Das BSI warnt vor möglichen Angriffen auf die Gesundheitswirtschaft

veröffentlicht am 9. März 2022

Das BSI schätzt die IT-Bedrohungslage als geschäftskritisch ein, d.h. eine massive Beeinträchtigung des Regelbetriebs ist möglich.

Seit dem frühen Morgen des 24. Februar 2022 führt Russland einen Krieg gegen die Ukraine. Russische Kräfte sind seitdem an vielen Stellen auf ukrainisches Staatsgebiet vorgedrungen. Die militärischen Operationen wurden durch Maßnahmen im Cyberraum begleitet. In diesem Zusammenhang hat das Kommando Cyber- und Informationsraum der Bundeswehr (KdoCIR) am 28. Februar 2022 über Twitter dazu aufgerufen, sich an der ”ABSICHERUNG! von #KRITIS, #Presse, Org. & #Behörden” zu beteiligen, Schwachstellen zu suchen und diese an die nationalen CERTs (wie CERT-Bund) zu melden.

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, dass es in Bälde zu einer Lageverschärfung mittels Cyber-Angriffen gegen Hochwertziele in Deutschland kommen könnte. Hierzu zählen insbesondere auch Krankenhäuser, da sie zur Wahrung der öffentlichen Ordnung zwingend benötigt werden.

Auch wenn aktuell keine akute Gefährdung der Informationssicherheit in Deutschland im Zusammenhang mit der Situation in der Ukraine bekannt geworden ist, bleibt die erhöhte Bedrohungslage für Deutschland im Zusammenhang unverändert bestehen. Es ist sehr wahrscheinlich, dass der Konflikt weiterhin von verschiedensten Formen von Cyber-Angriffen begleitet wird.

Das BSI empfiehlt daher die folgenden kurzfristigen Massnahmen:

1 Personal

Die Verfügbarkeit und Erreichbarkeit des notwendigen Personals für die Präventions- und Reaktionsmaßnahmen sollte konkret für die nächsten Wochen geprüft und sichergestellt werden. Dies betrifft sowohl interne Mitarbeiter als auch Personal von Dienstleistern, sofern diese in den relevanten Bereichen im Einsatz sind. Erschwert wird die Lage dadurch, dass in Krankenhäusern ab dem 16. März 2022 eine de-facto Impfpflicht für Beschäftigte gilt und somit ungeimpfte und nicht genesene Beschäftigte in der IT-Abteilung nach aktuellem Stand nicht mehr eingesetzt werden dürfen. Aktuell geht man davon aus, dass 5 – 10 Prozent der Beschäftigten keinen ausreichenden Impf- oder Genesenenstatus haben. Es sollten daher frühzeitig Pläne erstellt und abgestimmt werden, damit ggf. Urlaubssperren erlassen werden oder Mehrarbeit angeordnet werden kann. Um die Erreichbarkeit kritischer Personen sicherzustellen, sollten diese beispielsweise mit Mobiltelefonen ausgestattet werden.

2 Notfallpläne

Bei großflächigen Auswirkungen von Cyber-Angriffen werden eine Vielzahl an Unternehmen gleichzeitig externe Unterstützung durch Dienstleister benötigen. Da die Dienstleister auch nur begrenzte Personalressourcen zur Verfügung haben, ist davon auszugehen, dass sie nicht in allen Fällen unterstützen können. Es müssen daher Notfallpläne erstellt werden, um möglichst ohne externe Unterstützung die Schäden bewältigen zu können.

Es muss geprüft werden, ob aktuelle sichere Backups von allen relevanten Systemen existieren. Eine Kopie der Backups sollte offline gelagert werden. Bei der Erstellung des Backup-Konzepts muss darauf geachtet werden, dass konsistente Datenbestände erzeugt werden, sodass es zu keinen Abweichungen zwischen den IT-Systemen kommt, sofern ein Recovery durchgeführt werden muss. Dabei ist auch zu berücksichtigen, dass die Datenlieferungen von extern kommen oder nach extern gehen können.

Die Wiederherstellung von Systemen, insbesondere von relevanten Systemen muss getestet werden. Oftmals kommt es bei der erstmaligen Wiederherstellung zu Problemen, z.B. unerwartet lange Laufzeiten oder unvollständig gesicherte Daten oder Systeme. Um die Probleme festzustellen und beheben zu können, müssen Rücksicherungen getestet werden. Die Pläne sollten eine Wiederherstellung nach totalem Datenverlust ("Schwarz-Start") beinhalten, bei dem alle Systeme aus den Backups wiederhergestellt werden können.

3 Aktualität der Systeme

Es sollte zwingend immer auf die Aktualität der Systeme geachtet und Sicherheitspatches zeitnah eingespielt werden, um evtl. Angriffsflächen zu reduzieren. Insbesondere wenn Hersteller bei Zero-Day Schwachstellen Patches veröffentlichen, sollten diese auch kurzfristig, d.h. innerhalb eines Tages, installiert werden. Hierzu bedarf es eines geeigneten Patch-Konzepts, da insbesondere bei Krankenhäusern die Patientenversorgung rund um die Uhr erfolgt und ein nicht zur Verfügung stehendes IT-System zu erheblichem Mehraufwand und zu einer Gefährdung der Patienten führen kann.

4 Härtung der Systeme

Unternehmen verfügen in der Regel über eine Mehrzahl von Systemen mit Außenanbindung, z.B. VPN, RDP, OWA. Angreifer versuchen häufig mittels Social Engineering Angriffen die Zugangsdaten der Mitarbeitenden zu erhalten, um dadurch Zugriff auf die IT-Systeme zu bekommen. Das Personal sollte daher entsprechend in Awareness-Kampagnen geschult werden. Gleichzeitig sollten nach Möglichkeit alle Logins mit Außenanbindung über eine Multi-Faktor-Authentifizierung (MFA) geschützt werden. Dies bedeutet, dass beim Login nicht nur Benutzername und Passwort, sondern zusätzlich ein weiterer Faktor (z.B. Einmalpasswort per sms an eine hinterlegte Mobilfunknummer) benötigt wird. Falls eine MFA zeitnah nicht aktivierbar ist, sollten mindestens kurzfristig neue, komplexe, für jedes System unterschiedliche Passwörter verwendet werden. Dies gilt vor allem für Admin-Konten. Sofern dies nicht technisch zu erzwingen ist, sollte es zumindest durch organisatorische Maßnahmen, z.B. durch bestätigte Unterschriften sichergestellt sein.

Für IT-Administratoren gilt, dass ihre Benutzer mit Admin-Rechten nicht für allgemeine Aufgaben genutzt werden dürfen. Administratoren sollten daher i.d.R. über zwei Accounts verfügen, z.B. admin.nachname und vorname.nachname. In diesem Fall ist der Admin-Account nur zu nutzen, wenn administrative Tätigkeiten durchgeführt werden sollen, die umfassende Rechte benötigen.

5 Protokollierung

Insbesondere Zugriffe auf externe Systeme sollten mit geeigneten Lösungen und geschultem Personal überwacht werden.

Da niemand abschätzen kann, wie sich die Lage weiterentwickelt, bedarf es jetzt schnellstens geeigneter Maßnahmen zur Vorbereitung eines entsprechenden Notfalls. Hierzu zählt die Sicherstellung der Funktionsfähigkeit des IT-Betriebs, des Security Operations Centre (SOC) und/oder Computer Emergency Response Team (CERT), sofern vorhanden. Angefangen bei einer 24/7 Rufbereitschaft über 24/7 Schichtdienst bis hin zu einer besonderen Aufbauorganisation (BAO) im Rahmen des Unternehmens-Krisenmanagements. Die BAO sollte von Anfang an durchhaltefähig geplant werden.

Die Auflistung der vorstehenden Maßnahmen ist nicht als abschließend zu verstehen. Die jeweiligen Maßnahmen sind eigenständig im Rahmen der Vorbereitung individuell an die eigenen Rahmenbedingungen anzupassen und gegebenenfalls zu erweitern. Melden Sie sich gerne, wenn wir Sie dabei unterstützen dürfen.