzer bald eine viel buntere Schar von Geräten in die verschiedensten Netzwerke. Hinzu kommen neue Bedrohungen - oder alte Bedrohungen in neuem Ausmaß, wie etwa Ransomware.

Es gilt, diese Herausforderung ernst und zum Anlass zu nehmen, die bestehenden Abwehrtechniken zu prüfen. Wirksame, vielfältige und kontextbezogene Authentifizierung sowie funktionales Monitoring der Aktivitäten etwa durch SIEM helfen dabei, eine wirksame Prävention aufzubauen, um etwa Phishing-Attacken abzuwehren oder den Missbrauch von Mitarbeiterdaten schneller aufzudecken. Zuletzt sollte ein unkompliziertes Identitäts- und Zugriffsmanagement dafür sorgen, dass schnell auf Attacken reagiert werden kann. (fm)