Cyberkriminelle greifen das Gesundheitswesen an (aber wir können uns wehren)
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Das Gesundheitswesen könnte das nächste „große“ Schlachtfeld für Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
