Autor – Christoph Stoica. Regional General Manager bei Micro Focus
Nutzergenerierte Gesundheitsdaten werden in Zukunft eine immer größere Rolle spielen. Egal ob die neue Generation der Wearables in Form von GPS-aktivierten Asthma-Inhalatoren kommt oder als Tech-Tattoos, die alle Vitalfunktionen im Auge behalten – die gewonnenen Daten werden nicht nur für den Patienten selbst interessant und wichtig sein, sondern auch für eine Reihe anderer Parteien: Gesundheitsdienstleister, Versicherer, Wissenschaftler und politische Entscheidungsträger werden ebenso von der Menge an Informationen profitieren. Doch der Siegeszug des Internet der Dinge (IoT) birgt viele Risiken für die Sicherheit personenbezogener Daten – denn sie wecken Begehrlichkeiten von vielen Seiten.
Es steht außer Frage: Innovationen in den Bereichen Connected Health und dem Internet of Medical Things bereiten den Weg für eine verbesserte Patientenversorgung und datengestützte Behandlungserfolge. Die elektronische Patientenakte, kurz ePA, sorgt etwa für einen umfassenderen Überblick über alle Informationen zum Patienten und ermöglicht eine bessere Koordination in der Behandlung.
Doch nicht nur Krankenhäuser und Patienten halten eine solche Datensammlung für wertvoll: In den USA werden selbst für unvollständige ePAs auf dem Schwarzmarkt bereits etwa 50 Dollar erzielt, einzelne Sets von Patienteninformationen können immerhin zehn Dollar erreichen – ein Vielfaches dessen, was für eine Kreditkartennummer gezahlt wird [1]. Es ist nur eine Frage der Zeit, bis dieser Trend auch Europa und Deutschland erreicht.
Malware im neuen Gewand
Die geringe Beachtung, die das Gesundheitswesen – beziehungsweise die gesamte Gesundheitswirtschaft – dem Thema Cybersicherheit schenkt, macht die Situation nicht besser: Wertvolle Patientendaten werden zu einer lohnenswerten Beute für Datendiebe. Eine immer beliebtere Form der Internetkriminalität ist die Erpressung. Hierbei nutzen die Täter Ransomware – also Malware, die Dateien oder Verzeichnisse verschlüsselt und dem Opfer die Wahl lässt, seine Daten entweder zu verlieren oder für den Schlüssel ein Lösegeld an die Erpresser zu überweisen.
Diese neue Art der Malware lässt sich in zwei Arten gliedern. Die sogenannte Lockscreen-Ransomware sperrt den kompletten Zugang zum Gerät des Opfers. Der PC zeigt nur noch einen Sperrbildschirm an. Oft gibt sich die Lockscreen-Ransomware als legitime Strafe für ein Vergehen aus, etwa für Copyright-Verletzungen durch illegale Downloads oder das Besuchen verbotener Seiten. Nachgemachte Logos sollen den Anschein von Polizei- oder Strafverfolgungsbehörden geben, die „diesen Fall nicht verfolgen werden“, wenn das Opfer die Strafe zahlt.
Die zweite und in der Gesundheitswirtschaft weitaus gefährlichere Art ist die Crypto-Ransomware. Sie verschlüsselt einzelne Daten oder Ordner und nimmt sie somit als Geisel, bis der Besitzer die Lösegeldforderung begleicht. Die Erpresser senden meist eine klare Botschaft – wer sie sind, was sie wollen und wie man am besten bezahlt, ohne den Verdacht von Behörden auf sich zu ziehen. Einige legen sogar Wert auf „guten Kundenservice“ und entschlüsseln die erste Datei gratis oder gewähren einen Preisnachlass für Sofortbezahler.
In den USA werden für die Freischaltung der verpackten Dateien zwischen 300 und 600 Dollar in Bitcoins fällig. Auch in Europa ist Ransomware auf dem Vormarsch: Die englische University of Kent fand in ihrer Studie zum Thema Ransomware heraus, dass etwa jeder dreißigste Nutzer bereits Opfer von CryptoLocker wurde, einer bekannten Ransom-Malware. 40 Prozent der Betroffenen bezahlten den geforderten Betrag [2].
Renaissance der Prävention
Dank der Popularität von Produkten wie CTB-Locker, Teslacrypt und CryptoWall hat das Phänomen Cyber-Erpressung laut den Analysten von Forrester 2015 enorm zugelegt [3]. Als Gründe lassen sich zum einen die Zahl und Beliebtheit von Onlinewährungen wie Bitcoins nennen, zum anderen zeigen mehr und mehr Opfer dieser Erpressungen eine deutliche Zahlungswilligkeit. Warum also sollten Kriminelle nicht auf diesen Zug aufspringen? Haben die Erpresser einmal zugeschlagen, sind die Möglichkeiten einer Datenrettung nahezu Null. Im Oktober letzten Jahres sorgte der Kommentar von Special Agent Joseph Bonavolonta für Aufsehen. Der FBI-Agent und Kopf des Cyber and Counterintelligence Program in Boston sagte auf einer Sicherheitskonferenz: „Die Ransomware ist wirklich effektiv. Ehrlich gesagt empfehlen wir den Leuten oft, das Lösegeld einfach zu bezahlen.“ Er fügte hinzu, dass die Daten tatsächlich in den meisten Fällen freigeschaltet würden, sobald Geld geflossen sei.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt grundlegende Sicherheitshinweise zur Prävention: Anti-Virus- und Abwehrsysteme stets auf dem neusten Stand halten, Betriebssystem und Anwendungen sofort patchen, keine verdächtigen Anhänge öffnen und vor allem regelmäßige Backups erstellen – am besten offline. Dies gibt bereits die richtige Richtung vor, doch Sicherheitsexperten haben diese Hinweise bereits auf dem Schirm. Nachfolgend daher drei Tipps, die zu befolgen gerade in kommenden IoT-Umgebungen lohnt.
- Phishing verhindern
Innovationen in Malware erlauben es, SSDs und HDDs umzuprogrammieren, um leichter einer Entdeckung zu entgehen. Sicherheitsprofis müssen sich daher verstärkt auf den Eintrittspunkt konzentrieren. Hier spielt Phishing eine wichtige Rolle – doch Trainings zu den Grundlagen der Cybersicherheit reichen nicht aus, um den eigenen Mitarbeitern zu helfen, Phishing-Attacken zu erkennen und zu vermeiden. Dabei ist genau dies unerlässlich, um Kriminelle daran zu hindern, einzudringen und Daten zu kidnappen.
Hier empfiehlt Forrester in seinem Cybersicherheits-Report, Mitarbeiter im Training aggressiveren Szenarien auszusetzen [4]. So ließen sich schwache Mitarbeiter identifizieren und gezielt stärken, um Phishing-Angriffe besser zu erkennen und angemessen reagieren zu lernen. Es kann zudem vorkommen, dass Versicherungen in Fällen des Identitätsdiebstahls durch Phishing für die Schäden nicht aufkommen. Ein weiterer Grund, um die Abwehr gegen diese Arten von Attacken deutlich aufzurüsten.
- Datenschätze und Zugangswege erkennen
Wearables und IoT-Geräte sammeln verschiedene Arten von Daten für unterschiedliche Zwecke; aus einem Verständnis dieser Faktoren heraus lässt sich leichter der Wert der gesammelten Daten bestimmen – dies gilt für die Nutzer der Daten ebenso wie Kriminelle, die ein Interesse daran haben, die wertvollsten Daten anzugreifen.
Für Sicherheitsexperten gilt daher die Devise, die wichtigsten Daten zu identifizieren und den Zugang zu ihnen mit kommerziellen Penetrationstests zu prüfen; in Frage kommen etwa Core Impact Pro, Rapid7 Metasploit oder das Open-Source-Programm Phishing Frenzy. Gerade bei sensiblen Daten hilft eine Multifaktor-Authentifizierung, um die Wahrscheinlichkeit einer erfolgreichen Phishing-Attacke signifikant zu senken.
- Datensammlung und Auswertung schützen
Die Datenverarbeitungskette im IoT fängt beim medizinischen Gerät oder Wearable an, führt weiter über den Ort der Datenanalyse und endet schließlich in den Händen des medizinischen Personals, das aufgrund der Daten Entscheidungen trifft. Ambitionierte Angreifer zielen daher nicht nur auf einzelne Wearables, deren Daten sie einzeln in Geiselhaft nehmen müssen, sondern direkt auf den Ort der Datenanalyse: die Analyse-Engine in der Private Cloud, Public Cloud oder im Rechenzentrum des Krankenhauses.
Die Folgen eines erfolgreichen Angriffs auf diesen Teil der Datenverarbeitungskette wären besonders schwerwiegend – die Daten jedes einzelnen Patienten eines Krankenhauses befänden sich nun in der Gewalt der Geiselnehmer. Bei der Implementierung von Sicherheitsfunktionen gilt es daher, die IoT-Tauglichkeit der Strategie zu prüfen. Der Kontext eines Geräts und seine Position in der Verarbeitungskette müssen daher ebenso in das Identity Management und das Access Management einfließen, um mögliche Zusatzsicherungen an besonders gefährdeten Stellen anzubringen – etwa eine zusätzliche Authentifizierungsebene.
Verantwortung für Patientendaten wächst
Die Verbreitung von Wearables in verschiedenen Bereichen, wie etwa in der Medizin, ist eng mit dem Internet der Dinge verknüpft. Sicherheitsexperten müssen sich daher möglichst bald darauf einstellen, dass ihr Verantwortungsbereich deutlich anwächst. Handelte es sich bei der ersten Welle von BYOD nur um Smartphones und Tablets, so tragen Nutzer bald eine viel buntere Schar von Geräten in die verschiedensten Netzwerke. Gerade Patientendaten sind dabei gefährdet – denn die Verknüpfung der Geräte und Daten ermöglicht Kriminellen nicht nur einen leichteren Zugang, sondern steigert zugleich den Wert der Daten.
Hinzu kommen neue Bedrohungen – oder alte Bedrohungen in neuem Ausmaß, wie etwa Ransomware. Es gilt, diese Herausforderung ernst und zum Anlass zu nehmen, die bestehenden Abwehrtechniken zu prüfen. Wirksame, vielfältige und kontextbezogene Authentifizierung sowie funktionales Monitoring der Aktivitäten helfen dabei, eine wirksame Prävention aufzubauen, um etwa Phishing-Attacken abzuwehren oder den Missbrauch von Mitarbeiterdaten schneller aufzudecken.
Im IoT-Kontext und vor allem im medizinischen Bereich nehmen auch Sicherheitstrainings eine neue Dimension an. Erstens steigt die Zahl der zu schützenden Geräte ins Unermessliche und ohne die aktive Mithilfe der Nutzer wird es zunehmend schwieriger für die IT, diesen Schutz zu gewährleisten. Zweitens werden die Geräte schwerer als solche zu erkennen sein: bei Herzschrittmachern denken weniger Nutzer an IT-Sicherheit als bei einem Tablet, obwohl beide Geräte im IoT angreifbar sein werden. Das Training sollte daher möglichst realistische Szenarien, Wearables und andere Geräte miteinbeziehen, sowie Nutzer aggressiveren Tests unterziehen, um sie für kommende Phishing-Attacken zu wappnen.
www.microfocus.de
Micro Focus ist ein globaler Hersteller von Unternehmenssoftware und unterstützt die Global 2000 in ihren technischen Herausforderungen. Das Lösungs-Portfolio umfasst Attachmate, Borland, Micro Focus, NetIQ, Novell und SUSE.
Referenzen
[1] William Maruca: Hacked Health Records Prized for their Black Market Value, 16.03.2015, http://hipaahealthlaw.foxrothschild.com/2015/03/articles/privacy/hacked-health-records-prized-for-their-blackmarket-value/.
[2] http://www.kent.ac.uk/news/science/528/cryptolocker-victims-pay-out
[3] Forrester: Predictions 2016: Cybersecurity Swings To Prevention. Landscape: The Security Architecture and Operations Playbook, 16.11.2015.
[4] Forrester: Predictions 2016: Cybersecurity Swings To Prevention. Landscape: The Security Architecture And Operations Playbook, 16.11.2015.
[5] Smith: Cyber insurance rejects claim after BitPay lost $1.8 million in phishing attack, Network World, 21.09.2015, http://www.networkworld.com/article/2984989/security/cyber-insurance-rejects-claim-afterbitpay-lost-1-8-million-in-phishing-attack.html.
