Cybersecurity Bug-Bounties und Co.: Hackerin verrät 6 Tipps für höhere IT-Security

Zugehörige Themenseiten:
Datenschutz & Datensicherheit und Informationstechnik

Cyberkriminelle visieren immer öfter IT-Systeme von Kliniken an, denn Patientendaten locken mit hohen Erpressungssummen. Doch nicht alle Hacker haben Böses im Sinn. Mitglieder von Hackerone greifen Netzwerke an, um deren Sicherheitslücken zu melden – auch im Gesundheitswesen.

Von Laurie Mercer

Hochsensible Patientendaten im Gesundheitswesen spielen eine maßgebliche Rolle für alle Beteiligten. Das macht sie sehr reizvoll für kriminelle Hacker, die mit dem illegalen Verkauf der Daten viel Geld verdienen. Zudem fürchtet jede Institution einen Hackerangriff und die Forderung nach Lösegeld.

Die Gefahr besteht nicht erst seit Beginn der Pandemie. Betriebe und Einrichtungen im Gesundheitswesen rücken schon länger immer häufiger in das Visier der Cyberkriminellen. Vergangenes Jahr hatte u.a. das Klinikum Düsseldorf einen schweren Angriff auf die IT-Infrastruktur gemeldet. Was also tun als IT-Sicherheitsbeauftragter? Welche Maßnahmen kann man ergreifen, um die Infrastruktur vor kriminellen Hackern bestmöglich zu schützen?

So denken Cyberkrimielle

Wünschenswert wäre es, sich in die Köpfe der Hacker hineinzudenken, um zu erfahren wie sie arbeiten und welche Schwachstellen besonders gefährdet sind. Die Antwort darauf ist simpel, wenn man ethisch motivierte Hacker engagiert. Sogenannte White-Hat-Hacker arbeiten für den guten Zweck und suchen gezielt IT-Sicherheitslücken in Anwendungen, Websites, Apps und der IT-Infrastruktur der Unternehmen. Die Informationen leiten sie entsprechend an die zuständigen Abteilungen weiter, sodass die Schwachstellen behoben werden können, bevor sie in die Hände Krimineller gelangen. Hackerone betreibt dafür eine Vermittlungsplattform, Unternehmen erhalten durch diese Zugang zur einer der größten Hacker-Communities weltweit und können mit diesen durch Bug Bounty-, Schwachstellen-Offenlegungs- und Pentesting-Programme zusammenarbeiten.

„Wo es Geld gibt, werden Hacker folgen“

Jesse Kinser , White-Hat-Hackerin bei Hackerone, gehört ebenfalls zu denen, die IT-Infrastrukturen angreifen, um deren Sicherheit zu steigern. Tagsüber arbeitet sie als Chief Information Security Officer bei LifeOmic, ein amerikanisches Unternehmen, welches Software-as-a-Service-basierte Lösungen im Gesundheitswesen anbietet. Nachts vertieft sie ihre Skills als Hackerin für internationale Unternehmen. Sie besitzt zwar einen Master in Informatik, dennoch ist sie der Überzeugung, dass ihr wahres technisches Talent aus dem Grundsatz „Think-outside-the-box“ resultiert.

Patientendaten locken mit hohen Erpressungssummen

Kinser stellt ebenfalls fest, dass Angriffe auf Einrichtungen im Gesundheitswesen zugenommen haben. Der Grund, warum diese Institutionen ein beliebtes Angriffsziel sind, ist ihrer Ansicht nach der Wert der hochsensiblen Patientendaten. Kriminelle gehen davon aus, dass Einrichtungen im schlimmsten Fall der finanziellen Forderung nachkommen, um die Daten um jeden Preis zu schützen. „In Bezug auf Ransomware-Angriffe auf die Gesundheits- und Wellness-Branche wirkt der potenzielle finanzielle Gewinn wie das Öl im Feuer. Wo es Geld gibt, werden Hacker folgen“, erläutert Kinser.

Statistiken aus dem Hacker-powered Security Report von Hackerone zeigen, dass das traditionelle Gesundheitswesen bisher eher zögerlich moderne Security-Services wie das Nutzen von ethischen Hackern umgesetzt haben, sich allerdings immer mehr umorientieren. Und das wird immer notwendiger angesichts der voranschreitenden Digitalisierung, nicht zuletzt beschleunigt durch das Coronavirus.

Elektronische Patientenakte als Einfallstor für Hacker?

Derzeit wird in Deutschland die elektronische Gesundheitsakte zu 77 Prozent genutzt. Auch im Hinblick auf elektronische Rezepte oder Verschreibungen und andere digitale Technologien, deren Verwendung für die nahe Zukunft verpflichtend geplant ist, eröffnen sich weitere Einfallstore für kriminelle Hacker.

Und was geschieht mit der Beute? „In der Regel besteht die Gefahr, dass der Datensatz verkauft wird, um Geld von der angegriffenen Organisation zu erhalten. Wenn ein Unternehmen nicht bereit ist, für die Rückgabe der Daten zu zahlen, kann ein böswilliger Angreifer die Daten im Darkweb für einen hohen Preis verkaufen. Im Falle einer Ransomware-Attacke bleibt das betroffene System verschlüsselt, es sei denn, die Organisation zahlt das entsprechende Lösegeld, um einen Entschlüsselungscode zu erhalten, der vom Angreifer kontrolliert wird“, erklärt Kinser.

Systeme sind berechenbar, Menschen nicht

Häufig bilden ungepatchte Windows-basierte Systeme die größten Schwachstellen, speziell in Gesundheitseinrichtungen wie Krankenhäusern oder Altenheimen. Sie sind ein leichtes Einfallstor. Ein spezieller Tipp von Kinser ist, immer von einem Angriff oder einer Kompromittierung auszugehen. Jedes mit dem Internet verbundene System muss permanent und streng überwacht und gewartet werden, denn es besitzt potenziell gefährliche Schwachstellen. Die Hackerin rät also mehrere Sicherheitsebenen im System hinzuzufügen, beispielsweise Multifaktor-Authentifizierung, und moderne Methoden, wie eine Zero-Trust-Architektur (ZTA), die bei jedem Zugriff nach einer Authentifizierung verlangt. Systeme sollten diese Verantwortung übernehmen, da sie im Vergleich zum Menschen berechenbar sind.

Speziell für die Gesundheitsbranche lässt sich anhand einer Statistik von Hackerone feststellen, dass Cross-Site Scripting (XSS) und Improper Authentication die Hälfte (52 Prozent) der in diesem Bereich gemeldeten Schwachstellen darstellen. Das websiteübergreifende Skripting zielt z.B. auf einen Identitätsdiebstahl ab, indem Daten über eine gefälschte Website ungeprüft vom Browser weitergesendet werden. Improper Authentication versteht sich als nicht ordnungsgemäße Identifikation eines Benutzers.

Mitarbeiter im Homeoffice gefährden IT-Security

Auch das vermehrte Arbeiten von zu Hause schafft potenzielle neue Schwachstellen in der IT-Security. „Remote-Mitarbeiter stellen keine Bedrohung dar, wenn ihnen von ihrem Arbeitgeber gut konzipierte sichere Systeme zur Verfügung gestellt werden, um ihre Aufgaben zu erfüllen. VPNs, ein virtuelles privates Netzwerk zum anonymen Surfen, gehören der Vergangenheit an und sollten von Unternehmen nach Möglichkeit aufgegeben werden. Mitarbeitern den Zugang zu Systemen mit zeitlich befristeten Anmeldeinformationen zu ermöglichen, die pro Zugriff vergeben werden, ist sicherer und begrenzt die Angriffsfläche des Unternehmens für externe Hacker. Wenn dies erfolgreich umgesetzt werden kann, spielt es keine Rolle, von wo aus der Mitarbeiter tätig ist“, erklärt Kinser.

Wie wird man Hacker?

Jesse Kinser hat nicht nur hacken gelernt, sie beschreibt es als einen Lebensstil. „Es ist eine Denkweise, wie man an alles herangeht. Hacken bedeutet, keine Angst zu haben, Knöpfe zu drücken und zu sehen, was passiert. So lernt man, ein Hacker zu sein“, illustriert sie. Auch die Klischees haben sich in der Branche mittlerweile gewandelt, denn die meisten stellen sich einen Mann mit Kapuzenpulli im dunklen Zimmer vor. Doch es sind oft durchorganisierte kriminelle Banden, die Hacken professionell betreiben.

Kinser entspricht als Frau ebenfalls nicht diesem Stereotyp. Immer mehr Menschen mit unterschiedlichem Hintergrund, Geschlecht und unterschiedlicher Herkunft interessieren sich für das Hacken. Der Grund warum Kinser gerne mit Hackerone zusammenarbeitet, ist die breite Palette an Möglichkeiten ihre Fähigkeiten zu erweitern. Das Erlernen der Tech-Stacks und Frameworks, die die IT-Infrastruktur ausmachen, gegen die Kinser hackt, ermöglicht es ihr Reize zu setzten und persönliche Fähigkeiten weiter reifen zu lassen. Denn auch das treibt Hacker auf der ganzen Welt an: Ihre Fähigkeiten testen und die „besten Systeme“ überlisten.