SSDL von nicht zu unterschätzender Bedeutung

Sie sind hier: Das Magazin für alle IT-Security-Themen » Markt » Interviews

Was den Gesundheitssektor so anfällig für Angriffe auf die Cybersicherheit macht

Schwachstellen sind Fehler im Konzept, in der Konfiguration oder im Code eines Geräts

Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Jonathan Knudsen, Senior Security Strategist bei Synopsys, steht Rede und Antwort.

Jonathan Knudsen, Senior Security Strategist bei Synopsys, erklärt: "Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Für Dienstleister im Gesundheitswesen stehen Patientensicherheit und funktionaler Komfort im Mittelpunkt. Zudem fehlt es sowohl an Budget als auch an Fachwissen im Bereich Cybersicherheit. Das führt nicht selten dazu, dass Systeme und Netzwerke so konfiguriert sind, dass sie für Ärzte, Pflegepersonal und Verwaltung gut funktionieren, aber leider gleichzeitig eine breite und durchlässige Angriffsfläche bieten. "

Warum sind vernetzte medizintechnische Geräte besonders anfällig für Software-Schwachstellen?

Jonathan Knudsen: Im Wesentlichen sind es drei Gründe, warum gerade medizintechnische Geräte eine große Herausforderung sind. Erstens steht die verhältnismäßig lange Lebensdauer von medizinischen Geräten und die vorherrschende Einstellung "wenn es noch funktioniert, warum sollte ich es reparieren" im krassen Widerspruch zu einer Kultur des "frühzeitig und häufig veröffentlichen" bei der Software-Entwicklung.

Zweitens. Wenn wir die Sicherheit von Geräten verbessern wollen, müssen wir sehr viel früher ansetzen. Also schon zu einem Zeitpunkt, an dem das Produkt für den Hersteller noch Zukunftsmusik ist. Hersteller sollten bei der Produktentwicklung einen Secure Development Life Cycle (SSDL oder SDLC) nutzen, um das Risiko für sich selbst, ihre Kunden und insbesondere die Patienten zu minimieren. Der SSDL legt in jeder Phase besonderen Wert auf Sicherheitsaspekte, angefangen bei der Entwicklung des Produkts, über die Implementierung, einschließlich automatisierter und integrierter Sicherheitstests bis hin zur Produktveröffentlichung und -wartung. Da Gerätehersteller ihre Sicherheitsprogramme und -prozesse ständig weiterentwickeln, sollten Dienstleister im Gesundheitswesen überprüfen wie hier der Stand der Dinge ist. Das kann man beispielsweise während des Beschaffungsprozesses tun, indem man Fragen zum SSDL, zur Art der durchgeführten Sicherheitstests, zu den bereits erzielten Ergebnissen und so weiter stellt.

Drittens verlängert die behördliche Kontrolle von medizinischen Produkten und Geräten die Produktentwicklungszeiten. Das erschwert es, die raschen, inkrementellen Aktualisierungen, die für Softwareprodukte typisch sind, im Gesundheitswesen korrekt zu implementieren.

Welches Risiko ist mit Schwachstellen wie BlueKeep und URGENT/11 verbunden?

Jonathan Knudsen: Geräte und Systeme, auf denen veraltete Softwareversionen mit bekannten Schwachstellen laufen, stellen ein ernstes Risiko dar. Angreifer können solche Schwachstellen ausnutzen, um die Kontrolle über Geräte zu übernehmen, Prozesse zu unterbrechen oder zu manipulieren, die Geräte zum Stillstand zu bringen oder sie als Ausgangspunkt für weitere Angriffe zu nutzen.

Wie genau funktionieren diese Software-Schwachstellen? Und welche sind für vernetzte medizinische Geräte besonders schwerwiegend?

Jonathan Knudsen: Schwachstellen sind einfach Fehler im Konzept, in der Konfiguration oder im Code eines Geräts. Die beste Verteidigungsmaßnahme für den Hersteller besteht darin, einen SSDL zu benutzen. Dann werden die meisten Schwachstellen vor der Veröffentlichung des Produkts gefunden und können behoben werden. Besonders alarmierend sind Schwachstellen, die remote von einem Angreifer ausgenutzt werden können. Häufig potenziert sich das Risiko eines solchen Angriffs durch eine unzureichende Netzwerkkonfiguration. Gerade im Gesundheitswesen. Hat der Angreifer sich einmal Zutritt zum Netzwerk verschafft, kann er von seinem Ausgangspunkt nicht selten jeden Winkel des Unternehmens ungehindert erreichen.

Worin liegt hinsichtlich vernetzter Geräte das höchste Risiko?

Jonathan Knudsen: Das Hauptrisiko besteht ganz offensichtlich für die Gesundheit der Patienten. Obwohl vernetzte medizinische Geräte viele hilfreiche Funktionen bieten, müssen Gesundheitsdienstleister bei Konfiguration, Einsatz und Wartung der Geräte sehr umsichtig vorgehen.

Was können Krankenhäuser, aber auch Hersteller in Zukunft besser machen?

Jonathan Knudsen: Für Hersteller von medizintechnischen Geräten ist ein SSDL von nicht zu unterschätzender Bedeutung. Richtig implementiert, gewährleistet der SSDL, dass ein freigegebenes Produkt lediglich ein Minimum an Schwachstellen aufweist, was sich direkt in einer Risikominderung und einer höheren Patientensicherheit niederschlägt. Dazu kommt der erfreuliche Nebeneffekt, dass die Gesamtkosten für den Hersteller sinken. Denn bessere Produkte brauchen weniger Korrekturen und Updates. Nach der Produktveröffentlichung sind die erheblich teurer. Dienstleister im Gesundheitswesen brauchen aber auch ihre eigenen Sicherheitsprogramme. Die erst gewährleisten, dass Richtlinien, Netzwerkdesign, Gerätebeschaffung und Wartungsprozesse aufeinander abgestimmt sind. Dieses Vorgehen senkt das mit Softwarefehlern verbundene Risiko, wenn es dann (versehentlich oder absichtlich) wirklich zu einem Angriff kommt.

Vor welchen Herausforderungen stehen Krankenhäuser und Gesundheitsdienstleister, die ihre medizintechnischen Geräte besser vor Cybersicherheitsbedrohungen schützen wollen?

Jonathan Knudsen: Die größte Herausforderung liegt ganz eindeutig im Bereich der Ressourcen. Fachwissen in Sachen Cybersicherheit ist rar gesät, und Gesundheitsdienstleister zögern nicht selten, mehr Zeit und Geld für die Sicherung von Software und Netzwerken aufzuwenden. Wenn die Risiken richtig eingegrenzt werden, erkennt aber jedes Unternehmen die zentrale Bedeutung eines umfassenden, proaktiven Cybersicherheit-Ansatzes. (Synopsys: ra)

eingetragen: 27.03.20
Newsletterlauf: 18.06.20

Synopsys Software Integrity Group: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Studien

15 Prozent mehr Sicherheitslücken im Vergleich zu H1 2022

Die Experten von Forescout Vedere Labs haben in ihrem neuesten Bericht die Aktivitäten von Cyberkriminellen und staatlich unterstützten Hackern in den ersten sechs Monaten 2023 analysiert. Die Ergebnisse zeigen eine alarmierende Zunahme von Angriffen auf Unternehmen und Organisationen weltweit.

KMU am stärksten von Ransomware betroffen

Arctic Wolf veröffentlicht ihren Incident Response Ransomware Report. Das Unternehmen teilt darin aktuelle Incident Response (IR) Falldaten seiner Security Operations Platform und neueste Erkenntnisse der Dark Web-Überwachung der Arctic Wolf Labs.

Social-Media-Nutzung stabilisiert sich auf hohem Niveau

Die IT & Telekommunikationsbranche, Dienstleistungs- sowie Beratungsunternehmen sind erneut an der Spitze der Social-Media-Nutzer zu finden. Neue Branchen rücken deutlich vor, und Human Resources wird als Akteur erstmals klar sichtbar. Das sind einige der aktuellen Ergebnisse der neuesten Studie des "Erster Arbeitskreis Social Media in der B2B-Kommunikation", an der sich insgesamt 816 Unternehmen aus Deutschland, Österreich und der Schweiz beteiligt haben.

Studien

Authentifizierungstechnologien als Herausforderung

In früheren Falldaten aus dem Report, der tatsächliche Cyberattacken analysiert, war die Ausnutzung von Sicherheitslücken die Hauptursache für Angriffe, dicht gefolgt von kompromittierten Zugangsdaten. In der ersten Jahreshälfte 2023 kehrt sich dieses Bild deutlich um, und zum ersten Mal standen mit 50 Prozent kompromittierte Zugangsdaten an erster Stelle der Ursachen. die Ausnutzung einer Schwachstelle lag bei 23 Prozent.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.