Startseite > Medizintechnik > E-Health > Kopfschmerz IT-Security

Verschlüsselungstrojaner

Kopfschmerz IT-Security

9. Mai 2017, 8:07 Uhr | Marcus Heinze und Werner Spiegl

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Angriff und Verteidigung in der Praxis

Schaut man sich Unternehmen an, die sich erfolgreich gegen solche Angriffe zur Wehr setzen, erkennt man, dass etwas Vorbereitung und gesunder Menschenverstand fast schon ausreichen. An ein paar Beispielen aus der täglichen Praxis lässt sich dies veranschaulichen.

Fallbeispiel 1

Der Teamleiter eines mittelständischen IT-Dienstleisters war auf der Suche nach neuem Personal. Das Unternehmen leistete bereits eine ganze Menge für IT-Sicherheit: Es gab sowohl Verhaltensrichtlinien als auch technische Schutzeinrichtungen; die Mitarbeiter waren geschult und sensibilisiert für das Thema. Der Teamleiter nutzte das Internet also mit der gebotenen Vorsicht. Der Informations-Link, den er anklickte, stammte aus einer vertrauenswürdigen Quelle. Dass sich hinter dem Link ein Office-Dokument (in diesem Fall: Microsoft Word) verbarg, war nicht zu erkennen. Der Cryptotrojaner, den er somit aktivierte, war neu und dem Virenscanner unbekannt: Er schlug ohne Gegenwehr zu. Alarmiert holte der Teamleiter den IT-Service des Unternehmens zu Hilfe. Dieser reagiert gekonnt: Der infizierte Rechner wurde umgehend vom Netz getrennt (Sofortmaßnahme Nr. 1).
Dennoch war in der Folge ein zentraler Bestandteil der Infrastruktur beeinträchtigt – der Fileserver. Diesen nutzten die Teamleiter für ihre tägliche Dokumenten-Arbeit. Der File-Server wurde daraufhin offline genommen (Sofortmaßnahme Nr. 2), die betroffenen Bereiche gelöscht (Sofortmaßnahme Nr. 3) und die entsprechenden Dateien aus der letzten Sicherung wieder hergestellt (Sofortmaßnahme Nr. 4). Mit geringen Datenverlusten war die Infrastruktur nach zwei Stunden wieder »sauber«.
Die Auswirkungen hielten sich in Grenzen, weil grundlegende, vorbereitende Maßnahmen (preventive actions) ergriffen wurden, um überhaupt Sofortmaßnahme Nr. 4 zu ermöglichen:

Es gab ein geprüftes, zuverlässiges Backup. Dieses braucht man nicht nur für böswillige Angriffe, sondern auch, um gegen technische Ausfälle und Bedienfehler wie versehentliches Löschen abgesichert zu sein.
Der Service hatte ein erprobtes Verfahren, um mit dem Ereignis umzugehen.
Für das betroffene System existierte ein Wiederherstellungs- und Wiederanlaufplan. So konnten alle Maßnahmen gezielt durchgeführt werden und der Zeit- und Datenverlust hielt sich in Grenzen.
Die Reichweite des genutzten Accounts war begrenzt. Der Anwender hatte nur im notwendigen Umfang Zugriff auf Dateien und Daten. Dies begrenzte den Schaden und damit auch die Menge an Daten, die wiederhergestellt werden musste.
Die Analyse des Firewall-Logs ermöglichte eine Auskunft über die Herkunft des Trojaners. Die Quelle konnte informiert werden.

Die ergriffenen Maßnahmen sind weitgehend »nicht-technischer« Natur. Es handelt sich um einfache, organisatorische Maßnahmen, mit denen der Schaden minimiert werden konnte.

Fallbeispiel 2

Das zweite Beispiel verhält sich in gewisser Weise ähnlich. Bei dem Betroffenen handelte es sich um eine Praxisklinik, welche hauptsächlich orthopädische Verletzungen betreut und kleinere chirurgische Eingriffe durchführt. Der Angriff wurde erst bemerkt, als eine Verwaltungskraft feststellte, dass weite Teile der Infrastruktur nur noch aus MP3-Dateien bestanden.
Die IT-Infrastruktur der Praxisklinik wurde durch einen externen Dienstleister betreut. Dieser fuhr zunächst die Infrastruktur herunter. Die zentralen Dienste wurden aus dem Backup wieder hergestellt. Parallel dazu durchforstete man die Clients nach der Ursache für das Problem. Auch hier war es ein Cryptotrojaner, der sich auf einem Rechner im Behandlungsraum eingeschlichen hatte. Die entsprechende Maschine wurde ausgetauscht und neu aufgesetzt.
Bis die zentralen Dienste wiederhergestellt waren und die Clients als gesäubert erachtet werden konnten, war die Praxisklinik nicht in der Lage, Patienten zu betreuen. Bei der Patientenmenge, die eine solche Einrichtung üblicherweise zu bedienen hat, ist dies nicht akzeptabel. Entsprechend hoch war das Stressniveau.
Abgesehen von dem Schadensaspekt direkt in der Infrastruktur, bereitete die Frage nach einem möglichen Datenabfluss Sorge. Mit einer geeigneten Protokollierung der Netzübergangspunkte ließ sich dieses Problem allerdings schnell verneinen. Auch die Wiederherstellung der Dienste verlief reibungslos und der Schaden konnte begrenzt werden. Unter dem Strich war dieser Vorfall allerdings wesentlich schädlicher als im ersten Fall. Was waren die Ursachen?

Die Rechner in den Behandlungsräumen erlaubten weitgehenden Zugriff auf die Infrastruktur.
Die Benutzer waren sich der Gefahren nicht ausreichend bewusst und nutzten die gefährdete Infrastruktur für Internet-Zugriffe.

Grundlegende Maßnahmen halfen aber auch hier weiter und erlaubten es, den Schaden zu begrenzen:

Ein erprobtes Backup erlaubte eine Wiederherstellung der Systeme.
Der Schutz wichtiger Infrastruktur (hier das Praxisverwaltungssystem) verhinderte einen kritischen Datenverlust. Die Zugriffe beruhten auf anderen Mechanismen, die der Trojaner nicht nutzen konnte.
Das Logging am Netzübergang konnte beweisen, dass kein Datenabfluss stattgefunden hatte.
Die Daten lagen alle auf dem Fileserver. Dieser wurde regelmäßig gesichert. Eine Datenwiederherstellung war somit möglich. Der betroffene Client konnte daher einfach aus der Infrastruktur entfernt und nach einer Neuinstallation wieder in Betrieb genommen werden.

Eines wird an diesem Beispiel deutlich: Je weniger umfassend die Schutz-Maßnahmen sind, desto gravierender wirkt sich ein solches Ereignis aus. Dennoch sind die zu unternehmenden Maßnahmen nicht komplexer Hightech-Natur. Es handelt sich um einfache, durch gesunden Menschenverstand gebotene Verfahren.

Fallbeispiel 3

Ein drittes und letztes Beispiel verdeutlicht das mögliche Schadenspotenzial. In diesem Fall handelte es sich bei dem Betroffenen um ein medizinisches Versorgungszentrum mit mehr als zehn Standorten in der Umgebung, über 200 Mitarbeitern und 250 PC-Arbeitsplätzen. Jeder einzelne Standort, also jede Arztpraxis, kommuniziert dabei mit einem zentralen IT-Standort.
Dieser zentrale IT-Standort stellt eine mögliche Brücke für Schadsoftware dar. Datenbestände wiederum sind nur über Zugriffsprotokolle erreichbar: Der einzelne Client hat daher nur Zugriff auf die direkt angeschlossene Peripherie und erreicht keine anderen Systeme. Ähnlich wie im vorausgehenden Fallbeispiel traf es auch hier ein Clientsystem. Durch die großflächige Verschlüsselung von Dateien war der Client nicht mehr nutzbar. Eine sofortige Überprüfung der gesamten Infrastruktur ergab, dass alle anderen Teile der Infrastruktur nicht beeinträchtigt wurden. Der restliche Standort konnte normal weiterarbeiten. Entsprechend einfach waren die notwendigen Abhilfemaßnahmen. Der betroffene Client wurde durch einen frisch aufgesetzten ersetzt und das Problem war ausgestanden.
Die Beschränkung des Zugriffs hat größeren Schaden verhindert. Auch dabei handelt es sich in erster Linie um eine organisatorische Maßnahme. Durch entsprechende Technik wird sie realisiert. Der Geschäftsführer erläuterte, ein operativer Ausfall koste das Zentrum einen fünfstelligen Betrag pro Tag. Hinzu käme der Vertrauensverlust bei den Patienten, wenn das EDV-System nicht funktioniert und beispielsweise auf handschriftliche Dokumentation zurückgegriffen werden müsste.