Angriffe im Medizinsektor

Quarantäne schützt IT-Infrastruktur

19.04.2021
Anzeige  Security-Experten von Big Game Hunting: Immer öfter zielen Angriffe auf Krankenhäuser und Medizinlabore, um Lösegeld zu erpressen. Gegen solche Attacken gibt es jedoch eine erprobte Lösung, die alle Unternehmen nutzen können – selbst bei unbekannten Bedrohungen.
Die Corona-Pandemie führt zu hoher Belastung der Krankenhausmitarbeiter und kann so auch zu einem Risiko für die digitale Infrastruktur werden.
Die Corona-Pandemie führt zu hoher Belastung der Krankenhausmitarbeiter und kann so auch zu einem Risiko für die digitale Infrastruktur werden.
Foto: PopTika - shutterstock.com

Im Zuge der Pandemie wollen viele medizinische Einrichtungen rasch Informationen zum Verlauf der Epidemie tauschen. Daher haben sie oft ihre geplante Digitalisierungsvorhaben schneller umgesetzt. Zunehmend werden Krankenhausinformationssysteme und andere medizintechnische Applikationen verbunden, um Patientendaten, Laborergebnisse und Behandlungsverläufe aufbereiten zu können.

So entsteht ein Netz zwischen Kliniken, Labore und Behörden, dessen Schnittstellen sich nur schwer kontrollieren lassen. Selbst bei bekannten Bedrohungen - wie der Angriff auf das Universitätsklinikum Düsseldorf zeigte. Dort wurde eine Schwachstelle ausgenutzt, die bereits seit Anfang 2020 bekannt war. Der eigentliche Angriff durch eine nachgeladene Verschlüsselungssoftware erfolgte erst in der Nacht vom 10. auf den 11. September und legte weite Teile der Kliniksysteme lahm.

Solche Schwachstellen werden in medizinischen Einrichtungen oft nicht geschlossen, weil Ressourcen fehlen. Damals hatte die Uniklinik Düsseldorf nach eigenen Angaben sofort reagiert. Zwei Spezialfirmen hätten das System überprüft - ohne Hinweis auf eine Gefährdung. Aber offenbar war der "Loader" bereits auf einen Server der Klinik gelangt.

Big Game Hunting: Angriffe im Medizinsektor sind lukrativ

Security-Spezialisten wie das US-Unternehmen CrowdStrike mahnen insbesondere öffentliche und medizinische Einrichtungen eindringlich an, ihre IT-Infrastrukturen besser zu sichern. So berichtet CrowdStrike in seinem aktuellen Cyber Threat Report, Cyberkriminelle nähmen die Pandemie zum Anlass, um verstärkt auf medizinische und pharmazeutische Einrichtungen zu zielen.

Auch Krankenhäuser geraten zunehmend ins Visier von Cyberangreifern.
Auch Krankenhäuser geraten zunehmend ins Visier von Cyberangreifern.
Foto: Juice Flair - shutterstock.com

CrowdStrike spricht von einem drastischen Anstieg von Angriffen mit Ransomware. Diese zerstören nicht die IT-Systeme, sondern blockieren Krankenhausanwendungen. Server, Workstation und Notebooks können nicht mehr darauf zugreifen. Dann fordern Cyberkriminelle ein Lösegeld, um die Sperre zu entfernen. "Big Game Hunting" nennen Experten diese hochprofessionellen Angriffe auf lukrative, systemkritische Ziele.

Noch problematischer sind Zero-Day-Attacken. Diese nutzen bislang unbekannte Lücken in Anwendungen. Solche Angriffe erkennen gängige Anwendungen wie Firewalls, Virenscanner oder E-Mail-Filter gar nicht.

Quarantäne in virtueller Umgebung schützt umfassend

Dabei gibt es schon ein Konzept, das ein hohes Sicherheitslevel ermöglicht. Mit Applikationsisolation lassen sich Lücken schließen, auch wenn sie noch unbekannt sind.

Das Prinzip basiert auf einer Anwendungsumgebung, die mittels Virtualisierung realisiert wird. Eine Micro Virtual Machine (Micro-VM) erstellt eine Umgebung, die komplett vom Produktivsystem isoliert ist. Hier werden die Dateien geöffnet und ihr Verhalten untersucht und protokolliert.

Will ein Anwender beispielsweise ein externes Word-Dokument öffnen, wird es in der Micro-VM ausgelagert und geöffnet. Befindet sich in dem Dokument Schadcode oder Ransomware, kann die Ausführung dem Gerät nichts anhaben. Lediglich die Micro-VM wird unter Umständen beschädigt. Da eine Micro-VMs aber immer nur einmal benutzt wird, stört das nicht. Dasselbe gilt für Webseiten. Der Anwender kann sie nicht im Produktivsystem öffnen. Host und Backend-Systeme arbeiten unbeeinträchtigt weiter, alles bleibt auf die virtuelle Instanz begrenzt.

Der Anwender kann sie nicht im Produktivsystem öffnen. Der Schadcode kann weder PC noch Netzwerk infiltrieren.

Wie das für Anwender aussehen kann, zeigt dieses Video in 3 Minuten:

Dieses "Sandboxing" unterbindet das Einschleusen von Schadcode wirkungsvoll. Selbst bei unbekannten Bedrohungen, für die es noch keine Malware-Signaturen gibt. Schadaktivitäten finden ausschließlich in der Micro-VM statt.

Eine herstellerneutrale Lösung für jede IT-Infrastruktur

Genau nach diesem Prinzip arbeitet HPs neue Sicherheitslösung "HP Sure Click Enterprise". Sie schützt Endgeräte mit Windows 8 und 10 auf Basis der Applikationsisolation.

HP Sure Click bietet Sicherheit für alle üblichen Office-Dateien, PDFs, Bild- und Video-Dateien sowie Archive. Auch Outlook-Mail-Anhänge, Browser-Downloads und USB-Sticks werden unterstützt. Die zu schützende Datei wird von Sure Click nicht verändert. Der File Hash der Datei ist zudem identisch mit und ohne installiertem Sure Click. Dadurch können Dateien mit einem externen Empfänger geteilt werden.

Hier erfahren Sie mehr zu den sichersten PCs der Welt

HP Sure Click Enterprise basiert auf dem Security-Know-how von HP. Seit rund einem Jahrzehnt fokussiert der Konzern auf den Bereich IT-Security und hat hier viel Expertise aufgebaut. Bereits 2017 startete die Zusammenarbeit mit Bromium, einem Spezialisten für Isolationstechnik. Ende 2019 akquirierte HP den renommierten Anbieter.

Den Sicherheitsverantwortlichen liefert HP Sure Click Enterprise darüber hinaus detaillierte Informationen über vereitelte Angriffe.

Die Technologie ist herstellerneutral, sie kann auch von Unternehmen mit heterogener IT-Infrastruktur eingesetzt werden. Mit diesem Konzept gelingt es, Unternehmen und Organisationen auch in einer sich schnell verändernden Bedrohungslandschaft vor unabsehbaren Cyberattacken zu schützen.

Jetzt mehr erfahren zu HP Sure Click Enterprise