Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Mittwoch, November 21, 2018 11:23 - noch keine Kommentare
Angriffe auf Krankenhäuser über E-Mails: Problem ist Teil der Lösung
Eine Einschätzung von Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten befine Solutions AG
[datensicherheit.de, 21.11.2018] Knapp eineinhalb Wochen musste das Klinikum Fürstenfeldbruck ohne seine 450 Computer auskommen und war auch nicht per E-Mail, sondern nur noch telefonisch erreichbar. Ursache ist wohl ein E-Mail-Trojaner, der über einen Anhang ins System eingedrungen ist. Inzwischen ermittelt die Zentralstelle Cybercrime Bayern, und das Klinikum hat alle Bankkonten sperren lassen. Wie in anderen bekannt gewordenen Fällen auch spielen E-Mails eine zentrale Rolle, sie sind nach wie vor das Haupteinfallstor für Schadsoftware aller Art. Das ist Teil des Problems und kann Teil der Lösung sein – wenn Einrichtungen, Unternehmen und Behörden die Art ihrer Kommunikation ändern. Der Vorfall zeigt, dass die Sensibilisierung von Mitarbeitern für das Thema Cybersicherheit unabdingbar ist, aber nicht isoliert betrachtet werden sollte.
Berichten zufolge fiel der erste Rechner des Krankenhauses aus, vermutlich nachdem ein E-Mail-Anhang mit einer darin versteckten Schadsoftware geöffnet wurde, danach hätten immer mehr Abteilungen Probleme gemeldet. Zwar ist die Versorgung der Patienten nach Angaben der Klinikleitung gewährleistet, allerdings hatte sich das einzige Krankenhaus in dem westlich von München gelegenen Landkreis von der Rettungsleitstelle abgemeldet, damit Ambulanzen nur noch lebensgefährlich verletzte Menschen dorthin brachten.
Horrorszenario: Komplettausfall einer Klinik-IT
Es ist zu vermuten, dass dahinter eine Infektion mit der Schadsoftware Emotet steckt: Die auf Passwort-Diebstahl und Onlinebanking-Betrug spezialisierte Malware wird derzeit verstärkt in Rechnungen per E-Mail verbreitet. Egal ob gefälschte Rechnungen oder Bewerbungen – die Kriminellen versuchen immer, den Empfänger einer E-Mail dazu zu bringen, einen Dateianhang zu öffnen und auszuführen oder Links zu infizierten Webseiten anzuklicken.
Überhaupt spielt E-Mail hier eine zentrale Rolle: Sie hat sich speziell im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar – und andererseits seit langem ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen. Wie auch das aktuelle Beispiel zeigt, lauern die Gefahren in der Art, wie Mitarbeiter kommunizieren. Daher kommt es für IT-Verantwortliche darauf an, die Angriffsfläche zu verringern.
KRITIS: Ein kritischer Blick auf Kommunikationsprozesse ist nötig
Bisheriger „Höhepunkt“ ähnlicher Fälle war die „WannaCry“-Attacke im Mai 2017, bei der mehr als 300.000 Rechner in rund 150 Ländern infiziert worden waren. Getroffen hatte es Unternehmen in der Logistik, der Telekommunikation und dem Gesundheitswesen: In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen. Ein Jahr vorher machte das Lukas-Krankenhaus im nordrhein-westfälischen Neuss Schlagzeilen, als ein Erpressungstrojaner alle IT-Systeme lahmlegte. Drastischer hätte uns die Verwundbarkeit der digitalen Infrastruktur wohl kaum vor Augen geführt werden können. Wie eine Studie der Unternehmensberatung Roland Berger ergab, wurden knapp zwei Drittel der deutschen Krankenhäuser (64 Prozent) schon einmal Opfer eines Hacker-Angriffs. Es ist auffällig, dass sehr oft Systeme in so genannten Kritischen Infrastrukturen (KRITIS) infiziert wurden. Dazu zählen die großen Krankenhäuser, die in schwerwiegenden Fällen der Meldepflicht unterliegen.
Doch gerade hier tun sich die Betroffenen schwer, die immer wieder erhobenen Forderungen nach dem sofortigen Aktualisieren von Software umzusetzen. Vielmehr ist ein Perspektivenwechsel nötig – weg von der IT und hin zu den in vielen Unternehmen und Behörden vorherrschenden Kommunikationsprozessen.
Wie Einrichtungen, Behörden und Unternehmen die Angriffsfläche verringern können
Der aktuelle Vorfall zeigt erneut, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit in Form von regelmäßigen Schulungen unabdingbar ist, aber nicht isoliert betrachtet werden sollte.
Neben Informationen, die Angreifer aus den sozialen Medien ziehen, sind auch jene aus unverschlüsselten E-Mails ein Risiko. Und selbst bei verschlüsselten E-Mails (S/MIME und PGP) ist noch im Klartext ersichtlich, wer mit wem über welches Thema kommuniziert – über die Betreffzeile. Dies kann ausreichen, um einem der beiden Kommunikationsteilnehmer weitere Informationen zu entlocken, was für die Vorbereitung eines Social-Engineering-Angriffs genügen kann.
Hier bieten spezielle Software-Lösungen Schutz, mit deren Hilfe IT-Verantwortliche die Angriffsfläche von E-Mails verringern und so Kriminellen die Arbeit erheblich erschweren können. Eine spezielle Authentifizierung sowie das verschlüsselte Übertragen der Inhalte machen dann das Mitlesen von E-Mail-Korrespondenz unmöglich. Wenn auch die Betreffzeile verschlüsselt ist, können Angreifer nicht erkennen, wer mit wem worüber spricht und daraus Rückschlüsse für Social-Engineering-Angriffe ziehen. Zusätzlich wird es so äußerst schwer, Schadsoftware einzuschleusen – eine Man-in-the-Middle-Attacke auf dem Weg einer Nachricht von A nach B, bei der die Zahlungsinformationen des eigentlichen Empfängers durch die der Kriminellen ersetzt werden, ist nahezu unmöglich.
Über Matthias Kess
Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.
Weitere Informationen zum Thema:
datensicherheit.de, 07.11.2018
Neuer BSI-Lagebericht 2018: E-Mail-Sicherheit in der Praxis weiterhin vernachlässigt
datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren