Die Ruhe nach dem Sturm

Die Ruhe nach dem Sturm <1mbNachdem einer breiteren Öffentlichkeit Anfang des Jahres die IT-Sicherheitsprobleme deutscher Krankenhäuser vor Augen geführt wurden, ist inzwischen eine (trügerische) Ruhe eingekehrt, die in solchen Fällen  leider typisch ist. Tatsächlich haben die Täter nach (inoffiziellen) Angaben des BSI allein in den USA $200.000.000 eingenommen. Es braucht keine hellseherischen Fähigkeiten, um vorauszusagen, dass ein Teil davon in die weitere Professionalisierung der Tools und das Beseitigen von Kinderkrankheiten „investiert“ wird.

So sollte man sich bei der Planung der Schutzmassnahmen besser nicht darauf verlassen, dass der Trojaner beispielsweise die Dateien weiterhin wie bisher in alphabetischer Reihenfolge verschlüsselt und gut sichtbar seine Dateiendung anfügt. Folgende Generationen von Ransomware werden sicher zufälliger und  besser getarnt vorgehen. Auch die Dauer der Verschlüsselung großer Datenmengen geht durch einige Optimierungen inzwischen so schnell, dass ein manuelles Eingreifen in den meisten Fällen zu spät sein dürfte.

Was also tun?

Die kurze Antwort: Erstens, die Zeit nutzen, um die Hausaufgaben zu machen und zweitens einen Schritt voraus denken 😉

Die etwas ausführlichere Antwort:

1. Prävention: Ein erweitertes, präventives Schutzkonzept, das auch den zu erwartenden Bedrohungen gewachsen ist. Die Themen hierzu sind bekannt und umfassen unter anderem

  • Verifikation und Redesign aller Daten-Eingangspfade von Email, VPN, Web, USB etc. und Führen aller Dateien über eine Sandbox Lösung a la „FireEye“,
  • Entzug von nicht benötigten Schreibrechten auf Gruppenlaufwerken und Datenbanken
  • Sensibilisieren der Mitarbeiter, ggf. Einschränkung der privaten Nutzung von Dienstgeräten bzw. der dienstlichen Nutzung von Privatgeräten
  • Überprüfung und ggf. Redesign der Backup-Prozesse, d.h. insbesondere das Aufbewahren von Kopien getrennt vom Netz

Wichtig ist jedoch auch, sich darüber hinaus klarzumachen, dass die Prävention schiefgehen kann und wohl auch eines Tages schiefgehen wird!

Deshalb sollte über folgende Schritte,die über eine reine Prävention hinausgehen, unverzüglich angegangen werden:

2. Detektion und Reaktion

  • Automatisierte Entdeckung, Alarmierung und Schadenbegrenzung, d.h. erkenne ich beispielsweise in nahe Echtzeit, wenn Daten unbefugt verschlüsselt werden und trenne betroffene Systeme dann automatisch vom Netz
  • Überprüfung und  Testen der Wiederanlauf-Prozesse, d.h. kann ich meine Systeme anhand von Images, Konfigurationen, und Datenbackup in der erforderlichen Zeit auch wiederherstellen

Ausblick: Nach dem Sturm ist vor dem Sturm, wie es der Fussballer sagen würde. Die Herausforderung en im Bereich IT-Sicherheit bleiben gewaltig. So groß die Chancen der vernetzten Gesundheit auch sind, die Unversehrtheit von Menschen wird zunehmend davon abhängen, wie sicher wir die betroffenen IT-Systeme managen. Hier stehen wir erst am Anfang einer Aufgabe, die in Zukunft eher schwieriger als leichter werden dürfte.

 

No tags.
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.