Die steigende Zahl von Ransomware-Angriffen auf Gesundheitsorganisationen lässt sich nicht mehr ignorieren. Laut dem Cyber Intelligence Integration Center (CTIIC) haben sich Ransomware-Angriffe auf Gesundheitsdienstleister weltweit im vergangenen Jahr fast verdoppelt. Die Folgen für die Patienten sind verheerend: Sie reichen von Störungen der kritischen Patientenversorgung und der Schließung von Notaufnahmen bis hin zu Patienten, die keine Rezepte erhalten, und Ärzten, die keine Behandlungen durchführen können, wie wir bei den spektakulären Angriffen auf Change Healthcare, Ascension und viele andere gesehen haben.
Dieser Anstieg wird von mehreren Trends angetrieben. Aus wirtschaftlicher Sicht ermöglicht der Zugriff auf Kryptowährungen Hackern, Geld zu erhalten, während Ransomware-as-a-Service (RaaS) und Automatisierung es ihnen ermöglichen, größere Organisationen aggressiver und effizienter anzugreifen als je zuvor. Und vielleicht am bemerkenswertesten ist, dass das Gesundheitswesen früher von einigen Ransomware-Gruppen als tabu angesehen wurde, dies aber eindeutig nicht mehr der Fall ist. Erschwerend kommt hinzu, dass sich insbesondere Gesundheitsorganisationen aufgrund veralteter IT-Systeme, begrenzter Ressourcen und mangelnder Qualifikation nur schwer von Ransomware-Angriffen erholen können.
Angesichts dieser alarmierenden Umstände ist es wichtig, über eines der am häufigsten von Ransomware-Angriffen betroffenen IT-Systeme zu sprechen: Active Directory, das von 90 % der großen Organisationen, darunter fast allen Gesundheitsorganisationen, verwendet wird. Active Directory (AD) ist ein von Microsoft entwickeltes zentrales Identitätssystem, das als zentraler Authentifizierungs- und Autorisierungsdienst für die Ressourcen und Abläufe einer Organisation dient. Mit anderen Worten: Es ist „der Schlüssel zum Königreich“ – das Tor zu allen Systemen einer Gesundheitsorganisation.
Ransomware nutzt Identitätslücken im Gesundheitswesen aus
Gesundheitsorganisationen verfügen über große Mengen wertvoller personenbezogener Informationen (PII) und persönlicher Gesundheitsdaten (PHI). Dies schafft eine AD-Umgebung mit vielen Angriffszielen, da AD einen umfassenden Zugriff auf vertrauliche Patienteninformationen bietet. Das Problem wird noch verschärft durch die weit verbreitete Verlagerung zur Fernarbeit und die zunehmende Abhängigkeit von Cloud-Ressourcen, die die Angriffsfläche von AD noch weiter vergrößert haben. Hinzu kommt die ständige Mobilität von Ärzten, Krankenschwestern und Hilfspersonal innerhalb eines Krankenhausgebäudes zu jedem beliebigen Zeitpunkt – verbunden mit Anmeldungen und Zugriffen über mehrere Räume, Systeme und Maschinen hinweg, was eine hochkomplizierte Identitätsumgebung schafft. Ganz zu schweigen davon, dass viele Gesundheitsorganisationen aus Gründen der Geschwindigkeit und Effizienz automatische Anmeldungen bei Kernanwendungen ermöglichen, wodurch die Systeme anfällig für Angriffe sind.
Gleichzeitig sind viele Gesundheitsorganisationen aus IT- und Identitätssicherheitssicht unterfinanziert und unterbesetzt. Dies gilt insbesondere für kleinere Einrichtungen und ländliche Krankenhäuser, in denen eine IT-Person wahrscheinlich viele verschiedene Aufgaben übernimmt. Dies macht den komplizierten und zeitkritischen Prozess der Wiederherstellung nach Ransomware besonders herausfordernd, da es für Krankenhäuser aufgrund eingeschränkter Ressourcen und Fähigkeiten schwierig ist, umfassende Wiederherstellungsprozesse zu implementieren und aufrechtzuerhalten.
Es wurden mehrere Initiativen ins Leben gerufen, um Krankenhäuser während dieser Krise zu unterstützen, darunter das HHS UPGRADE-Programm, Microsofts Cybersecurity-Programm für ländliche Krankenhäuser und die Initiative des Weißen Hauses zur Umsetzung von Cybersicherheitsstandards für Krankenhäuser. Der Zeitrahmen, in dem diese Initiativen greifbare Ergebnisse liefern, ist jedoch unklar, und die Organisationen müssen in der Zwischenzeit ihre Patienten vor diesen eskalierenden Angriffen schützen.
Wenn Cyberkriminelle auf Active Directory zugreifen
Wenn Active Directory kompromittiert wird, legt es die gesamte Gesundheitsorganisation lahm. Der Angriff verläuft typischerweise in vier Phasen:
Erster Zugriff: Hacker infiltrieren Netzwerke durch Phishing, indem sie Schwachstellen und Fehlkonfigurationen ausnutzen oder gestohlene Anmeldeinformationen aus dem Dark Web verwenden. Laterale Bewegung: Angreifer verwenden AD zur Authentifizierung über Systeme und Server hinweg, kompromittieren so weitere Konten und verbreiten sich im gesamten Netzwerk. Rechteausweitung: Cyberkriminelle nutzen AD-Schwachstellen aus, um Administratorrechte zu erlangen, Sicherheitskontrollen zu deaktivieren und ihre Spuren zu verwischen. Erpressung: Sensible Daten werden gestohlen und/oder Systeme werden verschlüsselt, um das Unternehmen lahmzulegen und Lösegeld zu fordern. Dazu gehören verschlüsselte kritische Patientendaten und Krankenakten, unzugängliche wichtige medizinische Instrumente, kompromittierte Backup-Systeme und die Abschaltung von Active Directory selbst, wodurch Mitarbeiter und medizinisches Fachpersonal von den Systemen ausgeschlossen werden.
Diese umfassende Übernahme maximiert die Auswirkungen des Angriffs und setzt die Opfer unter Druck, Lösegeldforderungen zu bezahlen. Anbieter können dann nicht mehr auf wichtige Informationen zugreifen und/oder die notwendige Patientenversorgung leisten, wodurch eine Cyberbedrohung zu einer lebensbedrohlichen Krise wird.
Die Lösegeldfalle: Warum sich Nachgeben nicht auszahlt
Der weitreichende Schaden durch Ransomware beeinträchtigt die Fähigkeit von Gesundheitsorganisationen, effektiv auf Cybervorfälle zu reagieren, erheblich. Dies ist auch der Grund, warum Organisationen bei Angriffen eher die Zahlung von Lösegeld in Betracht ziehen, da sie dies als schnellere und praktikablere Lösung ansehen als die Investition in Wiederherstellungsprozesse mit begrenzten internen Ressourcen. Bundesbehörden und Cybersicherheitsexperten raten jedoch von der Zahlung des Lösegelds ab, da dies Hacker ermutigen kann, das Lösegeld zu erhöhen und Daten durch doppelte oder dreifache Erpressungstaktiken auszunutzen.
Versicherungsunternehmen prüfen auch Ransomware-Forderungen immer genauer und verweigern den Versicherungsschutz, wenn sich Unternehmen für die Zahlung des Lösegelds entscheiden. Dieser Kurswechsel basiert auf der Annahme, dass die Implementierung robuster Programme zur Bedrohungsidentifizierung und -minderung heute als grundlegende Best Practice in der Cybersicherheit gilt. Versicherer argumentieren, dass die Zahlung von Lösegeldern einen Mangel an angemessenen Sicherheitsmaßnahmen zeigt, die vorhanden sein sollten, um solche Angriffe von vornherein zu verhindern.
So sichern Sie das Active Directory im Gesundheitswesen: Ein dreigleisiger Ansatz
Im Folgenden werden Strategien beschrieben, die Gesundheitsorganisationen jetzt implementieren können, um Active Directory zu härten und ihre Cybersicherheitslage zu stärken:
1. Erstellen Sie einen Notfallwiederherstellungsplan, der Active Directory berücksichtigt
Organisationen sollten der Erstellung eines umfassenden Notfallwiederherstellungsplans mit besonderem Schwerpunkt auf Active Directory (AD) Priorität einräumen. Dieser umfasst:
Pflegen einer sauberen Standby-Umgebung, um im Falle eines Verstoßes eine schnelle Wiederherstellung zu gewährleisten. Erlassen von Regeln, die gefährliche Änderungen automatisch erkennen und rückgängig machen – beispielsweise das automatische und sofortige Rückgängigmachen aller Ergänzungen zu einer Verwaltungsgruppe außerhalb eines genehmigten sicheren Prozesses. Tägliches Testen des für AD-Ransomware-Angriffe erstellten Vorfallreaktionsplans, einschließlich Eindämmung und Wiederherstellung. Verwalten starker Backup- und Wiederherstellungsstrategien, einschließlich Offline-Backups für AD-Daten, die vom Netzwerk isoliert sind.
2. Aktuelle Schwachstellen bewerten
Die regelmäßige Durchführung von Schwachstellenanalysen ist von entscheidender Bedeutung und sollte ein fortlaufender Bestandteil der Cybersicherheitsstrategie eines Unternehmens sein. Sobald Schwachstellen identifiziert sind, sollten sie umgehend behoben werden, um potenzielle Angriffsmethoden zu minimieren.
Um eine gründliche Bewertung durchzuführen, sollten Organisationen zunächst eine Bestandsaufnahme ihrer Systeme machen, einschließlich der Systeme, die auf Active Directory basieren, sowohl in der Cloud als auch vor Ort. Diese Bestandsaufnahme umfasst eine Bewertung der Kontostandorte, Systeminteraktionen, Zugriffsprotokolle für Verwaltungs- und Geschäftsanwendungen, Benutzer- und Gruppenstandorte und die Methoden, mit denen Berechtigungen und Zugriff gewährt werden. Es ist auch wichtig zu verstehen, welche Authentifizierungs- und SSO-Plattformen eingesetzt werden. Ziel der Bewertung ist es, ein klares Bild davon zu erhalten, wo sich Identitäten und Berechtigungen innerhalb der Organisation befinden und wie sie miteinander zusammenhängen.
3. Implementieren Sie starke Authentifizierungs- und Zugriffskontrollen
Sobald ein Wiederherstellungsplan erstellt und aktuelle Schwachstellen behoben wurden, ist es wichtig, die AD-Sicherheit aufrechtzuerhalten und zu verbessern, um Ransomware-Angriffe zu verhindern, darunter:
Entfernen ständiger Privilegien und Ermöglichen von Just-in-Time-aufgabenbasierten Verwaltungsabläufen. Festlegen von Regeln, Rollen und Automatisierung für wiederholbare Prozesse, erhöhte Sicherheit und Minimieren manueller Verwaltungsaufgaben. Implementieren einer robusten Multi-Faktor-Authentifizierung für alle Konten, insbesondere für privilegierte Konten. Durchführen täglicher automatisierter Sicherheitsbewertungen zur Identifizierung und Behebung von Schwachstellen in AD und Entra ID, ergänzt durch kontinuierliche Überwachung potenzieller Bedrohungen mit sofortigen Warnsystemen.
Gesundheitsorganisationen können ihre Widerstandsfähigkeit gegen Ransomware-Angriffe deutlich verbessern, indem sie proaktiven Schutz, kontinuierliche Überwachung und schnelle Wiederherstellungsstrategien implementieren. Dieser Ansatz erhöht nicht nur die Sicherheit, sondern verringert auch die Wahrscheinlichkeit, im Falle einer Kompromittierung Lösegeld zahlen zu müssen. Dadurch werden letztlich die Daten, Abläufe und vor allem die Patienten der Organisation geschützt.
Foto: traffic_analyzer, Getty Images
Dmitry Sotnikov, Chief Product Officer bei Cayosoft, einer Microsoft Active Directory-Verwaltungs-, Überwachungs- und Wiederherstellungsplattform. Er ist federführend für die Vision, Strategie, das Design und die Bereitstellung der Softwareprodukte des Unternehmens und stellt sicher, dass sie den Marktanforderungen entsprechen und den Benutzern einen unübertroffenen Mehrwert bieten. Mit über zwei Jahrzehnten Erfahrung in den Bereichen Enterprise-IT-Software, Cloud Computing und Sicherheit hat Dmitry Schlüsselpositionen bei angesehenen Organisationen wie Netwrix, 42Crunch, WSO2, Jelastic und Quest Software innegehabt. Zu seinen akademischen Qualifikationen gehören MA-Abschlüsse in Informatik und Wirtschaftswissenschaften, ergänzt durch eine Executive Education der Stanford University Graduate School of Business. Neben seinen unternehmerischen Aktivitäten ist Dmitry Mitglied des Beirats der University of California, Riverside Extension, und wurde von Microsoft elfmal in Folge mit dem MVP Award ausgezeichnet.
Dieser Beitrag erscheint im Rahmen des MedCity Influencers-Programms. Über MedCity Influencers kann jeder seine Sichtweise zu Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um zu erfahren, wie.
