Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

HerzmonitorEin aktuell durchgeführtes Experiment von Kaspersky Lab mit dem Titel „How I hacked my hospital“ zeigt: Cybererpressung über Ransomware ist nicht der einzige wunde Punkt innerhalb der Krankenaus-IT. Auch Patientendaten und Geräte sind angreifbar.

Aktuell sorgen Computerschädlinge für großes Aufsehen, die digitale Abläufe innerhalb der Infrastruktur von Krankenhäusern stören. Die Problematik: Nachdem sich beispielsweise Erpresser-Software (Ransomware) in einem Kliniknetzwerk eingenistet hat, können Systeme oder Dateien verschlüsselt werden, um im Anschluss Lösegeld von der Klinikleitung zu fordern. 

Vor einigen Tagen wurde bekannt, dass deutsche Krankenhäuser mit Ransomware-Vorfällen zu kämpfen hatten. Die Folge: Zeitweise mussten Befunde per Telefon oder Fax anstatt digitalisiert übermittelt werden. Während ein Krankenhaus in den USA das geforderte Lösegeld bezahlte, um die vom Erpressertrojaner verschlüsselten Dateien wieder freizubekommen, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) Betroffenen von Lösegeldzahlungen ab.

Cyberangriffsszenarien auf Krankenhäuser gehen allerdings über Ransomware-Angriffe hinaus. Über IT-Sicherheitslücken können Patientendaten manipuliert oder entwendet werden. „Hinzu kommt, dass in Krankenhäusern modernste medizinische, mit Computertechnologie ausgestatte Geräte zum Einsatz kommen. Dabei werden oftmals erforderliche IT-Schutzvorkehrungen vernachlässigt“, erklärt Holger Suhl, General Manager DACH bei Kaspersky Lab. „Dadurch könnten Cyberkriminelle Zugriff auf solche Geräte und beispielsweise auch auf sensible Patientendaten erhalten. Im schlimmsten Fall wäre auch eine Neukonfiguration der Geräte und somit Sabotage oder gefälschte Diagnosen denkbar.“

Kaspersky-Experiment „How I hacked my hospital“

Sergey LozhkinKaspersky-Experte Sergey Lozhkin konnte in einem Experiment aufzeigen, dass Krankenhäuser über ihre IT-Infrastruktur angreifbar sind. Über Shodan — eine Suchmaschine für das Internet der Dinge (IoT) — stieß der Sicherheitsforscher auf medizinische Geräte, die sich in einem Krankenhaus befinden. Der Geschäftsführer des Krankenhauses ist mit Lozhkin befreundet.

Lozhkin und eben jener Geschäftsführer des Krankenhauses beschlossen, einen Sicherheitstest durchzuführen, um herauszufinden, ob ein Cyberangriff auf ein Krankenhausnetzwerk grundsätzlich möglich ist. Der Test fand unter strengsten Rahmenbedingungen statt. Patienten sowie deren sensible Daten wurden hermetisch abgeschirmt und somit vor dem künstlichen Cyberangriff geschützt. Für den Test wurden speziell Daten geschaffen – die Patienteninformationen imitieren – und im Netzwerk platziert. Somit wurde sichergestellt, dass keine realen Patientendaten betroffen waren.

Der erste Versuch scheiterte: Lozhkin war es nicht gelungen, das Krankenhaus von außerhalb zu kompromittieren, da die Systemadministratoren der Klinik bei dem Fernangriffsversuch die richtigen Sicherheitsmaßnahmen trafen. Allerdings konnte der Kaspersky-Sicherheitsforscher über ein nicht sicher eingerichtetes lokales WLAN-Netz in die Infrastruktur des Krankenhauses eindringen. Indem er den Netzwerkschlüssel knackte, war er in der Lage, auf beinahe das komplette Kliniknetzwerk zuzugreifen, einschließlich einiger Geräte zur Datenspeicherung und -analyse. Über eine Applikationsschwachstelle konnte er zudem auf einen tomographischen Scanner zugreifen. Die Folgen eines möglichen Cyberangriffs wären fatal: Neben der Manipulation von Patientendaten hätte auch der Scanner direkt attackiert werden können.

IT-Sicherheitsmaßnahmen für Krankenhäuser

Kaspersky Lab rät Organisationen, die sensible Infrastruktursysteme unterhalten, neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk auf folgende Security-Aspekte zu achten:

  • Sensible Geräte und Systeme wie zum Beispiel medizintechnische Geräte müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen innerhalb des Internets der Dinge wird mehr Sicherheit geschaffen.
  • Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit verstärkt auseinander setzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
  • Auf Security-Schwachstellen achten: Entwickler von IoT-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ geachtet werden.

Weitere Informationen:

Kaspersky-Blog “Medizintechnik unter Beschuss: Wie man ein Krankenhaus hackt“.

Ein Videointerview mit Kaspersky-Experte Sergey Lozhkin ist hier abrufbar.
 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security