2016 entwickelt sich zum Jahr der Ransomware. Das Gesundheitswesen ist auch bei diesen Angriffen eines der Top-Ziele. Palo Alto Networks empfiehlt daher eine Reihe von Maßnahmen, um Ransomware-Attacken zu verhindern oder zumindest deren Folgen zu minimieren. [...]
„Ransomware-Infektionen können die Folge einer gezielten Phishing-Kampagne gegen ein Klinikum sein. Die IT-Abteilung im Haus versucht dann den infizierten PC zu isolieren und die verschlüsselten Dateien, die auf einem gemeinsam genutzten Laufwerk einer Abteilung abgelegt waren, aus dem Backup wiederherzustellen. In solchen isolierten Fällen gibt es keine großen Auswirkungen auf die klinische Prozesse oder die Patientenversorgung“, erklärt Josip Benkovic, Public Sector Director bei Palo Alto Networks. „Allerdings würde die Geschichte im Falle einer weit verbreiteten Infektion im Netzwerk anders aussehen. Die richtige Antwort auf Ransomware heißt daher vor allem: Prävention.“
Es gibt laut Palo Alto Networks eine Reihe an Maßnahmen, die eine Gesundheitseinrichtung durchführen kann und sollte, um den Angriff zu verhindern oder die Auswirkungen eines Ransomware-Angriffs zu minimieren:
1. Entwicklung des Sicherheitsbewusstseins der Endbenutzer
Es ist schwierig, das ohnehin ausgelaste Klinikpersonal für regelmäßige Sicherheitstrainings zu gewinnen. Gut informierte IT-Anwender werden durch ihr Verhalten keine Ransomware-Vorfälle begünstigen – im Gegensatz zu eher sorglosen Kollegen.
2. Überprüfung und Bewertung der Server-Backup-Prozesse
Einige Kliniken erkennen nicht, dass ihre Backups kompromittiert werden oder wurden oder nicht richtig konfiguriert sind, bis es zu spät ist. Diese sind aber unverzichtbar für eine möglicherweise erforderliche Wiederherstellung. Beginnen sollte man mit dem Datei-Server, auf dem Netzwerkfreigaben für alle kritischen Abteilungen vorgehalten werden. Die Backups sollten nicht für die Endanwender zugänglich sein und ideal an einem anderen Standort abgelegt werden. Backup-Administrator-Rollen sollten sparsam zugewiesen und verwendet sowie regelmäßig überprüft werden. Ebenso regelmäßige Tests der Backups gewährleisten, dass sie für eine Wiederherstellung tauglich sind.
3. Bewertung von Netzlaufwerk-Berechtigungen
Ein Projektmanager sollte die Berechtigungen, die Benutzer für Netzlaufwerke haben, bewerten. Es sollte das Prinzip der geringsten Rechte angewandt werden, um die Auswirkungen zu minimieren, die jeder einzelne Benutzer auf die freigegebenen Netzwerk-Laufwerke haben könnte. Dieser Prozess kann zeitaufwändig sein, daher empfiehlt es sich, mit den kritischsten Abteilungen zu beginnen.
4. Bewertung privilegierter Administrator-Benutzerberechtigungen
Privilegierte Rollen für Server-, Backup- und Netzwerk-Verantwortliche sollten validiert werden. Administratoren sollten normale eingeschränkte Benutzerkonten zugewiesen werden, getrennt von ihren hoch privilegierten Konten. Diese sollten Administratoren nur verwenden, wenn sie sie wirklich benötigen. Automatische Netzwerklaufwerkszuordnungen von Administratorkonten sollten soweit wie möglich entfernt werden. Bei administrativen Konten sollte der E-Mail-Empfang eingeschränkt werden.
5. Makro-Skripts von MS-Office-Dateien deaktivieren
Laut Microsoft nutzen 98 Prozent der Office-bezogenen Bedrohungen Makros. Das Deaktivieren der Makro-Skripts von MS-Office-Dateien kann Ransomware wie Locky stoppen. Office-Makros sind in der Regel für die Mehrheit der PCs in klinischen Umgebungen nicht erforderlich. Makros können in Ausnahmefällen oder für nur bestimmte Abteilungen aktiviert werden.
6. Überprüfen der monatlichen Patch-Management-Prozesse
Viele Kliniken haben damit zu kämpfen, ihre Systeme innerhalb von 30 Tagen im Rahmen von Microsofts „Patch Tuesday“ monatlich zu aktualisieren. Die Patching-Prozesse sollten überprüft und optimiert werden, wenn es Engpässe gibt. Eine erweiterte Endpunkt-Sicherheitslösung sollte in Erwägung gezogen werden, um Exploits zu verhindern, die aufgrund von fehlenden Patches und Malware drohen.
7. Bewerten des Spam- und Malware-Schutzes für eingehenden Verkehr
Die Konfiguration sollte es ermöglichen, eingehende E-Mails oder enthaltene Anhänge zu blockieren, sobald entsprechende Empfehlungen vom Mail-Server-Hersteller kommen.
8. Einsatz einer Firewall der nächsten Generation zum Schutz des Netzwerks
Es gilt sicherzustellen, dass die Firewall bekannte Bedrohungen auf der Grundlage ständiger Updates automatisch abwehrt. Die Firewall sollte Sandbox-Funktionen bieten, um unbekannte Bedrohungen (URLs und ausführbare Dateien) zu stoppen, bevor sie den Endpunkt erreichen. Sandboxing ist der beste Weg, um neue Varianten von Ransomware zu erkennen, die in freier Wildbahn ständig erscheinen. Die Firewall/Proxy kann so konfiguriert werden, dass eine Benutzerinteraktion (Klicken auf Schaltfläche „Fortfahren“) erforderlich ist, um nicht-kategorisierte Websites zu besuchen. Viele nicht-kategorisierte Websites werden in gezielten Phishing-Kampagnen zur Verbreitung von Malware verwendet.
9. Bereitstellung von erweitertem Endpunktschutz
Herkömmliche Antivirus-Produkte sind nicht effektiv gegen fortschrittliche Malware wie Ransomware, die sich kontinuierlich verändert, um eine Erkennung zu vermeiden. Die Endpunkte benötigen einen erweiterten Schutz, um Prozesse zu stoppen, die auf bösartige Techniken hindeuten, statt nur bekannte bösartige Dateien zu identifizieren. Whitelisting kann bei einigen Unternehmen funktionieren, aber die meisten Krankenhäuser benötigen Hunderte von Anwendungen in ihren Abteilungen, so dass es oft schwierig ist, so eine Liste zu verwalten. Auf Techniken basierte Malware-Erkennung ist effektiv und belastet den Endpunkt nicht.
Die genannten Vorschläge reichen von organisatorischen über Low-Tech- bis hin zu High-Tech-Maßnahmen und haben dementsprechend auch ihren Preis. Alle tragen laut Palo Alto Networks dazu bei, eine Klinikumgebung einzurichten, die sehr widerstandsfähig ist gegen Ransomware und mit minimaler manueller Verwaltung auskommt. Natürlich bleibt es jeder Klinik überlassen, welche Kombination am besten ist. (pi)
Be the first to comment