von Arne Wolff (Althammer & Kill GmbH & Co. KG)
Für das vergangene Jahr gehen Statista zufolge deutsche Unternehmen von Schäden in Höhe von insgesamt rund 206 Milliarden Euro durch Datendiebstahl, Industriespionage oder Sabotage aus. Dazu kommt ein besorgniserregender Trend: Immer mehr Gesundheitseinrichtungen, kritische Infrastrukturen und NGOs (sogenannte Non-Governmental Organisations) werden Ziel von Cyberangriffen, wie der Cyber Security Report 2023 von Checkpoint bekannt gab. Demnach stieg weltweit die Zahl der Cyberangriffe in der Gesundheitsbranche 2022 im Vergleich zum Vorjahr um 78 %, mit durchschnittlich 1.426 Angriffsversuchen pro Woche.
Gefürchtet ist dabei vor allem „Ransomware“. Wenn die Backup-Strategie versagt, könnten alle Unternehmensdaten verschlüsselt und damit unerreichbar sein. Die Einrichtung oder Praxis ist den Erpressern ausgeliefert.
Erläuterung: Bei Ransomware handelt es sich um Schadsoftware, die auch unter dem Namen Verschlüsselungstrojaner bekannt ist. Die Schadsoftware verschlüsselt das befallene Gerät oder Teile davon und ein Zugriff durch den Nutzenden ist nicht mehr möglich.
Viele Führungskräfte setzen deshalb auf die Datenspeicherung in der Cloud, da diese die Ransomware-Angriffe bisher deutlich erschwert hat. In der Cloud werden die Daten auf weltweit betriebenen Servern der Anbieter gespeichert. Durch deren hohe Sicherheitsstandards, Versionierung (Versionsverwaltung) und implizite Backups wird ein gewisser Schutz sozusagen mitgeliefert.
Ransomware ist in der Cloud angekommen
Trotzdem gelingt es Hackern immer wieder, Cloud-Inhalte zu verschlüsseln. Mussten bei lokal gespeicherten Daten, sogenannten On-Premise-Lösungen, Schwachstellen durch neue Updates und Patches geschlossen und somit öffentlich gemacht werden, erfährt man von Sicherheitslücken bei Clouds oft nur davon, wenn Dritte darauf aufmerksam machen.
Und gegen Phishing-Angriffe schützen auch ausgefeilte Software-Sicherheitsmechanismen nicht. Zielen diese doch auf das größte Sicherheitsrisiko – und das ist der Faktor Mensch: Die Angreifenden verleiten Mitarbeitende über sogenanntes Social-Engineering, sensible Daten wie Passwörter weiterzugeben und besorgen sich so quasi den Schlüssel zum Schloss.
Erläuterung: Beim Social-Engineering-Angriff nutzt der Angreifende Vertrauen, Hilfsbereitschaft oder den Respekt vor Vorgesetzten von Mitarbeitenden aus, um sie zu manipulieren und vertrauliche Informationen preiszugeben. Er täuscht eine Identität vor, um an sensible Daten wie Anmelde- oder Kontoinformationen zu kommen.
Sobald sie auf einen oder mehrere Accounts zugreifen können, spähen Angreifende Dateien aus und kopieren diese. Über einfache Lösungen, wie Screenshots oder Abfotografieren des Bildschirms, können auch korrekt konfigurierte Sicherheitsmechanismen wie die „Data-Loss-Prevention“ von Microsoft 365 überwunden werden. Sobald Zugriff besteht, beginnen Cyberkriminelle damit, die Cloud-Backups über die Dokumenten-Versionierung für ihre Zwecke zu missbrauchen. Denn die Auto-Save-Funktion der Cloud speichert bearbeitete Dokumente in einem gewählten Intervall oder nach Veränderung. Sobald die vorab vom Benutzenden definierte Anzahl solcher Versionen überschritten ist, wird die älteste gelöscht. Setzen Angreifende nun die Anzahl der Versionen auf einen möglichst niedrigen Wert, verschlüsseln die Datei und speichern sie einmal zu oft, ist das Cloud-Backup nutzlos.
Wie können sich Einrichtungen gegen diese Art der Angriffe verteidigen?
Ziel muss es sein, den Schlüssel für das Schloss nicht aus der Hand zu geben. Das heißt, das größte Sicherheitsrisiko – der Faktor Mensch – ist gleichzeitig der wichtigste Schutz. Nur Mitarbeitende, die sich der Risiken bewusst sind und die regelmäßig geschult werden, können eine wirksame „Human-Firewall“ bilden.
Darüber hinaus gilt es, Sicherheitsmechanismen korrekt zu konfigurieren und auch offline regelmäßige Backups vorzuhalten. Für IT-Verantwortliche ist es zudem besonders wichtig, aktuelle Angriffsszenarien dauerhaft im Blick zu behalten und das Risiko für die eigene Organisation zu bewerten.
Welche Daten gehören nicht in die Cloud?
Viele Einrichtungen der Gesundheits- und Pflegebranche betreiben ihre IT-Infrastruktur noch lokal in den eigenen Räumen. Dabei bleiben die Daten und Informationen in der eigenen Datenhoheit. Werden nun aber z. B. Microsoft-365-Produkte (MS SharePoint, MS Teams) oder spezielle Fachanwendungen auch in der Cloud genutzt, landen Informationen und Daten plötzlich ebenfalls dort.
Deshalb ist es wichtig, solche Umstellungen niemals unbedacht umzusetzen, sondern zunächst genau hinzuschauen. Denn jede Organisation hat Geschäftsgeheimnisse und personenbezogene Daten gemäß „Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG)“ bzw. DSGVO, DSG-EKD oder DSG-KDG zu verarbeiten. Die sensiblen Informationen und Daten bedürfen eines entsprechenden Schutzes, damit nur diejenigen Personen sie einsehen und verarbeiten können, die dafür autorisiert sind.
Im ersten Schritt hilft ein Datenklassifizierungskonzept. Darüber wird geregelt, welche Daten wo gespeichert werden und wie mit ihnen umzugehen ist – unter Berücksichtigung rechtlicher Vorgaben sowie der Anforderungen der Träger.
Aus dem Datenklassifizierungskonzept ergeben sich dann technische und organisatorische Maßnahmen, die Informationen und Daten, die gegebenenfalls zukünftig in der Cloud gespeichert und verarbeitet werden, den erforderlichen Schutz angedeihen lassen.
Der Artikel ist in der Ausgabe 01/2024 zu finden.