KI im Einsatz gegen Cyberkriminalität

Mitarbeiter und Kliniken sowie Medizintechniker sind keine ausgemachten Experten für IT-Sicherheit. Bei der Einrichtung neuer medizinischer Geräte und Maschinen liegt ihr Fokus auf medizinischen Aspekten. Cyberbedrohungen werden im ohnehin stressigen Klinikalltag eher als abstrakte Gefahr betrachtet. Immer wieder wird aber deutlich, wie anfällig das Gesundheitswesen ist. So etwa im vergangenen Jahr, als Cyberangreifer drei Kliniken im Großraum  Bremerhaven ins Visier nahmen und ein E-Mail-Trojaner den Betrieb am Klinikum Fürstenfeldbruck bei München empfindlich störte. Zwei Jahre zuvor waren mehrere Kliniken in Nordrhein-Westfalen Ziele von Ransomware-Angriffen.

Im Falle von Ransomware werden Daten verschlüsselt und nur gegen die Zahlung eines Lösegelds wieder freigegeben – oder auch nicht. Über Ransomware wurde viel berichtet, wegen der mehrstelligen Beträge, die teilweise an die Erpresser gezahlt wurden oder in die Wiederherstellung der Daten und Systeme gesteckt wurden. Weniger prominente Bedrohungen können jedoch ebenfalls enormen finanziellen Schaden anrichten oder die Patientenversorgung erheblich beeinträchtigen.

Warum ist gerade das Gesundheitswesen einer der Hotspots für  Cyberangriffe? Die Technologie in der Branche ist seit einigen Jahren einem stärkeren Wandel unterzogen. Die Medizintechnik wird IT-lastiger, die Vernetzung nimmt zu, Stichwort Internet der Dinge, und der Klinikalltag wird digitaler. Patienten können dadurch effektiver versorgt werden und die Fachkräfte profitieren von einer verbesserten Datenverfügbarkeit und Datennutzung. Der schnelle Ausbau der digitalen Umgebung führt aber auch dazu, dass eine enorme Menge an sensiblen Gesundheitsdaten produziert, bewegt und gespeichert wird. Eine große Datenumgebung und eine stetig wachsende Zahl smarter medizinischer Geräte gepaart mit unzureichenden Zugriffskontrollen und mangelnder Transparenz machen IT-Umgebungen im Healthcare-Sektor zu einer großen Herausforderung. Unachtsamkeit und Fehler der Mitarbeiter im Umgang mit vertraulichen Daten können zudem zu Datenschutzverstößen führen oder sogar Datendiebstahl erleichtern.

Klinikumgebungen stellen besondere Anforderungen an die Cybersicherheit
Der in Kliniken typische Technologie-Mix aus Alt und Neu, was sowohl die IT als auch die Medizintechnik betrifft, stellt besondere Anforderungen an die Cybersicherheit. Gefährdete Altsysteme mit antiquierten eingebetteten Betriebssystemen einerseits sowie der Einzug moderner Geräte mit Internetanbindung andererseits schaffen verschiedene Einfallstore für ­Cyberkriminelle. Gefährliche Attacken sind nicht nur die offensichtlichen spektakulären Vorfälle, sondern geschickt getarnte Aktivitäten, die unbemerkt im Netzwerk stattfinden. Versierte Hacker gelangen über das Kompromittieren einer Schwachstelle ins Netzwerk und können oft wochen-, monate- oder gar jahrelang ungestört agieren, nach Daten stöbern oder Prozesse stören.

Vectra, Marktführer für die Erkennung und Reaktion auf Cyberbedrohungen, verdeutlicht in seinem  Branchenreport für das Gesundheitswesen, wie das aktuelle Bedrohungsspektrum aussieht. Der Report basiert auf Daten der AI-Plattform Cognito aus dem Zeitraum von Juli bis Dezember 2018, die Kunden aus dem Gesundheitssektor zur Verfügung gestellt haben, und zeigt typische Verhaltensmuster von Cyberangreifern auf.

• IT-Netzwerke im Gesundheits­wesen sind durch veraltete Überwachungsmaßnahmen und unsichere Protokolle wie FTP (File Transfer Protocol) und Cloud-basierte Filesharing-Dienste gekennzeichnet. Zudem sind fernverwaltete Desktop-PCs weitverbreitet und immer mehr medizinische Geräte mit Internetanbindung im Einsatz. Diese Konstellation aus hochgradiger Vernetzung und Sicherheitsschwachstellen erleichtert es den Angreifern, sich ungehindert seitlich im Netzwerk zu bewegen, um ihre Vorhaben auszuführen. Internetangebundene Geräte senden häufig Daten an mehrere Ziele. Angreifer machen sich dies zunutze, um ihre eigenen Aktivitäten zu verbergen.
  
  
• Die sogenannte Command-and-Control-Kommunikation zwischen dem Angriffsserver und den infizierten Hosts ist ein typischer Vorgang in Netzwerken, mit denen Angreifer ihr Handeln orchestrieren. Hacker richten daher versteckte HTTPS-Tunnel (HTTPS ist das gängige sichere Internetprotokoll) ein, damit ihre Kommunikation in der großen Masse der legitimen, verschlüsselten Kommunikation „untergeht“ und somit Kontrolle und Erkennung entgeht.
  
  
• Die Auskundschaftung von Netzwerken im Gesundheitswesen nimmt zu, da Angreifer sich erst ein Bild der Umgebung machen, bevor sie ihre Ziele angehen. Dies bedeutet, dass sich Angreifer im Netzwerk vorarbeiten und auskundschaften, wo es etwas Wertvolles zu holen gibt. Sie machen sich hierbei unter anderem Protokolle zunutze, die im Klinikbetrieb für Filesharing, Authentifizierung und Netzwerkkommunikation verwendet werden. 
  
  
• Cyberangreifer versuchen immer wieder, Daten aus Kliniknetzwerken zu schleusen. Diese als Datenexfiltration bezeichnete Aktivität erfolgt häufig über versteckte DNS-Tunnel (Domain Name Server). Auch hier besteht die Herausforderung, unzulässige Aktivitäten zu enttarnen, die sich in der regulären Netzwerkkommunikation zu verbergen versuchen.
  
  
• Die Betreiber von Botnets haben meistens nicht bestimmte Branchen im Visier. Die Angreifer übernehmen hierbei die Kontrolle über fremde Rechner oder IoT-Geräte, um Rechenleistung abzuschöpfen, die sie für die Verbreitung von Malware, DDoS-Attacken oder für das „Schürfen“ von Kryptowährungen benötigen. Ransomware-Angriffe waren im aktuellen Untersuchungszeitraum nicht so häufig, werden dennoch weiterhin ein schwerwiegendes Risiko im Gesundheitswesen bleiben. Die Herausforderung liegt darin, einen Ransomware-Angriff frühzeitig zu erkennen, bevor sich der Schadcode schnell verbreitet, Dateien durch Hacker verschlüsselt werden und der klinische Betrieb beeinträchtigt wird.

Die IT-Sicherheit muss besser werden – aber wie?
Viele Klinikressourcen sind offensichtlich eine leichte Beute für Cyberangreifer. Angesichts der kritischen Bedrohungslage müssen Klinikbetreiber die IT-Sicherheit verbessern, um finanziellen Schaden zu vermeiden sowie ihren Ruf und nicht zuletzt das Wohl der Patienten zu gefährden. Allerdings fehlen oft die Mittel dazu. So liegt die Last auf den Schultern der IT-Teams, die eine Balance zwischen medizinischer Notwendigkeit und zuverlässiger Cybersicherheit finden müssen.
Dies bedeutet auch, die aktuelle Sicherheitsstrategie auf den Prüfstand zu stellen. Gängige Sicherheitsmaßnahmen werden den immer größeren und komplexeren Klinikumgebungen nicht mehr gerecht. Somit ist kaum zu vermeiden, dass ein begabter Hacker irgendeine Schwachstelle ausfindig macht und sich den Weg ins Netzwerk bahnt.

Im realen Arbeitsalltag der Mediziner gilt, dass ein Problem am besten schnell erkannt und behandelt wird, bevor es bedrohlich wird. Dies gilt auch bei der Cybersicherheit. Hierbei müssen aber Hunderte von verdächtigen Verhaltensweisen beziehungsweise Alarmmeldungen jede Stunde erfasst und dahingehend eingeschätzt werden, wie kritisch sie sind. IT-Sicherheitsfachkräfte benötigen auf herkömmliche Weise immer mehr Zeit, um einen sicherheitskritischen Vorfall aufzudecken, was zudem nicht immer gelingt. Genau die ist aber entscheidend, um bedrohliche Aktivitäten zuverlässig und schnell zu erkennen.
Für die Sicherheitsanalysten sollte besser sichtbar sein, was im Netzwerk gerade passiert. Es ist von entscheidender Bedeutung, den Unterschied zwischen einem laufenden Angriff und dem regulären Netzwerkverkehr zu kennen. Diese „Jagd“ auf Bedrohungen ist aber immer zeitintensiver und komplexer geworden. Zudem muss die Überwachung des Netzwerks rund um die Uhr gewährleistet werden. Angesichts von Budgeteinschränkungen und generellem Fachkräftemangel im IT-Bereich ist dies kaum zu bewältigen.

Künstliche Intelligenz und Auto­matisierung schaffen Abhilfe
Als ebenso effizient wie effektiv erweist sich ein neuer Sicherheitsansatz, basierend auf künstlicher Intelligenz (KI), maschinellem Lernen (ML) und modernster Datenanalytik. Eine entsprechend konzipierte Plattform automatisiert die Erkennung und Priorisierung von Cyberangriffen. Dies gilt unabhängig davon, ob gerade das eigene Rechenzentrum, der Datenaustausch mit einer Cloud, mobile Geräte oder medizinische IoT-Geräte betroffen sind. KI-fähige Sicherheitslösungen sind in der Lage, im Netzwerkverkehr zwischen normalem, anomalem und offensichtlich bösartigem Verhalten genau zu unterscheiden. So können Bedrohungen automatisch entdeckt und der nächste Schritt eines Angreifers antizipiert werden.

Jeder Angriff hat einen Lebenszyklus, bestehend aus erstmaliger Durchdringung, Aufklärung, seitlicher Bewegung, Privilegien-Eskalation, Datenmanipulation und schließlich Datenexfiltration. In jeder Phase sind einzelne Verhaltensweisen dedizierten beaufsichtigten und unbeaufsichtigten maschinellen Lernalgorithmen zugeordnet. Diese Algorithmen machen verdächtige Verhaltensereignisse sichtbar und ergänzen diese mit zusätzlichen analytischen Schichten. Die Ereignisse werden kontextualisiert und korreliert, sodass ein breiterer Angriffsablauf erkennbar wird, woraufhin eine entsprechende Einstufung und Priorisierung erfolgt.

Angreifer hinterlassen Spuren
Die KI- und ML-gestützte Bedrohungserkennung macht sich zunutze, dass Angreifer sich eher langsam vortasten im Netzwerk. Sie hinterlassen dabei – wie der analoge Einbrecher im frischen Blumenbeet – verdächtige Spuren. Diese deuten auf bestimmte Verhaltensweisen wie Auskundschaftung, seitliche Bewegung im Netzwerk und Datenexfiltration hin. Mit einer automatisierten Sicherheitsplattform, die diese Spuren lesen und Verhaltensweisen zuordnen kann, können Bedrohungsaktivitäten frühzeitig identifiziert und gestoppt werden. Die Zeit für die Bearbeitung von Sicherheitsvorfällen wird um 75 bis 90 Prozent reduziert (Quelle: Vectra). Dadurch können sich die Sicherheitsanalysten im IT-Team gezielt auf die Bedrohungen mit der höchsten Priorität konzentrieren, statt zu versuchen, unzählige Alarmmeldungen abzuarbeiten. Da eine moderne Sicherheitsplattform dieser Art flexibel skalierbar ist, können Kliniken den Sicherheitsbedarf weiterhin decken, wenn das Netzwerk wächst.

Seine Stärken spielt dieser zeitgemäße Ansatz gerade bei gefährlichen, sogenannten Advanced Persistent Threats (APTs) aus, also besonders raffinierten, länger anhaltenden Bedrohungen. Genau darauf kommt es gerade im Gesundheitswesen an, bereits stattfindende Angriffe zu erkennen und größeren Schaden zu vermeiden. Klinikbetreiber sollten daher ihre IT-Teams dabei unterstützen, ihre Sicherheitsstrategie anzupassen. Vieles spricht für die KI- und ML-gestützte automatisierte Jagd auf Cyberangreifer. Nur so lässt sich mit überschaubarer Personalbesetzung in der IT-Abteilung volle Sichtbarkeit auf Bedrohungen in der Klinikumgebung gewinnen.

Ein zeitgemäßer Sicherheitsansatz beruht auf den folgenden Prinzipien:

1. Es gilt stets zu bedenken, dass alles, was vernetzt ist, ein potenzielles Ziel ist und geschützt werden muss.
2. Sicherheitsmaßnahmen greifen nicht immer und Schwachstellen lassen sich in einer wachsenden, komplexen Umgebung nie vollständig ausschließen.
3. Durch verbesserte Sichtbarkeit innerhalb des Netzwerks wird erkennbar, ob gerade ein Angriff stattfindet und welche Schritte die Angreifer gerade ausführen.
4. Die Erkennung, Analyse und Priorisierung von Bedrohungen muss durch hochgradige Automatisierung bestmöglich unterstützt ­werden.
5. Automatisierung senkt die Eintrittsschwelle für Sicherheits­fachkräfte, sodass allgemein qualifizierte IT-Fachkräfte als ­Sicherheitsanalysten tätig werden können.

Viele Kliniken werden in nächster Zeit nicht umhinkommen, sicherheitstechnisch aufzurüsten. Neuinvestitionen sollten wohlüberlegt sein und für nachhaltige Effizienz und Effektivität sorgen. Eine moderne automatisierte Sicherheitsplattform wird aktuellen und kommenden Anforderungen optimal gerecht.