Spitäler sind ein leichtes Ziel für Hacker

Publiziert

In einem Spital herrschen die wohl schwierigsten Bedingungen für die IT, die man sich vorstellen kann: Öffentlich zugängliche Bereiche, Schichtbetrieb, hohe Fluktuation der Mitarbeitenden, zertifizierte Gerätschaften mit bekannten Sicherheitslücken und zunehmender politischer Druck aufs Gesamtbudget. Das eröffnet Hackern ein Paradies für mögliche Angriffsziele. Wir zeigen Ihnen aus unserem Alltag greifbare Ansätze, um es Hackern ein ganzes Stück schwieriger zu machen.

Wir werden normalerweise gerufen, bevor etwas passiert. Als Ethical Hacker gehen wir zu Kunden und prüfen die unterschiedlichsten Umgebungen. Getestet werden Programme, Computer, Server, ganze Netzwerke und sogar die Mitarbeitenden. Dabei simulieren wir realistische Angriffe auf die Umgebung, finden dadurch Sicherheitslücken und fassen diese in einem Bericht zusammen. So können diese geschlossen werden, bevor ein böswilliger Hacker diese für seine Zwecke ausnutzt.

Hacker nutzen Gutgläubigkeit und Neugier

In unserem eigenen Labor kultivieren wir digitale Virenstämme. Viren hören sich erst mal an wie ein Erreger für Computererkrankungen, doch sie sind nichts anderes als kleine Programme, die von Weitem betrachtet eigentlich ganz harmlos aussehen. Ein Hacker nutzt neben technischen Sicherheitslücken auch die Gutgläubigkeit und Neugier seiner Opfer aus, um sie hinterlistig dazu zu bringen, diese schädlichen Programme auszuführen. Über diesen Weg bekommt er Zugriff auf den Computer und kann so Informationen entwenden oder den Computer fernsteuern. Testweise tun wir das auch mit den Computern unserer Kunden.

Backups und Virenscanner gegen Trojaner

Wie die Grippe, kommen auch Angriffe in Wellen. Seit geraumer Zeit sehr beliebt bei Kriminellen sind Verschlüsselungs-Trojaner. Wie der Name schon sagt, verschlüsseln sie so viele Daten wie möglich und verlangen dann Lösegeld - bezahlbar über digitale Währungen. Über die Verschlüsselung hinaus richten diese lästigen Programme in der Regel nur geringen Schaden an. Mit regelmässigen Backups Ihrer Daten und Updates der Systeme und Virenscanner kann man diesem Problem entgegenwirken und hat im Ernstfall eine Sicherungskopie bereit.

IT-Sicherheit darf kein Tabuthema sein

Tabuthemen anzusprechen ist eine Frage der Kultur. Gerade beim Thema Sicherheitsbewusstsein sprechen wir immer von einer «Sicherheitskultur». Wenn Mitarbeitende einen Verdacht haben,  muss dieser von der IT ernst und dankbar entgegengenommen werden. Ansonsten werden sich die Mitarbeitenden künftig mehrfach überlegen, ob sie ihren Ver-dacht nun melden sollen oder nicht. Das Gleiche gilt, wenn jemand einen Fehler macht und beispielsweise auf eine Phishing-Mail hereinfällt. Wird die Person bestraft, verheimlicht sie das Missgeschick beim nächsten Mal – und die Kolleginnen und Kollegen werden das Gleiche tun. IT-Sicherheit darf kein Tabuthema sein. Man soll offen darüber sprechen, be-stehende Lösungen hinterfragen und vor allem mit gutem Beispiel vorangehen.

Gefahr durch USB-Sticks und Netzwerkdosen

Die Übertragungswege von digitalen Viren sind vielfältig. Die Angreifer verschaffen sich nicht ausschliesslich über E-Mail und Browser Zugang. Es gibt USB Sticks, die automatisch Schadprogramme auf nicht gesperrten Geräten installieren. Dazu muss ein Hacker nur den richtigen Moment abwarten, den Stick am Gerät einstecken und wenige Sekunden später hat dieser über eine virtuelle Tastatur den Schadcode installiert. Alternativ werden öffentlich zugängliche Netzwerkdosen verwendet. Oft gewähren diese den direkten Zugang ins Netzwerk. Die Virulenz eines Cyber-Ebola ist einzigartig. Aufgrund der stetigen Verbesserung der Antiviren-Produkte sind die Angreifer je länger je mehr ge-zwungen, spezifischen Schadcode für Angriffe zu erstellen. Das heisst, eine Mutation eines bekannten trojanischen Pferdes zu erstellen, wofür noch kein Gegenmittel vorhanden ist. Bekommt der Angreifende damit Zugriff, startet er seine Erkundungsphase vom infizierten Computer aus. Im schlimmsten Fall hat der betroffene Benutzer administrative Rechte und es ist ein Leichtes, damit Informationen zu entwenden und auf andere Computer zuzugreifen. Oft finden wir auf unseren Erkundungstouren durch fremde Netze, Passwörter auf geteilten Laufwerken. Hin und wieder profitieren wir auch davon, dass die IT Administra-toren mit ihren Zugangsdaten direkt auf Computer zugreifen und wir uns damit selbst als Administrator ausgeben kön-nen. Generell kann man sagen, je mehr Rechte, desto interessanter das Ziel.

Vorsicht bei Standardeinstellungen

Isolationsräume schränken die Ausbreitung ein. Sind Angreifer einmal im internen Netz, können sie mit einfachen Mitteln weitere Server und Dienste finden. Durch den Einsatz von Firewalls kann der Aktionsradius eines Angreifers jedoch effektiv eingeschränkt werden. Dies bewirkt nicht nur eine langfristig erhöhte Sicherheit, sondern resultiert auch in besserer Wartbarkeit des Netzwerks. Individuelle Behandlungsmethoden sind effizienter. Werden neue Komponenten in einem Netzwerk in Betrieb genommen, vertraut man gerne auf die Standardeinstellungen des Herstellers. Doch diese sind meistens nicht auf Sicherheit ausgelegt, sondern dafür konzipiert, in den vielen unterschiedlichen Umgebungen möglichst wenig Probleme zu verursachen. Ausserdem werden Standardeinstellungen aus Kompatibilitätsgründen nur sehr ungern gewechselt, weshalb es sich auch bei bestehenden Produkten empfiehlt, gelegentlich die Einstellungen durchzugehen und auf heutige Bedürfnisse und Standards anzupassen. Das Bewusstsein über die unterschiedlichen Einstellungen erhöht das Verständnis der Systeme und deren Interaktion.

Die wichtigsten Sicherheitstipps:

  • Das ABC der IT Security: Prävention, Detektion, Reaktion. Die Angriffe erfolgen heute in der Regel gegen den Computer eines Mitarbeitenden. Versuchen Sie die Computer möglichst gut gegen externen Einfluss zu schützen. Filtern Sie Schadcodes in Mails und beim Surfen, detektieren Sie Angriffe auf den Computern und im Netzwerk mit Schutzprogrammen und: Haben Sie einen Plan für den Fall der Fälle.
  • Entwickeln Sie eine Sicherheitskultur. Sprechen Sie über IT Sicher-heit und hinterfragen Sie bestehende Lösungen. Nehmen Sie Bedenken und Probleme Ihrer Mitarbeitenden ernst und seien Sie dankbar, dass Sie gemeldet werden. Wo gearbeitet wird, passieren Fehler.
  • Vergeben Sie nur die allernötigsten Rechte. Benutzer mit vielen Rechten stellen ein wertvolles Ziel bei einem Angriff dar. Reduzieren Sie Zugriffe zwischen Netzen. Ein Computer aus dem HR muss nicht zwingend Zugriff auf Daten aus der Radiologie haben.
  • Regelmässige Backups und Updates.
    Im Ernstfall verlieren Sie nur Zeit. Backups wiederherzustellen, sollte jedoch im Vorfeld geübt werden. Übrigens: Systeme, die regel-mässig aktualisiert werden, sind auch in Zukunft leichter zu aktualisieren, da weniger Änderungen vorgenommen werden.
  • Misstrauen Sie dem Bildschirm und den Displays und sichern Sie Schnittstellen. Daten, die Ihnen ungefragt zugespielt werden, auch von vermeintlich vertrauenswürdigen Quellen, können infiziert sein. Angreifer schicken SMS und E-Mails mit gefälschtem Absender. Das ist für ein Profi etwa so einfach, wie wenn Sie einen Brief mit falschem Absender verfassen müssten. Auch die Anzeige von Telefonnummern kann manipuliert werden. Schützen Sie zudem öffentlich zugängliche Schnittstellen wie USB- und Netzwerkanschlüsse.
  • Passwörter sind Privatsache.
    Passwörter sollen nie ausgesprochen oder aufgeschrieben werden. Weder auf einer Heftnotiz unter der Tastatur, noch in einer gemeinsamen Excel-Tabelle. Verwenden Sie für jeden Dienst und jedes Gerät ein anderes Passwort. Etablieren Sie dafür einen digitalen Passwort-Safe.

Fabio Poloni ist gelernter Informatiker und spezialisiert auf IT Sicherheit,  Notfallunterstützung und digitale Forensik. Für seine Arbeitgeberin Compass Security hackt er sich auf Kundenwunsch in Applikationen und Netzwerke, veröffentlicht gefundene Schwachstellen, löst Hacker-Rätsel  und hält Vorträge zum Thema Ethical Hacking.

 

EVENTS

Heimtextil

Weltweit führenden Fachmesse für Wohn- und Objekttextilien

Datum: 07. - 10. Januar 2020

Ort: Frankfurt (D)

FutureHealth

REDESIGNING HEALTHCARE.

Datum: 28. Januar 2020

Ort: Basel (CH)

Pro Sweet Cologne

Internationale Zuliefermesse für Süsswaren- und Snackindustrie

Datum: 02. - 05. Februar 2020

Ort: Köln (D)

aqua pro gaz

DIE SCHWEIZER MESSE DER TRINKWASSER-, ABWASSER- UND GASFACHLEUTES

Datum: 05. - 07. Februar 2020

Ort: Bulle (CH)

Solids Schweiz

Schweizer Fachmesse für Pulver-, Granulat- und Schüttguttechnologien

Datum: 12. - 13. Februar 2020

Ort: Zürich (CH)

BioFach

Weltleitmesse für Bio-Lebensmittel

Datum: 12. - 15. Februar 2020

Ort: Nürnberg (D)

Vivaness

Internationale Fachmesse für Naturkosmetik

Datum: 12. - 15. Februar 2020

Ort: Nürnberg (D)

Ostschweizer Food Forum

Genuss im Wandel - Zwischen Generationen, Grenzen, Gesellschaften und Geschäftsmodellen

Datum: 05. März 2020

Ort: Olma Halle 9.0, St. Gallen (CH)

Swiss eHealth Forum

Forum mit dem Thema Integrierte Versorgungsmodelle-Rahmen, Erfolgsfaktoren und Umsetzung

Datum: 05. - 06. März 2020

Ort: Bern (CH)

LogiMat

Internationale Fachmesse für Intralogistik

Datum: 10. - 12. März 2020

Ort: Stuttgart (D)

14. Schweizer Planertag

Treffpunkt der Planer, Ingenieure und Installateure

Datum: 10. März 2020

Ort: Campussaal Brugg (CH)

AM Expo

Formen und Bauteile aus dem Drucker

Datum: 03. - 04. März 2020

Ort: Luzern (CH)

INTERNORGA

Leitmesse für den Ausser-Haus-Markt

Datum: 13. - 17. März 2020

Ort: Hamburg (D)

LOPEC

International führende Fachmesse mit Kongress für Gedruckte Elektronik

Datum: 24. - 26. März 2020

Ort: München (D)

Altenpflegemesse

Leitmesse für die Pflegewirtschaft

Datum: 24. - 26. März 2020

Ort: Hannover (D)

Trendtage Gesundheit Luzern

Die TGL sind die führende nationale Plattform für Trends und Perspektiven im Gesundheitswesen.

Datum: 25. - 26. März 2020

Ort: Luzern (CH)

Personal Swiss

Fachmesse für HRM, trainings to business und Corporate Health

Datum: 31. März - 01. April 2020

Ort: Zürich (CH)

MedTech Summit

Kongress technologie- und marktrelevanten Themen aus der Medizintechnik- und Gesundheitsbranche

Datum: 31. März - 02. April 2020

Ort: Nürnberg (D)

Medtec Live

ein Joint Venture der MT-CONNECT und Medtec Europe

Datum: 31. März - 02. April 2020

Ort: Nürnberg (D)

Hannover Messe

Weltleitmesse der Industrie

Datum: 20. - 24. April 2020

Ort: Hannover (D)

Lebensmitteltag

Die führende schweizerische Lebensmittelfachtagung von bio.inspecta und SQS

Datum: 02. April 2020

Ort: Luzern (CH)

Empack Schweiz

The Future of Packaging Technology

Datum: 22. - 23. April 2020

Ort: Zürich (CH)

CEMAT

Internationale Ausstellung für Material Handling und Logistik

Datum: 20. - 24. April 2020

Ort: Hannover (D)

analytica

Leitmesse für Labortechnik, Analytik, Biotechnologie und analytica conference

Datum: 21. - 24. April 2020

Ort: München (D)

Control

Internationale Fachmesse für Qualitätssicherung

Datum: 05. - 08. Mai 2020

Ort: Stuttgart (D)

interpack

Führende Messe für Prozesse und Verpackung

Datum: 07. - 13. Mai 2020

Ort: Düsseldorf (D)

T4M

Die neue Messe für Medizintechnik in Stuttgart.

Datum: 05. - 07. Mai 2020

Ort: Stuttgart (D)

PFLEGE PLUS

Die Fachmesse PFLEGE PLUS bringt Fachbesucher mit ausstellenden Unternehmen, Branchenverbände sowie Experten des Pflegemarkts zusammen.

Datum: 26. - 28. Mai 2020

Ort: Stuttgart (D)

ArbeitsSicherheitSchweiz

Fachmesse für Arbeitssicherheit, Gesundheitsschutz & Gesundheitsförderung am Arbeitsplatz

Datum: 26. - 28. Mai 2020

Ort: Bern (CH)

Automatica

Leitmesse für intelligente Automation und Robotik

Datum: 16. - 19. Juni 2020

Ort: München (D)

POWTECH

Pharma.Manufacturing.Excellence

Datum: 29. September - 01. Oktober 2020

Ort: Nürnberg (D)

Ilmac Lausanne

Networking. Forum. Aussteller

Datum: 07. - 08. Oktober 2020

Ort: Lausanne (CH)

Chillventa

Fachmesse für Energieeffizienz

Datum: 13. - 15. Oktober 2020

Ort: Nürnberg (D)

Ifas

Fachmesse für Gesundheitsmarkt

Datum: 20. - 23. Oktober 2020

Ort: Zürich (CH)

SIAL

Fachmesse für Nahrungsmittel-Innovationen

Datum: 18. - 22. Oktober 2020

Ort: Paris (F)

ZAGG

Schweizer Fachmesse für Gastgewerbe, Hotellerie & Gemeinschaftsgastronomie Luzern

Datum: 18. - 21. Oktober 2020

Ort: Luzern (CH)

all4pack Paris

The global marketplace for Packaging Processing Printing Handling

Datum: 23. - 26. November 2020

Ort: Paris (F)

Pumps & Valves

Fachmesse für Pumpen- und Ventiltechnik

Datum: 10. - 11. Februar 2021

Ort: Zürich (CH)

Anuga FoodTec

Internationale Zuliefermesse für die Lebensmittel-und Getränkeindustrie

Datum: 23. - 26. März 2021

Ort: Köln (D)

Achema

Internationale Leitmesse der Prozessindustrie

Datum: 14. - 18. Juni 2021

Ort: Frankfurt am Main (D)

FBK

Schweizer Fachmesse für Bäckerei-, Konditorei- und Confiseriebedarf

Datum: 20. - 23. Juni 2021

Ort: Bern (CH)

JOBS

Datum: 13.12. 2019Ort: Zürich
Datum: 12.12. 2019Ort: Zürich
Datum: 12.12. 2019Ort: Zürich
Datum: 12.12. 2019Ort: Zürich
Datum: 12.12. 2019Ort: Zürich
Datum: 11.12. 2019Ort: Zürich
Datum: 11.12. 2019Ort: Zürich
Datum: 11.12. 2019Ort: Zürich
Datum: 10.12. 2019Ort: Zürich
Datum: 10.12. 2019Ort: Zürich
Datum: 10.12. 2019Ort: Zürich
Datum: 10.12. 2019Ort: Münchenstein
Datum: 10.12. 2019Ort: Zürich
Datum: 09.12. 2019Ort: Zürich
Datum: 09.12. 2019Ort: Bellikon
Datum: 07.12. 2019Ort: Sarnen
Datum: 07.12. 2019Ort: Zürich
Datum: 07.12. 2019Ort: Zürich
Datum: 06.12. 2019Ort: Sarnen
Datum: 06.12. 2019Ort: Zürich
Datum: 06.12. 2019Ort: Zürich
Datum: 06.12. 2019Ort: Münsingen
Datum: 05.12. 2019Ort: Zürich
Datum: 05.12. 2019Ort: Bellikon
Datum: 05.12. 2019Ort: Zürich
Datum: 05.12. 2019Ort: Zürich
Datum: 05.12. 2019Ort: Zürich
Datum: 05.12. 2019Ort: Zürich
Datum: 05.12. 2019Ort: Zürich
Datum: 05.12. 2019Ort: Bern
Datum: 04.12. 2019Ort: Zürich
Datum: 04.12. 2019Ort: Zürich
Datum: 04.12. 2019Ort: Zürich
Datum: 04.12. 2019Ort: Basel
Datum: 04.12. 2019Ort: Basel
Datum: 04.12. 2019Ort: Basel
Datum: 04.12. 2019Ort: Basel
Datum: 04.12. 2019Ort: Bellikon
Datum: 04.12. 2019Ort: Oetwil am See
Datum: 04.12. 2019Ort: Zürich
Datum: 04.12. 2019Ort: Zürich
Datum: 04.12. 2019Ort: Lausanne
Datum: 04.12. 2019Ort: Bern
Datum: 04.12. 2019Ort: Aarau
Datum: 04.12. 2019Ort: Bern
Datum: 03.12. 2019Ort: Bellikon
Datum: 03.12. 2019Ort: Basel
Datum: 03.12. 2019Ort: Bellikon
Datum: 03.12. 2019Ort: Bellikon
Datum: 03.12. 2019Ort: Zürich
Datum: 03.12. 2019Ort: Zürich
Datum: 03.12. 2019Ort: Zürich
Datum: 03.12. 2019Ort: Luzern
Datum: 03.12. 2019Ort: Luzern
Datum: 02.12. 2019Ort: Münsingen
Datum: 02.12. 2019Ort: Muri
Datum: 29.11. 2019Ort: Zürich
Datum: 29.11. 2019Ort: Zürich
Datum: 29.11. 2019Ort: Zürich
Datum: 29.11. 2019Ort: Zürich
Datum: 28.11. 2019Ort: Zürich
Datum: 28.11. 2019Ort: Zug
Datum: 28.11. 2019Ort: Schwyz
Datum: 28.11. 2019Ort: Muri
Datum: 28.11. 2019Ort: Oetwil am See
Datum: 28.11. 2019Ort: Luzern
Datum: 28.11. 2019Ort: Baar
Datum: 27.11. 2019Ort: Oetwil am See
Datum: 27.11. 2019Ort: Bern
Datum: 27.11. 2019Ort: Zürich
Datum: 27.11. 2019Ort: Zürich
Datum: 27.11. 2019Ort: Lausanne
Datum: 27.11. 2019Ort: St. Gallen
Datum: 27.11. 2019Ort: Liestal
Datum: 26.11. 2019Ort: Basel
Datum: 26.11. 2019Ort: Zürich
Datum: 25.11. 2019Ort: Zürich
Datum: 25.11. 2019Ort: Zürich
Datum: 25.11. 2019Ort: Bellikon
Datum: 25.11. 2019Ort: Bellikon
Datum: 25.11. 2019Ort: Zürich
Datum: 25.11. 2019Ort: Basel
Datum: 25.11. 2019Ort: Zürich
Datum: 25.11. 2019Ort: St. Gallen
Datum: 25.11. 2019Ort: Zürich
Datum: 23.11. 2019Ort: Aarau
Datum: 22.11. 2019Ort: Basel
Datum: 22.11. 2019Ort: Oetwil am See
Datum: 22.11. 2019Ort: Oetwil am See
Datum: 22.11. 2019Ort: Oetwil am See
Datum: 22.11. 2019Ort: Oetwil am See
Datum: 22.11. 2019Ort: Oetwil am See
Datum: 21.11. 2019Ort: Bellikon
Datum: 21.11. 2019Ort: Zürich
Datum: 21.11. 2019Ort: Zürich
Datum: 21.11. 2019Ort: Zürich
Datum: 21.11. 2019Ort: Zürich
Datum: 21.11. 2019Ort: Zürich
Datum: 20.11. 2019Ort: Zürich
Datum: 20.11. 2019Ort: Zürich
Datum: 20.11. 2019Ort: Münchenstein
Datum: 20.11. 2019Ort: Münchenstein
Datum: 20.11. 2019Ort: Münchenstein
Datum: 19.11. 2019Ort: Zürich
Datum: 19.11. 2019Ort: Zürich
Datum: 19.11. 2019Ort: Baar
Datum: 19.11. 2019Ort: Zürich
Datum: 19.11. 2019Ort: Bern
Datum: 19.11. 2019Ort: Zürich
Datum: 19.11. 2019Ort: Luzern
Datum: 19.11. 2019Ort: Luzern
Datum: 19.11. 2019Ort: Luzern
Datum: 19.11. 2019Ort: Zürich
Datum: 18.11. 2019Ort: Zürich
Datum: 18.11. 2019Ort: Zürich
Datum: 18.11. 2019Ort: Zürich
Datum: 18.11. 2019Ort: Arlesheim
Datum: 18.11. 2019Ort: Zürich
Datum: 18.11. 2019Ort: Zürich
Datum: 18.11. 2019Ort: Zürich
Datum: 18.11. 2019Ort: Zürich
Datum: 17.11. 2019Ort: Zürich
Datum: 17.11. 2019Ort: Zürich
Datum: 17.11. 2019Ort: Basel
Datum: 15.11. 2019Ort: Sarnen
Datum: 15.11. 2019Ort: Zürich
Datum: 15.11. 2019Ort: Zürich
Datum: 15.11. 2019Ort: Liestal
Datum: 15.11. 2019Ort: Zürich
Datum: 14.11. 2019Ort: Zürich
Datum: 14.11. 2019Ort: Luzern
Datum: 12.11. 2019Ort: Littenheid
Datum: 08.11. 2019Ort: Oetwil am See
Datum: 08.11. 2019Ort: Littenheid
Datum: 07.11. 2019Ort: Burgdorf
Datum: 02.11. 2019Ort: Zürich
Datum: 02.11. 2019Ort: Zürich
Datum: 31.10. 2019Ort: Baden
Datum: 31.10. 2019Ort: Muri
Datum: 30.10. 2019Ort: Bad Zurzach
Datum: 30.10. 2019Ort: Zürich
Datum: 28.10. 2019Ort: Zürich
Datum: 28.10. 2019Ort: Zürich
Datum: 28.10. 2019Ort: Zürich
Datum: 26.10. 2019Ort: Zürich
Datum: 25.10. 2019Ort: Zürich
Datum: 24.10. 2019Ort: Zürich
Datum: 24.10. 2019Ort: Zürich
Datum: 24.10. 2019Ort: Olten
Datum: 23.10. 2019Ort: Zürich
Datum: 23.10. 2019Ort: Basel
Datum: 23.10. 2019Ort: Basel
Datum: 20.10. 2019Ort: Zürich
Datum: 20.10. 2019Ort: Zürich
Datum: 20.10. 2019Ort: Zürich
Datum: 19.10. 2019Ort: Glarus
Datum: 19.10. 2019Ort: Zürich
Datum: 18.10. 2019Ort: Zürich
Datum: 18.10. 2019Ort: Zürich
Datum: 17.10. 2019Ort: Glattpark
Datum: 17.10. 2019Ort: Zürich
Datum: 16.10. 2019Ort: Winterthur

Bezugsquellenverzeichnis