2018-12-13 08:49:45

Malware-Angriff auf das Klinikum Fürstenfeldbruck

 Michael Kretschmer

Michael Kretschmer

Gesundheitsdienstleister müssen der IT Sicherheit eine hohe Priorität einräumen; von Michael Kretschmer *)

Das Klinikum Fürstenfeldbruck in Bayern ist kürzlich Opfer eines ernstzunehmenden Malware-Angriffs geworden. Die vorhandenen 450 Computer des Hauses waren tagelang unbenutzbar, die Klinik musste zeitweise von der integrierten Rettungsleitstelle des Landkreises abgemeldet werden. Lediglich Notfälle wurden noch in die Klinik geleitet, Patienten mit weniger schwerwiegenden Anliegen mussten mit den Rettungswagen in umliegende Krankenhäuser gebracht werden.

Der Grund für den Zwischenfall war die Öffnung eines mit Schadsoftware infizierten E-Mail-Anhangs. Aller Wahrscheinlichkeit nach handelt es sich um eine Variante des Malware-Programms Emotet, der vor allem als Banking-Trojaner verbreitet wird. Aus diesem Grund wurden alle Bankkonten des Krankenhauses gesperrt, um finanziellen Verlusten vorzubeugen. Der im Jahr 2015 erstmals aufgetretene Trojaner wurde bereits im diesjährigen Bericht des BSI „Die Lage der IT-Sicherheit in Deutschland 2018“ als einer der am häufigsten verbreiteten Malware-Programme erwähnt. Seit September 2017 sind hier besonders viele Attacken in Deutschland zu verzeichnen. Die Zentralstelle Cybercrime Bayern hat laut dpa bereits die Ermittlungen im Fall Fürstenfeldbruck aufgenommen.

Der Angriff auf das Bayerische Krankenhaus reiht sich ein in eine Serie schwerwiegender Attacken auf Gesundheitsorganisationen innerhalb der letzten Jahre. Besonders der Fall des Neusser Lukaskrankenhauses im Jahre 2016 sorgte aufgrund seines Ausmaßes für Aufsehen. Aber auch der kürzlich erfolgte Zwischenfall in drei Ameos-Kliniken in Bremerhaven und Geestland im September dieses Jahrs verdeutlichte das Problem der IT Sicherheit im Gesundheitsbereich. Hier wurden die Kliniken von der Notfallversorgung abgemeldet, sämtliche EDV-Systeme mussten heruntergefahren werden.

Der Vorfall zeigt zum einen, wie verheerend eine Attacke auf die IT-Infrastruktur sein kann, denn diese führt zu massiven Störungen im Betriebsablauf sowie hohen finanziellen Schäden. Zum anderen verdeutlicht der Fall, dass Kliniken ein lukratives Ziel für Angreifer sind und wie einfach sie Malware in diesem Umfeld verbreiten können. Schließlich stellt der E-Mail-Verkehr in vielen Unternehmen, auch im Healthcare-Bereich, das Hauptkommunikationsmittel dar. Zwar sind Mitarbeiter sensibilisierter im Hinblick auf schadhafte Links und Anhänge – auf der anderen Seite werden die Angreifer immer professioneller und können oftmals täuschend echte Mails samt Anhängen, beispielsweise Rechnungen, fälschen.

Um solchen gefährlichen Angriffen in Zukunft Einhalt zu gebieten, müssen Entscheider im Healthcare-Bereich das Thema Informationssicherheit zu einer ihrer Kernherausforderungen zählen. Schließlich steht bei der Vernachlässigung dieses Themas die bestmögliche Versorgung der Patienten und die Sicherheit der sensiblen Daten dieser auf dem Spiel. Neben der kontinuierlichen Sensibilisierung der Mitarbeiter ist die Anschaffung einer ganzheitlichen Lösung aus dem Bereich der E-Mail-Sicherheit unabdingbar. Um das Eindringen von Malware, insbesondere in Krankenhäuser, auf technischer Ebene zu verhindern, gibt es zwei Möglichkeiten.

Die erste basiert auf dem Entfernen von aktiven Inhalten – das bedeutet, die aktiven Inhalte (in diesem Fall Malware) werden aus dem Dokument entfernt, der Rest bleibt unangetastet. Dies gewährleistet, dass der Empfänger die Informationen sofort erhält – nicht aber die Malware. Diese Art der Entfernung von aktivem Content wird auch als „Structural Sanitization“ bezeichnet.

Bei der zweiten Methode kommt die so genannte Sandbox-Technologie zum Einsatz. Dabei wird das Dokument in einer sicheren Umgebung („Sandbox“) geöffnet und sein Verhalten analysiert. Wenn nach Ablauf einer bestimmten Zeit (z.B. 15 Minuten) nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Diese Zeitverzögerung ist jedoch sowohl unpraktisch als auch ineffektiv, denn mit fortschreitender Professionalisierung der Angreifer ist Malware immer besser in der Lage, diese Art der Technologie zu umgehen. Beispielsweise kann eine Schadsoftware für eine Stunde „still liegen“ – eine Zeit, in der die meisten Sandboxes diese freigeben hätten und sie sich danach ohne Probleme auf dem Rechner ausbreiten kann. Im Gegensatz dazu wird bei der Structural Sanitization die Bedrohung komplett eliminiert und stellt daher die effektivere Methode zur Abwehr von Angriffen dar.

Der Kampf gegen Malware stellt für Unternehmen im Healthcare Sektor eine der größten Herausforderungen dar – allerdings eine, der durch neue Technologien Abhilfe geschaffen werden kann. Im Idealfall sollten Kliniken von mehreren Sicherheitsebenen umgeben sein und sicherstellen, dass ein ausreichender Schutz vor Malware besteht, ganz gleich aus welcher Richtung die Attacke erfolgt. Nur wenn eine Lösung die tiefgreifende Analyse zur Erkennung und Entfernung von eingebetteten Malware-Bedrohungen in Echtzeit bietet, sind Gesundheitsdienstleister und somit Patientendaten ideal geschützt.

*)  Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security

log

Druckversion