Page 19 - IT-S-SPECIAL_KKH_2022_1
P. 19
tomatisch aufspüren. Alle Aktivitäten innerhalb der IT-Infra- Use Case: Ransomware
struktur (Nutzer-, Datei-, Prozess-, Registry-, Speicher- und
Netzwerk-Vorgänge) können in Echtzeit überwacht und be- Ransomware ist mittlerweile zur akuten Dauerbedrohung
wertet werden, sodass der IT-Verantwortliche bei Bedarf für Krankenhausnetzwerke geworden. Dabei verbleibt sie oft
sofort handeln kann. Nur auf diese Weise lassen sich erste über Monate hinweg unbemerkt und greift teilweise sogar
Spuren von Hackern identifizieren, Fehlverhalten von Mit- Back-up-Systeme an. Das IT-Sicherheitsteam muss in der Lage
arbeitern bestimmen und Security-Lecks ausfindig machen sein, Ransomware bereits vor einer tatsächlichen Infektion zu
oder sogar die Einfallstore finden, die bei einem erfolgreichen erkennen. Hat diese stattgefunden, muss sofort gehandelt und
Hackerangriff auf das eigene Netzwerk zu weit offenstanden. Verantwortliche müssen informiert werden.
Beispielsweise hätten die im August 2021 entdeckten Sicher-
heitslücken in Microsoft Exchange mit EDR vielleicht nicht Endpoint-Detection-and-Response-Lösungen können be-
komplett gestoppt, aber die Schäden auf ein Mindestmaß re- reits im Netzwerk vorhandene Ransomware identifizieren.
duziert werden können. Typische Ransomware-Angriffe beginnen häufig unauffäl-
lig damit, dass ein Nutzer eine E-Mail mit einem Anhang er-
Die Auswertung aller Endpoint-Daten in einem Netzwerk hält, meist ein Word-Dokument. Der Anwender öffnet dieses
lässt Rückschlüsse auf die Validität einzelner Abläufe zu. Eine und wird aufgefordert, enthaltene Makros auszuführen. Tut
genaue Erfassung von alltäglichen Vorgängen wie das Kopie- er dies, verschlüsselt eine exe-Datei alle Daten, auf die sie zu-
ren von Dateien, User-Zugriffe auf bestimmte Bereiche im greifen kann, Lösegeldforderungen folgen.
Netzwerk oder aber auch An- und Abmeldungen von Anwen-
dern erlaubt bei entsprechender Auswertung ein Herausfil- Eine Endpoint-Detection-and-Response-Lösung macht
tern bösartiger Aktivitäten. Verantwortliche hierauf aufmerksam. Mit nur wenigen Klicks
können diese dann in Erfahrung bringen, welche Rechner und
EDR-Lösungen ersetzen dabei keine Endpoint-Protection- Laufwerke vom Angriff betroffen sind und wann und wo eine
oder Antiviren-Lösungen, sondern ergänzen sie um eine bestimmte Datei ausgeführt wurde. Die Infektion lässt sich so
wichtige Komponente: die Erkennung von Verhaltensano- bis zu ihrem Ursprung zurückverfolgen.
malien, die im Krankenhausnetzwerk und auch auf den End-
points auftreten. Diese Erkennung basiert auf vordefinierten In der Praxis sieht die Lösung etwa wie folgt aus:
Regeln in einem medizinischen Rechnerverbund, die alle lega-
len Aktivitäten abbilden. Basierend auf diesen Angaben ana- Mithilfe umfassend konfigurierbarer Regeln werden
lysiert die EDR-Anwendung die Datenströme. Darüber hi- Anwendungen erkannt, die aus temporären Ordnern
naus werden auch Informationen der eingesetzten Endpoint ausgeführt werden.
Protection in die Bewertung einbezogen. Der Faktor Zeit ent- Ebenso lassen sich für Office-Dateien Regeln festlegen,
scheidet immer öfter, ob Cyberkriminelle Erfolg haben oder sobald diese versuchen, zusätzliche Skripte oder „.exe“
nicht. Daher ist es extrem wichtig, dass alle Bewertungen von auszuführen.
Prozessen, Downloads oder Dateiveränderungen möglichst Werden Dateinamen, die für Ransomware typisch sind,
in Echtzeit erfolgen. Nur so kann eine Gefahr so schnell wie auf einem Gerät erkannt, wird ebenfalls Alarm ausgelöst.
möglich erkannt und ausgeschaltet werden.
Fazit
„Enlarged Endpoint Detection and Response“
mit Cloud Sandboxing EDR-Systeme helfen Kliniken, alle verbundenen Geräte
im Blick zu behalten und im Gefahrenfall Anwendungen oder
Das Netzwerk von Krankenhäusern ist täglich mit einer Rechner schnell zu blockieren. Der detaillierte Einblick in die
Vielzahl unbekannter Dateien von extern konfrontiert. Da- Vorgänge im Netzwerk ermöglicht zudem, Probleme nachzu-
mit Schadcode erst gar nicht eindringen kann, empfehlen vollziehen und zu verstehen sowie in Zukunft zu verhindern.
Security-Experten das sogenannte Cloud Sandboxing als Er- Im Moment haben nur Premiumhersteller von IT-Sicherheits-
weiterung von EDR. Solche Software-Lösungen nutzen das lösungen EDR-Lösungen im Portfolio und können auf aktive
Sandbox-Verfahren auf Hersteller-Servern, um neue, bisher Nutzer verweisen. Aufgrund der Komplexität von Endpoint De-
unbekannte Gefahren zu identifizieren. Suspekter und po- tection and Response nutzen bislang eher Konzerne oder Groß-
tenziell gefährlicher Binärcode – das könnten beispielswei- kliniken solche Lösungen. Denn diese besitzen eigene IT-Abtei-
se Ransomware, Advanced Persistent Threats und Zero Day lungen mit entsprechenden Ressourcen und entsprechendem
Exploits sein – wird in einer gesicherten Umgebung in der Know-how. Immer mehr Systemhäuser und IT-Fachhändler
Cloud ausgeführt. Dort überprüft ein Mix aus verschiedens- kommen mit EDR als Dienstleistung auf den Markt und ad-
ten Sensoren, statischer Codeanalyse, Machine Learning und ressieren ganz gezielt den Mittelstand beziehungsweise mit-
verhaltensbasierten Analysen die Datei. Bei negativem Befund telgroße kleinere Krankenhäuser. n
wird sie zurück ins Netzwerk geschickt, verdächtige Dateien
können gelöscht oder in Quarantäne gesetzt werden. Dieses
Verfahren ist prädestiniert für die Überprüfung von E-Mails,
die nach wie vor als größtes Schlupfloch für Malware gelten.
Im Vergleich zu herkömmlichen Endpoint-Lösungen besitzt Michael Klatte,
Sandboxing ein weitaus größeres Spektrum an Technologien, IT-Journalist und PR-Manager DACH,
ESET Deutschland GmbH
um potenziell gefährliche Dateien zu erkennen.
SPECIAL_1/2022 IT-SICHERHEIT IM KRANKENHAUS 19
