BSI: Ransomware bedroht Gesundheitswesen

26.10.2020

In seinem am vergangenen Dienstag publizierten Lagebericht zur IT-Sicherheit in Deutschland warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut vor Ransomware und macht darauf aufmerksam, dass das Gesundheitswesen verstärkt in den Focus von Cyber-Erpressern geraten ist.

Das grundsätzliche Ransomware-Dilemma

Der Kampf gegen Ransomware ist grundsätzlich dilemmatisch. Denn einerseits empfehlen BSI, Polizei und andere Verfolgungsbehörden, kein Lösegeld zu zahlen, um das „Geschäftsmodell“ der Kriminellen nicht zu unterstützen. Andererseits ist der entstehende Gesamtschaden häufig existenzbedrohend und in der Regel weitaus größer als ein etwaig gezahltes Lösegeld, weshalb die Opfer von Ransomware in der Praxis immer wieder auf die Forderungen der Erpresser eingehen.

Warum das Gesundheitswesen ein bevorzugtes Ziel ist

In ihren Attacken auf Einrichtungen des Gesundheitswesens machen sich die Cyber-Kriminellen dieses Dilemma besonders zunutze, weil die Betroffenen hier nicht nur materielle Schäden gegeneinander abwägen müssen, sondern sich Fragen von Leib und Leben stellen. Krankenhäuser zahlen geforderte Lösegelder demnach wahrscheinlicher und schneller als andere Opfer, um die Versorgung von Patienten sicherzustellen.

Prävention als entscheidende Abwehr-Strategie

Das entscheidende Moment im Kampf gegen Cyber-Angriffe ist daher die Prävention. Das heißt: die Sicherung der eigenen IT-Systeme vor einem Ransomware-Befall. Hier scheinen laut BSI nicht nur das Gesundheitswesen, sondern öffentliche Einrichtungen insgesamt noch einigen Nachholbedarf zu haben. Als Unterstützung listet Mahr EDV an dieser Stelle die wichtigsten Eckpfeiler einer wirkungsvollen IT-Security gegen Ransomware auf:

1. Ein wirklich sicheres tägliches Backup
   (siehe: Checkliste für eine Sichere Datensicherung).
   – Das Kopieren von Daten auf eine USB-Festplatte oder NAS reicht für Unternehmen bei weitem nicht mehr aus, und muss daher als fahrlässig bezeichnet werden.
2. Schulung der Mitarbeiter zur Erkennung von Spam und Onlinegefahren
   (siehe: Woran erkenne ich Spam?)
   – Die meisten Viren gelangen durch die Unkenntnis von Nutzern in die Computer: mal sind es Anhänge in Emails, die vermeintlich vom Chef stammen, oder Webseiten, die wie bei Bad Rabbit dazu auffordern, irgendetwas zu installieren. Ihr Team kann diese Fallstricke erkennen, wenn eine entsprechende Schulung erfolgte.
3. Sicherstellung von regelmäßigen möglichst täglichen automatischen Updates für alle PCs und Server
   (siehe bspw.: Option zum Monitoring)
   – Sie erwerben einen neuen PC, ein Betriebssystem oder eine Anwendung und glauben, für 2-3 Jahre up to date zu sein? Jede Software hat zahlreiche Sicherheitslücken, die fast wöchentlich ans Licht kommen. Der Hersteller stellt Updates zur Verfügung, die diese schließen, wenn eine umgehende Installation erfolgt. Die schnelle Installation auf allen PCs und Servern in einem Unternehmen während und außerhalb der Arbeitszeit sicher zu stellen, schafft kein Mensch, sondern nur ein ausgefeiltes Update Management.
4. Prüfung des Virenschutzes, der Firewall und Durchführung von externen Audits
   (siehe: Schutz vor Petya Ransomware)
   – Viele Prüfungen, wie die Aktualität des Virenschutzes, kann ein Monitoring automatisiert 24/7 und zu geringen Kosten vornehmen. Dann hat die IT Abteilung auch mehr Zeit für das Wesentliche. Andere Prüfungen sollten durch externe Audits erfolgen. Es kann schlichtweg nicht erwartet werden, dass die interne IT Abteilung ihre eigenen Fehler ohne ein externes Audit aufdeckt.

Weiterführender Artikel z.B.: