Wer sind die Akteure? Wie wirken sich die Angriffe auf die kritische Infrastruktur Krankenhaus aus und wie kann man sich schützen? Eine lebhafte Diskussion darüber konnten wir, in Person von unserem Spezialisten Lukas Sökefeld, konstruktiv begleiten.
Wer diskutiert miteinander?
Die Zusammensetzung auf dem Podium an diesem Nachmittag in Heidelberg: Miriam Schnürer vom BSKI, moderiert die Runde bestehend aus Sicherheitsberater Christian Lange, Dr. Arne Peine, Geschäftsführer der Clinomic GmbH und Lukas Sökefeld, Cybersicherheitsexperte bei Concepture. Eines wird gleich bei der Eröffnung der Runde deutlich: Die Bedrohungslage im Cyber-Umfeld der Gesundheitsversorgung hat sich verändert. Und das leider nicht zum Besseren. Angriffsvektoren verschwimmen immer mehr, inzwischen geraten Versorgungseinrichtungen und/oder kritische Infrastrukturen ins Visier der Angreifer.
Schockierende Zahlen
Eine schockierende Zahl landet gleich zu Beginn in der Runde und im Publikum: Mit dem Beginn der Corona Pandemie haben sich die Angriffe auf Versorgungseinrichtungen im Cyberraum um erschreckende 300 Prozent erhöht. Die Frequenz und die Raffinesse der Angreifer hat in den letzten Jahren dabei nachweislich zugenommen. Dabei ist die Vielfalt der Angriffe mit gewachsen. Ebenfalls hat sich die Vielfalt der Angreifer erhöht. Den einen Hacker gibt es in dieser Form nicht mehr. Viel mehr wird inzwischen nach der Motivation der Täter unterschieden.
Täter und Motive unterscheiden sich bisweilen
Inzwischen, gibt die Runde zu bedenken, müsse man hauptsächlich drei Kategorien von Hackern unterscheiden.
- Hacker / Cyberkrimineller
Den “klassischen”, sprich durch kriminelle Energie und den monetären Gewinnen angetriebenen Hacker. Seine Motive ergeben sich mehr oder minder durch die Beschreibung. Neu ist dieser Hackertyp auch nicht.
- Staatliche Hacker
Der “staatliche” Hacker. Sie sind der breiten Öffentlichkeit in den letzten Jahren aus diversen Regimen bekannt geworden. Nordkorea, China und Russland haben sich in jüngster Vergangenheit immer wieder mit Angriffen auf öffentliche Ziele hervorgetan.
- Ethisch motivierte Hacker
Eine relativ neue Art ist der “ethisch motivierte” Hacker. Dieses Phänomen ist seit dem Beginn des russischen Angriffskrieges gegen die Ukraine verstärkt zu beobachten. Diese Hacker agieren aus moralischen Überzeugen heraus und handeln nicht, um finanzielle Vorteile für sich selbst zu erreichen.
Gerade das Interesse an den Hacker-Typen zwei und drei nimmt stetig zu. In politisch motivierten, kriegerischen Auseinandersetzungen können diese Hacker eine neue Dimension des Konflikts hinzufügen. Der staatliche Hacker wird dadurch direkt zum Erfüllungsgehilfen politischer Motive.
Personen sind die “Schwachstelle”
Immer wieder ist das Einfallstor in jede Sicherheitsarchitektur die Schwachstelle Mensch. Mal leichter, mal schwerer. Inzwischen, das berichten auch die Experten an diesem Nachmittag, gibt es sehr gut gemachte Phishing-Angriffe. Vorbei sind die Zeiten von fragwürdigen Absendernamen mit sehr schlechter und holpriger Übersetzung, welche ein halbwegs wacher User sofort als Spam und Phishing erkannte. Die persönlichen Cyber-Fallen von heute haben damit nicht mehr viel gemeinsam. Diese sogenannten Spear-Phishing-Attacken sind nicht neu, auch wir haben dieses Phänomen bereits in unseren Veröffentlichungen behandelt.
Diese Schwachstellen kann und wird man niemals dauerhaft schließen können, allerdings können die Risiken minimiert werden. Der Schlüssel dazu sind dauerhafte und sinnvoll abgestimmte Awareness-Schulungen mit Mitarbeitern.
Unsicherheit unter den Zuhörern
Die jüngste Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI), den Virenschutz-Anbieter Kaspersky nicht weiter zu verwenden, sorgt im Auditorium für einige Fragen und eine spürbare Unsicherheit. Das BSI hatte am 15. März vor der Verwendung der Software des russischen Unternehmens gewarnt. Dazu heißt es vom BSI: “Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden”.
Welchem Hersteller kann man denn trauen? Ist es auszuschließen, dass nicht auch Hersteller aus anderen Ländern diese Probleme bekommen können? Das sorgt für Verwirrung und der Wunsche nach einer klaren Handlungsempfehlung ist in diesem Moment fast schon greifbar.
Die Antwort von der Bühne ist in diesem Moment möglicherweise ernüchternd: Es gibt dafür keine Blaupause – die Auswahl eines solchen Programmes ist noch immer hauptsächlich Vertrauenssache. An der Arbeitsweise und der Funktionalität der Programme kann, sollen sie ihre Aufgabe erfüllen können, nichts verändert werden. Ein Antivirenprogramm muss tief im System verankert sein, Prozesse überwachen und weitreichende Befugnisse innerhalb des Systems haben. Der Rat der Experten: Schauen Sie sich die Programme genau an. Wie sieht die Lage in den Heimatländer aus? Können die Gesetze vor Ort eine wie oben vom BSI beschriebene Situation entstehen lassen?
Maßnahmen nicht konterkarieren
Ein spannendes Thema wird in der Diskussion ebenfalls gestreift. Man sollte bei aller Vorsicht und bei allen Maßnahmen darauf achten, dass die getroffenen Sicherheitsmaßnahmen nicht an anderer Stelle durch Nachlässigkeit oder Fehlplanung konterkariert werden. Um das Beispiel etwas greifbarer zu machen: Ein perfekt geschütztes Netzwerk nützt leider nichts, wenn man im Firmengebäude ohne Probleme an alle Stellen der IT physisch herankommt (z.B. Serverraum). Hier verschwimmen die Disziplinen der Sicherheit miteinander. Sicherheit muss in diesem Moment ganzheitlich gesehen und geplant werden – ein altes Credo und eine Stärke von Concepture.
Politische Lage besorgt
Viele der Zuhörer sehen sich und ihre Einrichtungen als Teil der kritischen Infrastruktur mit einem Schlag in die bittere Realität des Krieges in Europa versetzt. Was passiert, wenn der Krieg sich ausbreitet? Werden dann nicht auch die Kliniken und Krankenhäuser zu Zielscheiben möglicher Angriffe aus dem Cyberraum? Die bittere Antwort ist: ja, das werden sie direkt oder indirekt. Die Experten sind sich einig, dass der BSI Grundschutz jetzt mehr denn je das absolute Minimum zum Schutz der KRITIS Krankenhaus sein muss.
Ebenfalls wird nochmals auf die Bedeutung von Notfallplänen hingewiesen. Jede Sicherheitsmaßnahme kann versagen, der Angreifer einen bisher unbekannten Angriffsvektor entdecken und ausnutzen – was dann? Ein tiefgreifender und detaillierter Notfallplan kann in diesem Fall die Ausfallzeiten verkürzen, Struktur zurückgeben und mit klaren Anweisungen die Funktionalität erhalten oder schneller zurückgeben. Deshalb ist er so wichtig.
Fazit des Nachmittags
Was also jetzt tun? Welche konkreten Vorschläge und Anregungen liegen auf dem Tisch? Wir versuchen an dieser Stelle, die Ergebnisse der Diskussion in eine sinnvolle Zusammenfassung zu bringen.
- Schließen Sie die “Schwachstelle” Mensch so gut wie möglich. Immer wiederkehrende Awareness-Maßnahmen und eine effektive Kontrolle über die Wirksamkeit dieser ist der Schlüssel hierzu.
- Blicken Sie über den Tellerrand hinaus. Betrachten Sie Sicherheit breiter und denken sie an Maßnahmen, welche auf den ersten Blick vielleicht nicht viel gemein haben.
- Suchen Sie sich für Ihre Cybersicherheit vertrauenswürdige Partner und evaluieren Sie diese stetig.
- Erarbeiten Sie einen Notfallplan und implementieren Sie diesen. Ist ein Notfallplan bereits vorhanden, dann testen Sie diesem in begrenztem Umfang und bessern Sie ggfs. nach.
- Setzen Sie, falls noch nicht geschehen, den BSI Grundschutz um. Er bietet das unerlässliche Fundament für alle weiteren und zukünftigen Maßnahmen zur Steigerung Ihrer Sicherheit und Resilienz.