Bevor die Hacker zuschlagen : Online-Verfügbarkeit offline absichern
15.01.2021 - Keine Gießkanne, sondern gezielte Attacken: In Krankenhäusern richten Hacker große Schäden an und gefährden Menschen. Umso wichtiger die Vorbereitung, um die IT abzusichern.
Hacker gehen immer gezielter und oft mehrstufig vor. In letzter Zeit haben sie beispielsweise Krebsdaten verschlüsselt und den Betrieb diverser Kliniken lahmgelegt. Sie nutzen skrupellos die Covid19-Pandemie, um kritische Infrastrukturen im Gesundheitswesen auszuspionieren, zu attackieren und zu erpressen. Ihr Ziel: wertvolle Daten erbeuten oder auch den Betrieb kritischer Infrastrukturen (KRITIS) in Deutschland stören. Gerade erst verwies das BSI in zwei Studien auf Sicherheitsmängel in digitalen Infrastrukturen von Medizin und Pflege, von der Insulinpumpe bis zum Hausnotruf – willkommene Einfallstore für Hacker.
Neue Bedrohungslagen bewerten
Die Digitalisierung und die Vernetzung medizinischer Geräte im Gesundheitswesen schreitet voran – und damit auch die Komplexität und die Gefahr von IT-Schwachstellen. Zudem müssen sich Kliniken auf immer neue oder veränderte Angriffsvektoren einstellen und diese in Disaster Recovery(DR)-Plänen abbilden. Fehlt diese Vorbereitung, kann das eine wahrscheinlich ineffektive (da unvorbereitete) Reaktion zur Folge haben, mit massiven Auswirkungen auf die Verfügbarkeit von Klinikabläufen oder sogar den Verlust sensibler Patientendaten.
Daten offline absichern
Ziel ist es, nicht erpressbar zu sein und den Klinikbetrieb schnellstmöglich wieder aufnehmen zu können. Der Maßnahmenkatalog dafür umfasst ein zuverlässiges Datensicherungskonzept, einen „unlöschbaren“ Backup-Speicher, ein Backup ohne Viren, einen detaillierten Plan für die richtige Abfolge beim Restart sowie ein komplettes Notfallsystem, das offline bereit steht.
Kontinuierliche Datensicherung ist unbedingte Voraussetzung – für den Tagesbetrieb ebenso wie den Disaster-Fall. Um für alle Eventualitäten gerüstet zu sein, empfiehlt Veeam die 3-2-1-1-0-Strategie: drei Backup-Kopien gespeichert auf zwei unterschiedlichen Medien, davon ein Voll-Backup extern gelagert und ein weiteres offline, „air-gapped“: Auf dieses Backup sollte kein Online-Zugriff möglich sein und es sollte nicht löschbar sein, auch nicht mit noch so hohen – aber vielleicht gekaperten – Admin-Rechten. Das können Offline-Tapes sein oder ein „immutable“ Backup, geschützt mit dem AWS S3 Object Lock oder einer ähnlichen Funktion. Wenn Datensicherungen als zusätzlicher Schutz ausgelagert werden, etwa an einen anderen Standort oder einen Dienstleister, sollten sie unbedingt verschlüsselt werden. Werden Backups automatisch auf Wiederherstellbarkeit getestet, erspart dies böse Überraschungen bei der Wiederherstellung. Moderne Datensicherungssoftware kann zudem prüfen, ob Backups frei von Viren sind. Integrierte Monitoring-Funktionen können außerdem verdächtige Aktivitäten auf Produktivsystemen oder ungewöhnliche Größenveränderungen bei inkrementellen Backups aufdecken.
DR-Abläufe automatisieren
Manuelle Prozesse bedeuten Stress und potenzielle Fehler im Ernstfall. Werden Restart-Prozesse im Vorfeld geplant, getestet und verifiziert – und mit einer Orchestrierungssoftware automatisiert – kann der Betrieb schnellstmöglich wiederanlaufen. So können IT-Teams zum Beispiel mit Veeam Availability Orchestrator ein Regelwerk von Abhängigkeiten und Prioritäten definieren und sicherstellen, dass Systeme, Anwendungen, Abhängigkeiten und Startreihenfolge bei der Wiederherstellung korrekt ablaufen.
Isolierte Systeme sind eigentlich kontraproduktiv – außer im Ernstfall. Dann ist eine vorbereitete Umgebung, die mit entsprechend vorinstallierten virtuellen Maschinen offline auf Standby steht, der letzte Rettungsanker. Die Datensicherungs-Software wird installiert, mit dem (offline!) Backup-Speicher verbunden, die Wiederherstellung gestartet und der orchestrierte Wiederanlaufprozess angestoßen. So können gerade auch KRITIS-Einrichtungen gesetzliche und interne Compliance-Auflagen einhalten und eine BSI-Zertifizierung erreichen.
Vorbereitung ist die beste Abwehrstrategie, denn Ausfälle sind unvermeidbar. Planen, automatisieren, testen und trainieren – dann wissen im Notfall alle Beteiligten, was zu tun ist. So steigern Kliniken ihre Wiederanlauffähigkeit, ihre Resilienz und ihre Verfügbarkeit.
Und noch etwas ist extrem wichtig: Alle Mitarbeiter sensibilisieren und regelmäßig trainieren, damit auch sie vorbereitet sind. Denn gerade im Gesundheitswesen arbeiten immer mehr Mitarbeiter an vernetzten Geräten.
Mehr dazu im WebSeminar von Veeam und Wiley am 23. Februar 2021 sowie im Veeam Whitepaper „Verringern von Ransomware-Risiken im Gesundheitswesen“; weitere Informationen: Veeam Software GmbH, Tel. 0 89 207 042 800, www.veeam.com/de