9 Sicherheitstipps: Ransomware-Angriffe im Healthcare-Sektor verhindern

2016 entwickelt sich zum Jahr der Ransomware. Das Gesundheitswesen ist auch bei diesen Angriffen eines der Top-Ziele. Palo Alto Networks empfiehlt daher eine Reihe von Maßnahmen, um Ransomware-Attacken zu verhindern oder zumindest deren Folgen zu minimieren. [...]

„Ransomware-Infektionen können die Folge einer gezielten Phishing-Kampagne gegen ein Klinikum sein. Die IT-Abteilung im Haus versucht dann den infizierten PC zu isolieren und die verschlüsselten Dateien, die auf einem gemeinsam genutzten Laufwerk einer Abteilung abgelegt waren, aus dem Backup wiederherzustellen. In solchen isolierten Fällen gibt es keine großen Auswirkungen auf die klinische Prozesse oder die Patientenversorgung“, erklärt Josip Benkovic, ‎Public Sector Director bei Palo Alto Networks. „Allerdings würde die Geschichte im Falle einer weit verbreiteten Infektion im Netzwerk anders aussehen. Die richtige Antwort auf Ransomware heißt daher vor allem: Prävention.“

Es gibt laut Palo Alto Networks eine Reihe an Maßnahmen, die eine Gesundheitseinrichtung durchführen kann und sollte, um den Angriff zu verhindern oder die Auswirkungen eines Ransomware-Angriffs zu minimieren:

1. Entwicklung des Sicherheitsbewusstseins der Endbenutzer

Es ist schwierig, das ohnehin ausgelaste Klinikpersonal für regelmäßige Sicherheitstrainings zu gewinnen. Gut informierte IT-Anwender werden durch ihr Verhalten keine Ransomware-Vorfälle begünstigen – im Gegensatz zu eher sorglosen Kollegen.

2. Überprüfung und Bewertung der Server-Backup-Prozesse

Einige Kliniken erkennen nicht, dass ihre Backups kompromittiert werden oder wurden oder nicht richtig konfiguriert sind, bis es zu spät ist. Diese sind aber unverzichtbar für eine möglicherweise erforderliche Wiederherstellung. Beginnen sollte man mit dem Datei-Server, auf dem Netzwerkfreigaben für alle kritischen Abteilungen vorgehalten werden. Die Backups sollten nicht für die Endanwender zugänglich sein und ideal an einem anderen Standort abgelegt werden. Backup-Administrator-Rollen sollten sparsam zugewiesen und verwendet sowie regelmäßig überprüft werden. Ebenso regelmäßige Tests der Backups gewährleisten, dass sie für eine Wiederherstellung tauglich sind.

3. Bewertung von Netzlaufwerk-Berechtigungen

Ein Projektmanager sollte die Berechtigungen, die Benutzer für Netzlaufwerke haben, bewerten. Es sollte das Prinzip der geringsten Rechte angewandt werden, um die Auswirkungen zu minimieren, die jeder einzelne Benutzer auf die freigegebenen Netzwerk-Laufwerke haben könnte. Dieser Prozess kann zeitaufwändig sein, daher empfiehlt es sich, mit den kritischsten Abteilungen zu beginnen.

4. Bewertung privilegierter Administrator-Benutzerberechtigungen

Privilegierte Rollen für Server-, Backup- und Netzwerk-Verantwortliche sollten validiert werden. Administratoren sollten normale eingeschränkte Benutzerkonten zugewiesen werden, getrennt von ihren hoch privilegierten Konten. Diese sollten Administratoren nur verwenden, wenn sie sie wirklich benötigen. Automatische Netzwerklaufwerkszuordnungen von Administratorkonten sollten soweit wie möglich entfernt werden. Bei administrativen Konten sollte der E-Mail-Empfang eingeschränkt werden.

5. Makro-Skripts von MS-Office-Dateien deaktivieren

Laut Microsoft nutzen 98 Prozent der Office-bezogenen Bedrohungen Makros. Das Deaktivieren der Makro-Skripts von MS-Office-Dateien kann Ransomware wie Locky stoppen. Office-Makros sind in der Regel für die Mehrheit der PCs in klinischen Umgebungen nicht erforderlich. Makros können in Ausnahmefällen oder für nur bestimmte Abteilungen aktiviert werden.

6. Überprüfen der monatlichen Patch-Management-Prozesse

Viele Kliniken haben damit zu kämpfen, ihre Systeme innerhalb von 30 Tagen im Rahmen von Microsofts „Patch Tuesday“ monatlich zu aktualisieren. Die Patching-Prozesse sollten überprüft und optimiert werden, wenn es Engpässe gibt. Eine erweiterte Endpunkt-Sicherheitslösung sollte in Erwägung gezogen werden, um Exploits zu verhindern, die aufgrund von fehlenden Patches und Malware drohen.

7. Bewerten des Spam- und Malware-Schutzes für eingehenden Verkehr

Die Konfiguration sollte es ermöglichen, eingehende E-Mails oder enthaltene Anhänge zu blockieren, sobald entsprechende Empfehlungen vom Mail-Server-Hersteller kommen.

8. Einsatz einer Firewall der nächsten Generation zum Schutz des Netzwerks

Es gilt sicherzustellen, dass die Firewall bekannte Bedrohungen auf der Grundlage ständiger Updates automatisch abwehrt. Die Firewall sollte Sandbox-Funktionen bieten, um unbekannte Bedrohungen (URLs und ausführbare Dateien) zu stoppen, bevor sie den Endpunkt erreichen. Sandboxing ist der beste Weg, um neue Varianten von Ransomware zu erkennen, die in freier Wildbahn ständig erscheinen. Die Firewall/Proxy kann so konfiguriert werden, dass eine Benutzerinteraktion (Klicken auf Schaltfläche „Fortfahren“) erforderlich ist, um nicht-kategorisierte Websites zu besuchen. Viele nicht-kategorisierte Websites werden in gezielten Phishing-Kampagnen zur Verbreitung von Malware verwendet.

9. Bereitstellung von erweitertem Endpunktschutz

Herkömmliche Antivirus-Produkte sind nicht effektiv gegen fortschrittliche Malware wie Ransomware, die sich kontinuierlich verändert, um eine Erkennung zu vermeiden. Die Endpunkte benötigen einen erweiterten Schutz, um Prozesse zu stoppen, die auf bösartige Techniken hindeuten, statt nur bekannte bösartige Dateien zu identifizieren. Whitelisting kann bei einigen Unternehmen funktionieren, aber die meisten Krankenhäuser benötigen Hunderte von Anwendungen in ihren Abteilungen, so dass es oft schwierig ist, so eine Liste zu verwalten. Auf Techniken basierte Malware-Erkennung ist effektiv und belastet den Endpunkt nicht.

Die genannten Vorschläge reichen von organisatorischen über Low-Tech- bis hin zu High-Tech-Maßnahmen und haben dementsprechend auch ihren Preis. Alle tragen laut Palo Alto Networks dazu bei, eine Klinikumgebung einzurichten, die sehr widerstandsfähig ist gegen Ransomware und mit minimaler manueller Verwaltung auskommt. Natürlich bleibt es jeder Klinik überlassen, welche Kombination am besten ist. (pi)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*