Störfall Ransomware: Wie SIEM-Software bei der Erkennung von Cyber-Schädlingen hilft

18.06.2018

Gleich mehrere Ransomware-Wellen hatten in 2016 und 2017 in ganz Europa Kliniken lahmgelegt und dort für Zustände wie zu Beginn des Internetzeitalters gesorgt.

 Bei einer Klinik in Deutschland kostete die Behebung eines Ransomware-Befalls angeblich fast eine Million Euro, ohne dass Lösegeld gezahlt wurde. Vielerorts wurden nun neue Systeme etabliert und viel Geld in Security Awareness-Trainings für die Mitarbeiter investiert. Mit neuen PCs, veränderten E-Mail-Einstellungen (Datei-Anhänge löschen oder filtern) sowie einer „Klick nicht!“-Schulung ist es leider nicht getan. Die Kampagnen der Cyberkriminellen werden immer ausgefeilter und die Cryptomining-Welle, die seit letztem Jahr für Schlagzeilen sorgt, verteilt sich eben nicht über Phishing-Mails, sondern Video Streaming-Portale und andere Webseiten.

 

Automatisiertes Sicherheits-Monitoring gegen Ransomware & Co.

Nur auf Anti-Phishing-Tools und Aufklärungskampagnen zu setzen, wird Krankenhäuser und Kliniken in Deutschland und Europa also nicht vor Cyberangriffen und Sicherheitsvorfällen oder sogar einem weiteren zeitweisen Ausfall der Systeme schützen. Die beschriebenen Maßnahmen sollten stattdessen mit einer Security Information and Event Management-Lösung (einer Art Frühwarnsystem) ergänzt werden. SIEM sorgt für einen schnellen Überblick über alle Vorgänge im Netzwerk durch eine automatisierte Analyse der Log-Dateien aus den verschiedensten Quellen (Firewalls, medizinische Geräte, Netzwerk-Komponenten etc.). SIEM-Systeme sind inzwischen sehr agil und lassen sich sehr leicht implementieren, deshalb wird auch nicht mehr von SIEM-Projekten, sondern von SIEM-Installationen gesprochen. Darüber hinaus reduziert sich der Verwaltungsaufwand ganz erheblich, wenn die Monitoring-Aktivitäten automatisiert werden. Doch nicht alle Einrichtungen können sich geschultes Fachpersonal leisten, deshalb empfiehlt es sich in einigen Fällen, die SIEM-Lösung von einem Managed Security Services Provider zu beziehen.

 

Bedrohung: Schläfer-Malware

Anomalien im Netzwerk oder aber abweichendes Verhalten von Mitarbeiter-Accounts oder Anwendungen werden von solchen Lösungen automatisch erkannt. Der Sicherheitsverantwortliche erhält Warnmeldungen, um entsprechend reagieren zu können. Dies wird vor allem dann wichtig, wenn Cyberkriminelle spezielle Malware einschleusen, die zunächst einmal schläft und erst zu einem späteren Zeitpunkt aktiviert wird, um sich dann blitzschnell im Netzwerk auszubreiten und Systeme in Geiselhaft zu nehmen. Auch solche Vorgänge werden in Echtzeit von einem SIEM-System überwacht und gemeldet. Moderne SIEM-Systeme halten außerdem Möglichkeiten vor, Angriffe aufgrund ihres Verhaltens zu erkennen. Sicherheitsverantwortliche können die Informationen nutzen, um geeignete Gegenmaßnahmen einzuleiten.

 

Wenn der Geist in der Maschine ein Cyberkrimineller ist

Beispiele für Anomalien im Netzwerk sind unter anderem Patienten, die seit mehreren Monaten nicht mehr im Kontakt mit dem Krankenhaus waren und nun wieder Kontakt aufnehmen. Mit einer SIEM-Lösung ließe sich schnell erkennen, wann der Patient Kontakt aufgenommen hatte und durch die Technologie zur Überprüfung des Verhaltens ließe sich die Echtheit und Legitimität überprüfen. Ein weiteres Beispiel ist ein Sicherheitsvorfall, bei dem aus der Datenbank des Krankenhauses personenbezogene Daten über mehrere Monate unbemerkt abgeflossen sind. Automatisierte Systeme würden auch solche Vorgänge erkennen und melden. Die Software kann so konfiguriert werden, dass bei jedem Vorgang, bei dem Daten von einem Account abgerufen werden, der normalerweise nicht auf solche Daten zugreift, eine Alarmierung erfolgt. Darüber hinaus können diese Einstellungen auch jeden dieser Vorgänge anzeigen oder anhand bestimmter Schwellwerte z. B. größere Datenmengen speziell definierte Warnungen auslösen. Doch auch auf eine Infektion mit Ransomware oder Cryptomining Malware reagiert die SIEM-Lösung mit einem Warnhinweis. Wichtig ist, dass möglichst viele Log-Quellen mit dem SIEM-System verbunden werden, um eine genaue Analyse der Daten zu ermöglichen. Nur dann lassen sich ganz gezielt Entscheidungen zum weiteren Vorgehen treffen.

 

Fazit

Egal ob Ransomware, Cryptominer oder sonstige Malware, egal ob zielgerichteter Angriff oder aber Sabotage mit SIEM-Lösungen lassen sich alle Vorgänge im Unternehmensnetzwerk und angeschlossenen medizinischen Systeme einsehen. Vordefinierte automatisierte Warnmeldungen, die bei Anomalien, Schwellwert-Überschreitungen oder aber sonstigem auffälligem Verhalten ausgelöst werden, erleichtern Sicherheitsverantwortlichen die Arbeit erheblich und erhöhen die Sicherheit von Krankenhäusern und Kliniken signifikant.

 

Pascal Cronauer, Regional Director für Central EMEA bei LogPoint hat diesen Beitrag für die Conhit-Ausgabe des Krankenhaus IT-Journals erfasst.