Schutz von Gesundheitsorganisationen vor Cyberangriffen

Kein Unternehmenssektor ist heutzutage vor Ransomware-Angriffen sicher. Aber eine Branche, die zunehmend angegriffen wird – und Folgen auf Leben und Tod hat – ist das Gesundheitswesen, wie kürzlich in einem neuen Forschungsbericht des Ponemon Institute aufgedeckt wurde.

Im letzten Jahr haben die Cyberangriffe auf die Gesundheitsbranche während der Pandemie zugenommen und drohen, die Patientenversorgung zu unterbrechen und private Daten offenzulegen. Einige aktuelle Beispiele für Angriffe auf Gesundheitssysteme sind der Ransomware-Angriff auf den irischen Gesundheitsdienstbetreiber, der Diagnosedienste lahmlegte und COVID-19-Tests unterbrach, und die Ransomware-Abschaltung des Memorial Health System durch Hive, die Krankenhäuser, Kliniken und Gesundheitseinrichtungen in ganz Ohio und Ohio betraf West Virginia.

Warum geraten Gesundheitsorganisationen ins Fadenkreuz von Cyberkriminellen? Das Gesundheitswesen ist ein Hauptziel für Bedrohungsakteure, weil es einen potenziell großen Gewinn bringt. Krankenhäuser werden wahrscheinlich das Lösegeld zahlen, da Datenschutzverletzungen Rechtsstreitigkeiten und behördliche Untersuchungen auslösen und monatelange Unterbrechungen verursachen können, während das Unternehmen Abhilfemaßnahmen durchführt. Doch die Folgen eines Cyberangriffs auf ein Krankenhaus gehen weit über die Folgen eines Datenlecks hinaus. Wenn ein Krankenhaus wegen einer Cyberattacke lahmgelegt wird, stehen Menschenleben auf dem Spiel. Die Patientenversorgung wird unterbrochen, während IT-Teams darum kämpfen, Gesundheitsdienste wieder online zu bringen.

Cyberkriminelle setzen buchstäblich auf die Tatsache, dass Gesundheitsorganisationen unter extremem Druck stehen, wieder in Gang zu kommen – daher werden sie wahrscheinlich unglaubliche Summen an Lösegeld zahlen müssen. Laut einem aktuellen Sophos-Bericht zahlen 34 % der Gesundheitsunternehmen nach einem Angriff das Lösegeld – mehr als in jedem anderen Industriesektor.

Warum sind Gesundheitsorganisationen also so anfällig – und was können sie dagegen tun? Erstens haben sie es mit unzähligen zu tun Datenschutz Vorschriften, einschließlich des Health Insurance Portability and Accountability Act (HIPAA), des Sarbanes-Oxley Act (SOX) und des Payment Card Industry Data Security Standard (PCI DSS). Das Active Directory (AD) eines Gesundheitssystems bietet wertvolle Einblicke in den Status von Benutzerrollen und -privilegien sowie alle kritischen Änderungen an der Umgebung. AD kann zeigen, ob eine Organisation eine Architektur implementiert hat, die das Maß an Zugriffskontrollen unterstützt, das bestimmte Vorschriften erfordern, was AD zu einer reichhaltigen Informationsquelle für Compliance-Auditoren macht. Die Fähigkeit von AD, nachzuweisen, wer Zugriff auf welche Informationen hat, macht es jedoch auch zu einem der häufigsten Angriffsvektoren für Cyberkriminelle. Neben verschiedenen anderen Taktiken infiltrierten böswillige Akteure bei den Angriffen auf das Memorial Health System und den irischen Gesundheitsdienst Systeme, um dann Tools einzusetzen, um die AD-Umgebung abzubilden und Zugang zu kritischen Vermögenswerten zu gewähren.

Zweitens kommen und gehen Mitarbeiter in einer Krankenhausumgebung mit hoher Belastung regelmäßig. IT-Teams, die für Onboarding und Offboarding zuständig sind, müssen besonders wachsam sein, wenn es darum geht, Berechtigungseinstellungen zu überprüfen, neue Konten zu erstellen und Konten zu löschen.

Drittens hat die Einführung von Cloud-basierten Telemedizindiensten – die vor der Pandemie begann, aber während der Pandemie sicherlich beschleunigt wurde – zu Herausforderungen bei der Sicherung des Fernzugriffs auf Systeme geführt. Wenn Organisationen die annehmen Cloud und sich bei diesen Drittanbietersystemen authentifizieren, vergrößert sich ihre Angriffsfläche erheblich, da der Anbieter möglicherweise lockere Sicherheitsrichtlinien hat. Alle schwerwiegenden Sicherheitslücken, die Cloud-basierte Systeme von Drittanbietern aufweisen, können auch dazu verwendet werden, das eigene Netzwerk einer Gesundheitseinrichtung zu infiltrieren und Patientendaten zu gefährden.

Verteidigung von Identitätssystemen im Gesundheitswesen vor Cyberangriffen

Was kann also gegen Cyberangriffe auf Gesundheitsorganisationen unternommen werden? Dieselben soliden Active Directory-Sicherheitshygienetaktiken, die in anderen Branchen funktionieren, funktionieren auch im Gesundheitswesen.

1. Sicheres Active Directory.

Angriffe auf kritische Infrastrukturen beginnen oft damit, dass Cyberkriminelle AD-Schwachstellen ausnutzen, um Zugang zu kritischen Informationssystemen zu erhalten. Zu diesen Schwachstellen gehören Indikatoren für Gefährdungen, wie z. B. Konfigurationen, die sich im Laufe der Zeit verändert haben, und Indikatoren für Kompromittierungen, wie z. B. Hinweise auf böswillige Aktivitäten.

Laut einer kürzlich durchgeführten Umfrage unter Benutzern von Purple Knight, einem kostenlosen AD-Sicherheitsbewertungstool, versäumen es Unternehmen jeder Größe und Branche, AD-Sicherheitslücken zu schließen, die sie anfällig für Cyberangriffe machen können. Gesundheitsunternehmen meldeten eine durchschnittliche Punktzahl von 63 % in fünf Active Directory-Sicherheitskategorien – eine ungenügende Note – hinter allen anderen Branchen außer Versicherungen. Gesundheitsunternehmen meldeten auch die höchste Anzahl kritischer Expositionsindikatoren und meldeten die niedrigsten Werte bei der Kontosicherheit. Diese niedrige Punktzahl wird Problemen wie der Nutzung von Administratorkonten mit alten Passwörtern und der Nichtanforderung von Benutzerkonten mit Passwörtern zugeschrieben.

Die Gewinnung von Einblick in die AD-Umgebung Ihres Unternehmens, um diese Schwachstellen zu identifizieren, ist der erste Schritt zur Verhinderung von identitätsbezogenen Cyberangriffen. Organisationen, die keine Möglichkeit haben, nach diesen Problemen zu suchen, können das kostenlose Purple Knight-Tool unter purple-knight.com herunterladen.

2. Achten Sie auf schädliche Änderungen in AD.

Der schwierige Teil beim Erkennen von Angriffen besteht darin, dass einige AD-Änderungen unter dem Radar herkömmlicher Protokollierungstools bleiben. Diese Überwachung durch traditionelle SIEM-Lösungen ebnet Angreifern den Weg, wochen- oder monatelang in der Umgebung zu lauern, bevor sie Malware freisetzen. Während dieser Zeit können Angreifer höhere Privilegien und Zugriff erlangen, wodurch sie sich seitlich durch ein Netzwerk bewegen können, um das System zu kartieren und Ziele zu identifizieren, bevor sie einen Angriff starten. Die Nutzung von Tools, die Angriffe identifizieren können, die die agentenbasierte oder protokollbasierte Erkennung umgehen und ein autonomes Rollback verdächtiger Aktivitäten ermöglichen, kann Unternehmen dabei helfen, böswillige Änderungen zu erkennen.

3. Haben Sie einen felsenfesten Plan für eine vollständige Wiederherstellung des AD-Walds.

Wenn Cyberkriminelle Ransomware-Notizen versenden und das gesamte Krankenhauspersonal von den Patientenakten ausgeschlossen ist, kann ein schneller, getesteter und Malware-freier AD-Forest-Wiederherstellungsplan die Auswirkungen von AD-Ausfällen erheblich minimieren. Bei einem weit verbreiteten Ausfall müssen Organisationen ihr AD wiederherstellen, bevor sie ihr Geschäft wiederherstellen können. Aber laut einer Umfrage des SANS Institute hat nur jedes fünfte Unternehmen einen getesteten Plan zur Wiederherstellung von AD nach einem Cyberangriff.

Dieses Versehen kann verheerende Folgen für Gesundheitsorganisationen haben, da die Wiederherstellung von AD-Wäldern notorisch umständlich und fehleranfällig ist. Während Microsoft stellt einen ausführlichen technischen Leitfaden bereit, der die 28 Schritte zur Wiederherstellung einer AD-Gesamtstruktur beschreibt. Der Prozess ist größtenteils manuell und anfällig für Fehler, die einen Neustart erfordern. Der manuelle AD-Wiederherstellungsprozess kann Tage, wenn nicht Wochen dauern, und möglicherweise Malware erneut einführen, die es Angreifern ermöglicht, die Systeme mit denselben Taktiken erneut zu durchbrechen.

Regelmäßige Tests sind erforderlich, um das Fehlerrisiko zu verringern und die Wiederherstellung zu beschleunigen, wenn Ransomware ein Unternehmen trifft. Darüber hinaus verkürzt ein automatisierter Gesamtstruktur-Wiederherstellungsprozess die Zeit für die vollständige Wiederherstellung von AD auf Minuten, wodurch die Wiederaufnahme des normalen Betriebs beschleunigt und sichergestellt wird, dass die Systeme in einen bekanntermaßen sicheren Zustand wiederhergestellt werden.

Angesichts der zunehmenden Angriffe und der schlimmen Folgen einer unterbrochenen Patientenversorgung müssen sich Gesundheitsorganisationen mit der realen Möglichkeit auseinandersetzen, dass ein Bedrohungsakteur AD-Schwachstellen ausnutzt, um die gesamte IT-Umgebung zu durchbrechen und letztendlich lahmzulegen. Durch das Schließen bestehender AD-Sicherheitslücken, den Einsatz effektiver Bedrohungserkennungslösungen und die Implementierung eines getesteten AD-Wiederherstellungsplans können Gesundheitsorganisationen die Risiken eines potenziell lebensbedrohlichen Cyberangriffs mindern.

Sean Deuby, Director of Services Semperis

Sean Deuby bringt 30 Jahre Erfahrung in den Bereichen Enterprise IT und Hybrid Identity in seine Rolle als Director of Services bei Semperis ein. Als ursprünglicher Architekt und technischer Leiter war Sean von Beginn an an der Microsoft-Identitätstechnologie beteiligt.

WAICF – Tauchen Sie ein in die KI und besuchen Sie eines der ...

Delia Salinas • 10. März 2022

Cannes veranstaltet jedes Jahr eine internationale Technologieveranstaltung namens World Artificial Intelligence Cannes Festival, besser bekannt unter dem Akronym WAICF. Eine der luxuriösesten Städte der Welt, an der französischen Riviera gelegen und Gastgeber der jährlichen Filmfestspiele von Cannes, der Midem und des Cannes Lions International Festival of Creativity. 

Die Evolution von VR und AR

Amber Donovan-Stevens • 28. Oktober 2021

Wir sehen uns an, wie sich die Extended-Reality-Technologien VR und AR vom reinen Gaming zu einer langsamen Integration in andere Aspekte unseres Lebens entwickelt haben.