In der Corona-Krise mussten viele Unternehmen im Eiltempo Home Office-Arbeitsplätze einrichten. Die Security blieb dabei oft auf der Strecke. Höchste Zeit, Versäumnisse nachzuholen. Denn im Heimnetzwerk lauern viele Schwachstellen. Die Greenbone Managed Service Plattform (GMSP) hilft dabei, sie aufzuspüren und zu schließen.
Auch wenn wir langsam zur Normalität zurückkehren, werden Home Office-Arbeitsplätze künftig eine größere Rolle spielen. Viele Unternehmen haben erkannt, dass arbeiten zu Hause möglich ist und durchaus Vorteile mit sich bringt. Vor allem aber haben wir alle aus der Pandemie gelernt, wie wichtig es ist, im Krisenfall handlungsfähig zu bleiben. Mitte März musste alles schnell-schnell gehen. Doch jetzt, wo wieder mehr Ruhe einkehrt, sollten Unternehmen Sicherheitslücken schleunigst schließen. Denn sonst haben Cyberkriminelle leichtes Spiel.
Was ist eigentlich das Problematische an der Home Office-Situation? Wenn man Firmen-Laptops plötzlich ins Heimnetzwerk verlegt, reißt man sie aus einer gut abgesicherten Umgebung und macht sie angreifbar. Gewohnte Security-Mechanismen wie Firewalls und Virenscanner fehlen hier. Deshalb ist es wichtig Systemkonfigurationen und Nutzerberechtigungen an die veränderten Bedingungen anzupassen. Was im Firmennetz erlaubt ist, darf nicht eins zu eins ins Home Office übertragen werden. Zum Beispiel Download-Rechte: Lädt ein Mitarbeiter im Büro eine Datei herunter, wird sie vorab von der Firewall gefiltert – im Heimnetzwerk dagegen nicht. Handelt es sich um Malware, kann sie den Rechner ungestört infizieren. Unbedingt prüfen sollten Administratoren auch die Konfiguration des VPN-Clients, über den sich der Mitarbeiter mit dem Unternehmensnetz verbindet. Denn manche Clients sind so eingerichtet, dass sie nur ausgewählten Datenverkehr über die Unternehmens-Infrastruktur leiten. Reine Internet-Anfragen, zum Beispiel an bekannte öffentliche Dienste, gehen dagegen direkt an einen Server im Internet und damit an der Firewall vorbei.
Viele leichte Angriffsziele
Ein weiteres Risiko stellen die Systeme dar, von denen das Firmen-Notebook im Home Office umgeben ist. Das können zum Beispiel Computer von Familienangehörigen oder Smart-TVs sein. Häufig sind sie ungepatcht und veraltet. Denn wer installiert im privaten Umfeld schon sorgfältig jedes Update? Für Cyberkriminelle sind solche Geräte ein leichtes Ziel. Einmal gekapert, können die Hacker von dort aus andere Systeme im selben Netzwerk kompromittieren und sogar bis ins Unternehmensnetz vordringen. Ob sich ein Angriff lohnt, können sie meist ganz einfach erkennen. Vielleicht stand in der Lokalzeitung, dass Firma XY ihre Mitarbeiter ins Home Office geschickt hat. Oder es ist bereits ein Familien-Computer mit einer Spionage-Malware infiziert. Ein solcher Trojaner scannt seine Umgebung kontinuierlich und meldet, wenn neue Systeme hinzukommen. Der Hacker kann dann anhand des Systemnamens erkennen, dass es sich um ein Unternehmens-Laptop handelt, und weitere Schritte planen.
Hacker nutzen die Krise aus
Gerade in Zeiten von Corona haben es Cyberkriminelle leicht, Opfer auszutricksen und Malware einzuschleusen. Denn die Menschen sind verunsichert und fallen dadurch leichter auf Betrüger herein. Eine besonders beliebte Angriffsmethode ist Phishing. So versuchten Hacker zum Beispiel verstärkt, Anwender auf vermeintliche Corona-Informationsseiten zu locken und dort zum Download gefährlicher Dateien zu bewegen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nahm die Zahl der Corona-bezogenen Domain-Registrierungen exponentiell zu – wohl auch im Hinblick auf kriminelle Aktivitäten. Eine andere Masche könnte sein, dass sich ein Hacker als Netzwerkadministrator ausgibt und einen Mitarbeiter auffordert, sein System zu aktualisieren – er müsse dafür nur den beigefügten Link anklicken. Schon installiert der arglose Nutzer einen manipulierten VPN-Client, der sämtlichen Netzwerkverkehr über den Server des Cyberkriminellen leitet.
Schwachstellen identifizieren und schließen
Eine wichtige Maßnahme, um die Sicherheit im Home Office zu erhöhen, besteht darin, Sicherheitslücken aufzudecken und zu schließen. Viele Unternehmen betreiben schon Schwachstellenmanagement in ihrer internen Infrastruktur. Mit der GMSP von Greenbone lässt sich dies ganz einfach auf die Home-Office-Umgebung ausweiten. Der Cloud Service scannt alle im Netzwerk angeschlossenen Systeme auf Sicherheitslücken, zum Beispiel fehlende Patches oder unsichere Konfigurationen. Anschließend bewertet er die Funde nach Risiko und schlägt Methoden zur Minderung vor. Um ein Home Office-Netzwerk in das Vulnerability Management einzubinden, müssen Kunden lediglich ein neues Gateway auf der Plattform anlegen. Anschließend erhält der jeweilige Mitarbeiter einen Download-Link, installiert das Gateway und startet den Scan. Abgerechnet wird nach Zahl der gescannten IP-Adressen. Wenn das Unternehmen die GMSP bereits intern nutzt, fallen für das Home Office Gateway keine zusätzlichen Kosten an.
Am Ende profitieren beide Seiten: der Mitarbeiter und das Unternehmen. Der Mitarbeiter kann sein Heimnetzwerk mit einer professionellen Lösung auf Schwachstellen scannen und so die Cyber Security bei sich zu Hause erhöhen. Das Unternehmen gewinnt mehr Transparenz über die erweiterte Angriffsfläche, kann bestehende Sicherheitslücken schließen und sich resilienter gegen Cyberangriffe machen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2020-06-29 14:27:472020-06-29 14:27:47Schwachstellen-Management im Home Office
Cyber Resilience ist in aller Munde – Medien, Unternehmen, Hersteller und auch Regierungen diskutieren über diesen Nachfolger der klassischen IT Security mit wachsender Intensität. Doch was verbirgt sich hinter dem Konzept genau und wie können es Unternehmen umsetzen beziehungsweise was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen sind wir bei Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Die Ergebnisse liegen nun in einem 52-seitigen Berichtsband vor.
Die Zukunft der IT Security heißt Cyber Resilience, das wird immer mehr Verantwortlichen bewusst. Angesichts zunehmend aggressiverer Hacker-Strategien und steigender Technologiekomplexität können sie nicht länger darauf vertrauen, dass der IT-Security-Schutzwall um ihre Unternehmens-IT alle Angriffe abwehrt. Früher oder später wird ein Angreifer einen Weg finden – und was dann? Dann geht es darum, den Schaden so gut wie möglich einzudämmen und die Kerngeschäftsprozesse aufrechtzuerhalten, um Kunden weiterhin mit Produkten und Dienstleistungen zu versorgen.
Kernziel der Studie: Resilienz-Merkmale identifizieren
Wir bei Greenbone beschäftigen uns schon seit mehreren Jahren intensiv mit Cyber Resilience. Was macht sie aus? Welche Dimensionen gibt es zu beachten? Vor welchen individuellen Herausforderungen stehen Unternehmen in verschiedenen Branchen dabei? Welche Best Practices haben sich bewährt? Um Antworten auf diese und noch mehr Fragen zu finden, haben wir zusammen mit dem Marktforschungsunternehmen Frost & Sullivan eine großangelegte Studie durchgeführt. Unser Grundgedanke dabei war, besonders widerstandsfähige Unternehmen zu identifizieren und anschließend zu analysieren, was diese im Vergleich zu weniger widerstandfähigen Betrieben auszeichnet. Auf diese Weise lassen sich konkrete Handlungs- und Investitionsempfehlungen ableiten – die uns nicht zuletzt auch dabei helfen, unsere bewährte Schwachstellenmanagement-Technologie weiterzuentwickeln, die wir seit Kurzem auch als Managed Service anbieten.
Zufällig entdecktes Datenleck im Gesundheitssektor verzögert Veröffentlichung
Besonderes Augenmerk legen wir dabei auf Unternehmen in kritischen Infrastrukturen (KRITIS). Denn bei Ihnen geht es nicht nur um wirtschaftliche Einbußen oder Rufschädigungen – hier sind im Extremfall Menschenleben bedroht, wenn etwa medizinische Geräte ausfallen oder die Stromversorgung für die Bevölkerung zusammenbricht. Daher wollten wir die Studienergebnisse mit Praxisbeispielen aus eben diesen KRITIS-Sektoren anreichern – und stießen bei unseren Recherchen auf ein riesiges Datenleck im Gesundheitsbereich: Millionen Patientendatensätze und damit verknüpfte medizinische Bilder waren über eine Schwachstelle der PACS-Server (Picture Archiving and Communication Systems-Server), auf denen sie gespeichert sind, frei zugänglich – auch ohne jegliche Programmierkenntnisse. Komplette Krankengeschichten, inklusive persönlichen Daten wie Name und Geburtstag des Patienten sowie Name des behandelnden Arztes, konnten vollständig ausgelesen werden.
Ein Skandal, der für uns die Veröffentlichung der Studienergebnisse erst einmal in den Hintergrund rücken ließ. In Zusammenarbeit mit dem Bayerischen Rundfunk und der US-Investigativ-Plattform ProPublica, die über unsere Recherche berichteten, und anschließend mit Behörden und IT-Security-Spezialisten rund um den Globus setzten wir uns intensiv dafür ein, den freien Zugriff auf diese Patientendaten schnellstmöglich einzuschränken. Mit nur teilweisem Erfolg: Noch immer sind etwa 400 PACS-Systeme mit dem Internet verbunden und die darauf gespeicherten Patientendaten damit für jedermann zugänglich. Daher sind wir auch weiterhin in engem Austausch mit den zuständigen Behörden. Unseren Bericht zum Patientendatenleck gibt es hier zum Download.
Preview einiger Studienergebnisse
Neben unserer Arbeit im Gesundheitssektor bezogen wir in unsere Studie auch Unternehmen aus den Bereichen Energie, Finanzen, Telekommunikation, Transport und Wasser ein. Insgesamt befragten wir 370 Organisationen mit durchschnittlich 13.500 Mitarbeitern aus den fünf größten Volkswirtschaften der Welt: den USA, Großbritannien, Frankreich, Japan und Deutschland. Aus diesem breit gefächerten Studiendesign konnten wir neben Antworten auf unsere Kernfragen einige weitere interessante Erkenntnisse gewinnen:
US-Unternehmen sind Vorreiter in Sachen Cyber Resilience
Insgesamt sind nur 36 Prozent der befragten Unternehmen in hohem Maße Cyber-resilient. Die USA schneiden mit 50 Prozent am besten ab, europäische Unternehmen liegen im Mittelfeld und japanische Organisationen bilden mit nur 22 Prozent das untere Ende der Skala.
Sektor Transport am wenigsten widerstandsfähig gegen Cyber-Angriffe
Über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet. Es folgen die Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Bei Transportunternehmen erreichen nur 22 Prozent ein hohes Niveau an Cyber Resilience.
Nicht Budget, sondern Verständnis von Geschäftsprozessen ist entscheidend
Zwar haben die von uns identifizierten Cyber-resilienten Unternehmen im Schnitt einen größeren Umsatz und ein höheres IT-Budget. Detailanalysen zeigen jedoch, dass die keinesfalls entscheidend ist. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.
Elf Merkmale, die Cyber-resiliente Unternehmen auszeichnen
In unserer Untersuchung konnten wir drei Gruppen von Merkmalen identifizieren, die die Cyber-Resilienz von Unternehmen um den Faktor zwei, drei und sechs erhöhen. Daraus haben wir eine Art „Roadmap“ entwickelt, mit der Unternehmen ihren Reifegrad erhöhen und ein hohes Maß an Cyber Resilience schaffen können.
Den vollständigen Studien-Report inklusive Roadmap können Sie hier anfragen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2020-05-25 10:34:352020-05-25 11:06:37Neue Studie zu Cyber Resilience: Was machen widerstandsfähige Unternehmen anders?
In einer Welt wachsender digitaler Komplexität und zunehmender Verankerung von vernetzter Technologie in unserem täglichen Leben versuchen Hacker und Cyberkriminelle diese Situation zu nutzen. Sie suchen aggressiv nach neuen Schwachstellen und Fehlern, die sich in dieser sich ausweitenden Angriffsfläche ergeben haben. Angriffe wie Advanced Persistent Threats und Ransomware haben an Raffinesse und Häufigkeit zugenommen, ebenso wie der Schaden, den sie Organisationen und Einzelpersonen gleichermaßen zugefügt haben.
Als Folge dieser Angriffsvektoren und dem zunehmenden Maße, in dem Organisationen auf vernetzte Technologie setzen, haben IT- Verantwortliche und Wirtschaftsführer nach einem neuen Weg gesucht, sich zu schützen. Hier spielt die Widerstandsfähigkeit dieser Digitalisierung eine entscheidende Rolle.
Vor kurzem habe ich mich mit The Sunday Times/Raconteur „zusammengesetzt“, um über den aktuellen Stand der Geschäftsrisiken und die Zunahme der Cyber Resilience zu diskutieren und was Unternehmen tun können, um wirklich widerstandsfähig zu werden. Nachstehend finden Sie einen kurzen Überblick über das, was diskutiert wurde, und den Link zum Artikel finden Sie hier:
Eine neue Art der Cybersicherheit
Der Begriff „Cyber Resilience“ ist relativ neu – für uns bedeutet er, dass Organisationen auch dann noch in der Lage sind, zu funktionieren und ihre Produkte zu erzeugen und Dienstleistungen zu erbringen, wenn sie mit einem Cyber-Zwischenfall konfrontiert werden. Viele Organisationen versuchen, cyber-resilient zu werden, doch die Mehrheit gerät ins Hintertreffen. Dies haben wir in unserer jüngsten Studie belegt, die zusammen mit Frost & Sullivan durchgeführt wurde. Nur 36% der Organisationen in sechs Schlüsselindustrien in den USA, Großbritannien, Deutschland, Frankreich und Japan habe eine hohe Cyber Resilience erreicht.
Aus dem Bericht ging auch hervor, dass es wichtiger ist zu verstehen, was die wichtigsten Vermögenswerte Ihres Unternehmens sind, als budgetäre Überlegungen. Obwohl die von uns identifizierten cyber-resilienten Organisationen sicherlich dazu tendieren, ein höheres IT-Budget zu haben, ergab die Studie, dass dies keineswegs das letzte Wort ist. Vielmehr haben wir herausgefunden, dass ein grundlegendes Verständnis und ein Bewusstsein für geschäftskritische Vermögenswerte eine weitaus wichtigere Rolle spielt, wenn Organisationen cyber-resilient sind.
Tatsächlich war es unser Kernziel mit diesem Bericht, belastbare Merkmale zu identifizieren, damit wir Unternehmen konkrete Empfehlungen geben können, wie sie ihre Cyber Resilience verbessern können. Dies wiederum wird uns helfen, unsere bewährte Technologie für das Schwachstellenmanagement weiterzuentwickeln, die wir seit kurzem auch als Managed Service anbieten.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2020-05-16 08:37:582020-05-25 11:16:25Der Weg zur Cyber Resilience
Im vergangenen Jahr hat sich einiges getan bei Greenbone: Wir haben unser Portfolio um virtuelle Maschinen ergänzt und sind neue Distributionspartnerschaften eingegangen, die uns unter anderem Nord-Amerika erschließen. In diesem Rahmen haben wir auch unsere Teams deutlich ausgebaut und suchen weiterhin nach Verstärkung. Aktuell bereiten wir den Start unserer ersten Cloud-basierten Managed Service Plattform vor. Unternehmen können unsere Technologie nun – je nach Bedarf und Anforderungen – einsetzen, als Service, als virtuelle und als physische Appliance. Unser Ziel, das wir dabei stets vor Augen haben: Angreifern immer einen Schritt voraus sein und Unternehmen aller Größen mithilfe eines effektiven Resilience & Vulnerability Managements (RVM) widerstandsfähig gegen Cyber-Attacken machen.
Der heutige Stand der Technik heißt für Unternehmen, dass sie resilient gegen Cyber-Attacken sein müssen, also auch im Falle eines erfolgreichen Angriffs betriebsfähig bleiben. Betriebsunterbrechungen und Cyber-Attacken gehören heute zu den größten Geschäftsrisiken, die ein Betrieb handhaben muss. Ein effektives Resilience & Vulnerability Management hilft da grundlegend. Um Unternehmen widerstandsfähig zu machen, bietet unsere Technologie die Einstufung der Gefahren aber auch des Aufwandes zu deren Beseitigung. Zum einen wird dabei das gesamte Netzwerk eines Unternehmens kontinuierlich auf Schwachstellen und mögliche Angriffspunkte gescannt, zum anderen werden die digitalen Risiken für kritische Geschäftsprozessen und den dazugehörigen Assets visualisiert. Durch die hochgradige Automatisierung und maximale Scan-Tiefe und -Breite etablieren wir nachhaltige Widerstandsfähigkeit.
Über den Vorteil sind sich die Unternehmen einig. Unterschiedliche Meinung herrscht jedoch darüber wie die Technologie in die eigene IT-Umgebung integriert wird. Mit Recht, denn jedes Unternehmen bringt eigene Kompetenzen und Präferenzen mit und muss Richtlinien, oft Branchen-abhängig, erfüllen.
Ergänzt durch die neuen Cloud-basierten Dienste und zusammen mit unseren bekannten physischen und virtuellen Appliances bieten wir flexible Lösungsarchitekturen für unsere Kunden, immer passend zu den jeweiligen Anforderungen.
Auch unsere Verantwortung für die Community und für die digitale Gesellschaft nehmen wir weiterhin war. Als Corporate Citizen werden wir auch in Zukunft die eigene Technologie als transparente, offene Lösung bereitstellen. Gerade die kritischen Infrastrukturen werden auch weiterhin ein wichtiger Fokus unserer Sicherheitsforschung sein. Wir haben mit unseren Sicherheitsberichten im letzten Jahr Hunderten von Gesundheitseinrichtungen geholfen und so Millionen von Patientendaten geschützt. Diesen Weg wollen wir weiter gehen, um für unsere Kunden die digitale Welt immer sicherer zu machen.
Enorme Nachfrage: Vulnerability Management als Service und als virtuelle Anwendung
Seit vielen Wochen befinden wir uns schon in der Beta-Testphase für unsere neue Greenbone Managed Service Platform. Mit ihr stellen wir Kunden unsere bewährte Vulnerability-Management-Lösung ab April auch als Cloud-Service zur Verfügung, den sie gegen eine monatliche Gebühr nutzen können. Nicht zuletzt kleinere Betriebe wie etwa lokale Arztpraxen können so auch ohne Inhouse-Expertise einfach und schnell ihre Netzwerke schützen. Für globale Konzerne sind Managed Services eine interessante Option, um neue Standorte ohne großen Aufwand mit einem effektiven Schwachstellenmanagement auszustatten. Für die Entwicklung haben wir eigens ein zusätzliches Experten-Team gewinnen können, das mit viel Umsicht konfiguriert und – wie immer – ein besonderes Augenmerk auf einen sicheren Datenaustausch legt.
Seit Mitte 2019 sind unsere virtuellen Midrange-Appliances des Greenbone Security Manager verfügbar. Wir haben dadurch den Umsatzanteil virtueller Lösungen 2019 gegenüber 2018 beinahe verzehnfacht. Die größte Kontrolle über die Sicherheitsdaten hat man zwar weiterhin mit den physischen Appliances, jedoch ist das Vertrauen in Virtualisierungs-Lösungen mit deren fortgeschrittenen Entwicklung deutlich gewachsen. „Diese architekturübergreifende Flexibilität hilft unseren Kunden, gezielt und effizient die eigenen Anforderungen an eine Resilience & Vulnerability Management Lösung erfüllen zu können“, so Dr. Jan-Oliver Wagner, CEO Greenbone Networks.
Neue Distributoren unterstützen Wachstum international
Dass der Schritt hin zu Virtual Appliances logisch und richtig war, zeigt uns das enorme Kundeninteresse. Mit unseren virtuellen Maschinen haben wir sozusagen offene Türen eingerannt – die Nachfrage ist riesig. Um ihr gerecht zu werden, haben wir 2019 eine strategische Partnerschaft mit dem Value-Added Distributor (VAD) ADN geschlossen. Sie ergänzt unsere langjährige Zusammenarbeit mit Exclusive Networks, die als Distributoren auf physische Systeme spezialisiert sind. Im DACH-Raum sind wir jetzt also mit starken Distributionspartner sowohl für unsere physischen als auch unsere virtuellen Systeme aufgestellt.
Daneben expandieren wir auch immer weiter in den englischsprachigen Raum. Über unsere neu gewonnen Distributor InfoSec Industries mit Sitz in Florida habe wir einen Partner, der insbesondere den nordamerikanischen Markt adressiert aber auch Mittel- und Südamerika unterstützt.
Neue Kollegen und ein größeres Headquarter
Aufgrund der anhaltend hohen Nachfrage mussten wir natürlich auch personell nachlegen. So haben wir das Greenbone-Team im vergangenen Jahr um 21 neue Kollegen erweitert. Das kam vor allem der Entwicklung und unserem Professional Service zu gute. Mit Elmar Geese als Chief Operating Officer (COO) haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns in den Bereichen Strategie, Prozessoptimierung und Controlling unterstützt.
Um das stark gewachsene Team auch räumlich unterzubringen, haben wir unser Osnabrücker Headquarter nochmal deutlich vergrößert.
Fazit: Cyber-Sicherheit der Kunden im Fokus und mehr Kunden im Fokus
Cyber-Angriffe können fatale Auswirkungen haben. Unser Anliegen ist es, Unternehmen aller Größen – von der lokalen Arztpraxis bis zum internationalen Konzern – ein effektives Schwachstellen-Management zur Verfügung zu stellen, das sich ohne viel Aufwand in Betrieb nehmen lässt. Die enorme internationale Nachfrage nach unseren virtuellen Maschinen und das – schon jetzt große – Interesse an unserer neuen Managed-Service-Plattform zeigt, dass wir auf dem richtigen Weg sind. Auch in Zukunft werden wir alles daran setzen, Angreifern immer eine Nasenlänge voraus zu sein.
Osnabrück, 27. Februar 2020 – Greenbone, Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, verstärkt mit Elmar Geese als Chief Operating Officer (COO) das Management. Geese ist seit Anfang 2020 bei Greenbone tätig und kümmert sich seitdem vor allem um Strategie, Prozessoptimierung und Controlling. Die Position wurde neu geschaffen, um das anhaltend starke Wachstum von Greenbone auch auf Management-Ebene weiter zu unterstützen.
Elmar Geese ist seit Anfang 2020 Teil des Management-Teams von Greenbone. Der Schwerpunkt seiner Tätigkeit liegt auf Strategie, Prozessoptimierung und Controlling. In seinem Schaffen will er den Mehrwert der Greenbone-Produkte für die Kunden noch wirksamer werden lassen. „Greenbone hat mit seinen Lösungen für intelligentes Schwachstellen-Management das Potenzial, sich von einem europäischen Marktführer zum internationalen Player zu entwickeln“, so Geese. „Die Sicherheit von Informationssystemen ist für Unternehmen und unsere moderne Gesellschaft elementar. Das zeigen die vielen Sicherheitsvorfälle, von denen wir mittlerweile täglich erfahren. Greenbone leistet einen entscheidenden Beitrag, unsere Welt sicherer zu machen. Ich freue mich darauf, mich hier entscheidend einbringen zu dürfen.“
Jan-Oliver Wagner, Greenbone Gründer und CEO, ergänzt: „Greenbone wächst kontinuierlich. Aktuell arbeiten wir daran, unsere Schwachstellen-Management-Lösung auch als Managed Service zur Verfügung zu stellen. Davon profitieren vor allem Unternehmen, die Inhouse nicht die personellen oder zeitlichen Kapazitäten für eine umfassende Schwachstellen-Analyse mit Hardware-Modulen haben. Mit Elmar Geese haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns im Management unterstützt. Wir freuen uns sehr auf die Zusammenarbeit und sind zuversichtlich, dass wir mit ihm an Bord die Aufgaben, die ein schnelles Unternehmenswachstum mit sich bringt, mit Leichtigkeit bewältigen.“
Elmar Geese blickt auf eine langjährige Management-Erfahrung zurück. Er ist seit mehr als drei Jahrzehnten als Gründer, Manager und Berater im Bereich Informationstechnologie tätig. Zuletzt war er als CIO beim Berliner Gesundheits-Startup machtfit für deren SaaS-Plattform für betriebliches Gesundheitsmanagement verantwortlich. Dort hat er als Leiter der Produktentwicklung und -betriebs dazu beigetragen, Kunden wie die Bayer AG, die Deutsche Bahn, Lufthansa, Edeka und Lanxess dauerhaft für das Unternehmen zu gewinnen
Vier Monate nachdem der Bayerische Rundfunk und die US-Investigativplattform ProPublica über unsere Analyse zu ungeschützten PACS-Systemen berichtet haben, lohnt es sich, ein Resümee zu ziehen.
X-rax from 19th century, source WikiCommons
Old school: FAX
Dieser Blogpost ist kein neuer Bericht an sich – trotzdem fokussiert er auf fast unbekannte Aspekte dieses Datenlecks und auf bemerkenswerte Dinge, die seit dem 17. September 2019 passiert sind.
In den letzten Tagen haben wir an über 40 Organisationen Faxe mit weiteren Responsible Disclosures geschickt (Fax habe ich schon Jahre nicht mehr genutzt), was hoffentlich hilft etwa 10 Millionen Studien und 460 Milllion Radiologie-Bilder vor ungesichertem Zugriff zu schützen.
Ein nicht ganz so kurzer Rückblick
Im Frühjahr 2019, während der Recherche für eine anderes Thema, fanden wir den ersten ungeschützten Bildarchiv-Server. Wir hatten nicht speziell danach gesucht, und daher – neben einer Information an die betroffene Organisation (diese hat sehr schnell gehandelt und das System vom Netz genommen) – notierten wir den Begriff PACS buchstäblich auf ein Post-it und hängten es an die Ideen-Pinnwand.
Die initiale Analyse-Arbeit begann schließlich im August 2019. Wir wollten uns einen Überblick über PACS-Systeme verschaffen, die aktuell mit dem Internet verknüpft, öffentlich zugänglich und damit ungeschützt sind. Von dem Ausmaß des Datenlecks waren wir völlig überrascht – ein gigantisches Problem, das schnelle Beseitigung verlangte. Um dafür die erforderliche Aufmerksamkeit zu schaffen, mussten wir weltweit Behörden und Medien involvieren. Ohne die Mitarbeit weiterer engagierter Akteure hätten wir unmöglich so viele Systeme aus dem öffentlichen Internet entfernen können – und es gibt noch einiges zu tun, wie auch der TechCrunch Report zeigt.
Wir schulden den Unterstützern rund um den Globus unseren Dank: den Behörden aus Deutschland, Frankreich, Großbritannien, Malaysia, der Schweiz, den USA, und einer Reihe weiterer Länder; den Nachrichten-Portalen und Magazinen (online wie offline), die das Problem und die Lösungswege öffentlich gemacht haben; den betroffenen Kliniken und Radiologie-Einrichtungen für ihre Kooperationsbereitschaft. Wir haben mit vielen InfoSec-Spezialisten gesprochen und sie alle verdienen unseren Respekt und unseren Dank.
Die anderen kleinen Geschichten, einige noch nicht erzählt…
Warum mussten wir handeln? Die reine Quantität des Datenlecks bei PACS-Servern war erschreckend genug. Aber ziehen wir in Betracht, welcher Missbrauch mit diesen Informationen betrieben werden könnte, dann erhält das Problem eine neue Dimension. Denn durch den Zugriff auf „historische“ medizinische Daten lassen sich beispielsweise von betroffenen Personen Profile erstellen.
Zur Illustration betrachten wir Systeme, die Daten aus mehreren Jahrzehnten speichern, also sehr weit zurückgehen. Das “jüngste” ausgewählte Archiv enthält Daten, die bis in den Dezember 2007 reichen. Das folgende Bild veranschaulicht die Daten und damit verbundenen Zeitspannen, die wir auf diesen Systemen gefunden haben.
(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).
Beispiele für Geschichten aus den Archiven sind:
Bei einer Person, die sich im März 1987 zuerst untersuchen ließ, folgten noch 55 weitere radiologische Untersuchungen. Die letzte war im Dezember 2019.
Eine andere Person hatte in 22 Jahren mehr als 130 radiologische Untersuchungen in der gleichen Klinik.
Der älteste Datensatz stammt vom 3. Januar 1980, die Untersuchung fand um 21:31 Ortszeit statt.
Mit diesen Informationen wäre medizinischer Identitätsdiebstahl möglich – mit allen negativen Konsequenzen wie Manipulation oder Erpressung. Zudem schlummern zahlreiche weitere Datenschutz-Verletzungen in diesen Archiven:
Ein PACS-System enthält die üblichen Daten wie Name, Geburtstag, Untersuchungsdatum – und einige Datensätze, die bis ins Jahr 2007 zurückreichen, stammen aus Gefängnissen. Also: wenn jemand eine Haftstrafe verbüßt hat, sich danach jedoch gesetzeskonform verhält, gibt es keinen generellen Grund, dieser Person den Datenschutz zu verweigern.
Archive, die Daten über lange Zeiträume sammeln und vorhalten, verraten familiäre Zusammenhänge. Es lässt sich eine Art Familienstammbaum erstellen, verbunden mit der Möglichkeit diese Informationen über Social Engineering auszunutzen. Ein System eines lokalen Medizinzentrums enthält über 400 Einträge mit demselben Familiennamen über einen Zeitraum von 19 Jahren.
Sollte die Vergangenheit uninteressant sein, schauen wir in die Zukunft. Ein System enthält Datum und Uhrzeit von künftigen Terminen, auch hier mit vollem Namen und Geburtsdatum. Da diese Einrichtung eher regional arbeitet, lässt sich die Adresse, Telefonnummer, der Arbeitgeber und andere Informationen einer Person leicht herausfinden. Wie? Der Dank gebührt Facebook, Instagram und Co.! Ein bewussterer Umgang mit Social Media wäre jedem von uns anzuraten.
Einige interessante Reaktionen …
Die Warnungen vor Missbrauch sind berechtigt: so erreichte uns eine Nachricht eines Anbieters von Künstlicher Intelligenz in der Medizin. Der Anwalt des Unternehmens erbat unverblümt den Zugriff auf die Patientendaten. Auf unsere Standardantwort, dass wir dem EU-Datenschutz unterliegen und diesen vollständig beachten, kam zurück: „In den USA ist das ja anders”. Wahrscheinlich ist es besser, diesen Teil der Geschichte auf sich beruhen zu lassen.
Ebenso fragten einige Rechtsanwaltskanzleien an, ob wir Material für ihre Sammelklagen, gerade in den USA, beisteuern könnten. Wir haben keine Informationen zur Verfügung gestellt.
Apropos rechtliche Aspekte: Als wir über 140 individuelle Responsible Disclosures verschickten, hatten wir damit gerechnet, eine Reihe von Unterlassungserklärungen zu erhalten. Es kam keine einzige. Die Unternehmen, die nach Erhalt der Disclosure mit uns Kontakt aufnahmen, haben alle positiv reagiert. Ihr Ziel – und unseres – war und ist die Situation zu verbessern und nicht „den Boten zu erschießen”. An dieser Stelle möchten wir einen Dank an Troy Hunt aussprechen. Seine Arbeit rund um Responsible Disclosures half uns sehr.
Nach der Veröffentlichung unserer ersten Analyse haben manche Interessenvertreter aus der Gesundheitsbranche trotzig reagiert: „Nein, das kann nicht sein. Die gefundenen Systeme werden wahrscheinlich in der Tiermedizin oder in der universitären Forschung genutzt. Aber unsere Krankenhäuser und Ärzte nehmen den Datenschutz sehr ernst.” Tatsächlich haben wir 72 PACS-Systeme gefunden, die von Tierärzten benutzt werden. Diese wurden jedoch nicht in unserer Analyse verwendet. Es ist sehr wahrscheinlich, dass auch diese Systeme eine große Menge an persönlichen Informationen enthalten – aber das wäre eine andere Geschichte. Außerdem mussten wir genau auf Abkürzungen achten, denn VET und PET haben zwei Bedeutungen. Veterinär und Veteran, bzw. Pet (Tier) oder die Bezeichnung PET-CT.
Als abschließende (aber nicht ernst gemeinte) Anmerkung in diesem Abschnitt: eine Twitter-Nachricht fragte, ob wir Bilder von „bone spurs“ in den Daten gefunden haben. Nein, aber wir haben auch nicht gesucht.
Was als nächstes…
Wir werden den Zustand der ungeschützten PACS-Systeme auf der Welt weiter beobachten. Selbstverständlich werden wir auch die zuständigen Datenschutz- und Justizbehörden bei der Behebung und Beseitigung dieses globalen Datenlecks weiter unterstützen. Es sind immer noch mehr als 400 ungeschützte PACS-Systeme mit dem Internet verbunden, mit mehr als 27 Millionen Untersuchungen wodurch etwa 9 Millionen Menschen betroffen sind.
Für uns ist dies ein wichtiges Beispiel dafür, dass Informationssicherheit und Datenschutz nicht nur mit ausgeklügelten APTs, aufwändigem Social Engineering oder mit BlackHats und deren magischem Programmcode zu tun hat. Vielmehr geht es um die tägliche Beachtung der Basics. Deswegen haben wir diese Analyse so einfach wie möglich gehalten: kein speziell entwickelter Progammcode, keine Automatisierung, keine Scripte. Jeder wäre in der Lage gewesen, es uns gleich zu tun. Das ist das wahrlich Beängstigende bei diesem Datenleck.
Das Komplexe möglichst einfach zu beschreiben, damit auch die vielen Menschen ohne IT-Sicherheits-Expertenwissen das Problem verstehen können. Das wird unsere Richtschnur für unsere weitere Arbeit in Kritischen Infrastrukturen sein.
60 Tage später ist es um die weltweite Situtation der ungeschützten PACS Sever nicht besser geworden. Im Gegenteil, gerade in den USA scheint es ein unaufhaltsames IT-Sicherheits- bzw Datenschutz-Desaster zu sein.
1.19 Milliarden Bilder
Das ist die Anzahl an Bildern die mit den ungeschützten medizinischen Untersuchungen verknüpft sind, die wir während unseres Reviews zum globalen Status von medizinischen Bildarchiven im Internet gefunden haben, ein Zuwachs von 60% (von vorher 737 Millionen). Weitere Details finden sich in unserem aktualisierten Bericht darüber wie sich dieser Status in den letzten 60 Tagen seit unserem ersten Report entwickelt hat, wobei diese Zahl verknüpft ist mit mehr als 35 Millionen radiologischen Untersuchungen von Patienten weltweit (ein Plus von 40%, vorher 24,5 Millionen), was – einfach gesagt – beängstigend ist.
Ignoranz oder Gleichgültigkeit?
“Check again” ist eines der Mantras in der Informationssicherheit und insbesondere im Schwachstellen-Management. Stetiges Wiederholen eines Checks zeigt erst auf, wie sich der eigene Cyber-Security-Status entwickelt, ob die getroffenen Maßnahmen und eingesetzten Werkzeuge auch wirklich funktionieren und den gewünschten Nutzen bringen. Basierend auf diesem Ansatz haben wir uns entschieden, relativ zeitnah nach dem ersten Bericht ein Review durchzuführen. Und zwar 60 Tage später, denn diese Zeitspanne ist in den USA (als hauptsächlich betroffenes Land) der Zeitrahmen in dem ein Datenleck im Gesundheitssektor gemeldet werden muss.
Allerdings haben wir nicht erwartet, noch mehr Patientendaten zu finden, mit noch mehr verknüpften Bildern. Die Frage nach Ignoranz oder Gleichgültigkeit kann eigentlich nur mit „beides, und zwar in einer ungesunden Kombination“ beantwortet werden, denn für die meisten der von uns geprüften Systeme hatten und haben wir immer noch Zugang zu den persönlichen Daten und Gesundheitsinformationen.
Es gibt so etwas wie einen Hoffnungsschimmer, da es einige Länder geschafft haben, die jeweiligen identifizierten Archiv-Server komplett aus dem öffentlichen Internet zu nehmen. Allerdings wird diese Hoffnung wieder getrübt durch die gestiegene Anzahl an zugänglichen Untersuchungen und Bildern, sowie den neuen Ländern auf unserer Liste.
“Good, bad und ugly”
Hoffnung macht, das sich die Gesamtzahl an PACS-Servern um 43 reduziert hat. Allerdings ist das nu ein kleiner Anteil am Gesamten (<10%). Bei näherer Betrachtung der Ergebnisse lassen sich drei Gruppen von Ländern in unseren Daten zusammenfassen.
„The Good“
Ländern (wie oben erwähnt) die es geschafft haben, alle gefundenen System aus dem öffentlichen Internet zu nehmen. Die Situation hat sich zum Guten gewandelt.
„The Bad”
Länder in denen wir immer noch viele System finden und abfragen können, in denen sich die Situation also nicht oder nur sehr geringfügig verändert hat. Die Situation ist immer noch schlecht.
„The Ugly”
Diese Gruppe besteht aus wenigen Ländern, wo die Situation der Archivsysteme vehement schlechter geworden ist, die Zahlen stark nach oben gingen, sie also häßlich wurde.
Neue Datenpunkte
Für die letzte Gruppe an Ländern haben wir auch weitere Datenpunkte hinzugefügt. Einer davon ist der Standort des PACS-Servers im Land, die wir auf Bundesstaaten bzw. Provinzen eingegrenzt haben. Ein anderer ist die Anzahl der in den Daten gefundenen medizinischen Einrichtungen und Ärzten bzw Therapeuten. Beide sind nicht einfach, da sie nur als Annäherung zu sehen sind und evtl. Falsch interpretiert werden könnten (zB wenn wir Städte und Gemeinden nennen würden anstelle von Bundesstaaten). Der präzise Standort eines Archives bedeutet nicht, dass sämtliche Daten im System von Patienten aus der näheren Umgebung stammen (daher nur die Verortung auf Bundesstaat bzw Provinz). Wie schon im ersten Bericht haben wir die Daten zur Laufzeit analysiert und keine Datensätze auf unseren Systemen gespeichert. Nur Zählungen und Zusammenfasungen, sowie Indikatoren für den Standort haben wir tatsächlich gespeichert.
Besonderer Blick auf die USA
Die USA sind das am stärksten von diesem Datenleck betroffene Land, Darum haben wir uns die Situation dort und die Daten etwas genauer angesehen. Nicht nur sind die Gesamtzahlen für Untersuchungen und Bilder noch oben geschnellt, wir haben auch einige alarmierende Datensätze in den ungeschützen PACS-Servern in den USA gefunden.
Ein sehr großes Archiv erlaubt vollen Zugriff auf die PHI (Personal Health Information) inclusive aller verknüpften Bilder zu ca. 1,2 Million Untersuchungen. Hinzu kommt, das etwa 75% der Datensätze auch die Social Security Number des Patienten enthalten. Das Schadenspotential für den sog. Medical Identity Theft summiert sich auf etwa 3,3 Milliarden US-Dollar. Dieser Wert macht alleine etwa 2/3 des gesamten Schadenspotentials für diese Art von Cybercrime bei den gefundenen PACS aus.
Ein anderes Archiv scheint Daten von Angehörigen des US-Militärs (inklusive der sog. DoD-ID) zu enthalten, wenn man vom Namen der medizinischen Einrichtung und anderen Hinweisen ausgeht. Obwohl die Zahl der Datensätze nicht besonders hoch ist, bedeutet der Umstand alleine, dass hier eine Reihe von Varianten zur Ausnutzung möglich sind (über die im ersten Bericht beschriebenen hinaus).
Die folgende Grafik verdeutlicht die Situation in den USA, für die betroffenen Bundesstaaten.
(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).
Die Gesamtsituation der PACS-Server in den USA bestätigt unsere Annahmen zu den Schlüsselfaktoren einer hohen Cyberresilienz. Einen Bericht dazu warden wir in den kommenden Wochen veröffentlichen..
Empfohlene Maßnahmen
Im Bericht nennen wir auch einige mögliche Maßnahmen für jeden ‚Beteiligten‘. Diese Maßnahmen sind einfache Schritte die es wahrscheinlicher machen, Geräte die unnötigerweise mit dem Internet verbundene sind zu finden. Für Patienten sind es Tips, wie sie sicherstellen das der medizinische Dienstleister, der Arzt oder Radiologe versteht, wie wichtig die Sicherheit und der Schutz der eigenen Daten zu nehmen ist.
The report
Greenbone’s aktualisierter Bericht ist hier [1] zum Download, in englischer Sprache.
Unsere White Paper [2] zum tieferen Einstieg in die Digitale Widerstandsfähigkeit von Kritischen Infrastrukturen inklusive des Gesundheitssektors sind hier.
Wie bereits im ersten Bericht zum Ausdruck gebracht, geben wir aufgrund der Sensibilität der Daten Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Ausblick
Die erwähnte Studie zu Fähigkeiten die notwendig sind um eine höhere Cyber-Resilienz zu erreichen wird in den kommenden Tagen veröffentlicht. Diese Studie umfasst die großen Wirtschaftsnationen der Welt und 6 Sektoren, die als Kritische Nationale Infrastrukturen gesehen werden. Diese sind:
Gesundheit
Finanzen
Transport
Energie
Wasser
IT&Telekommunications
Mehr dazu dann auch hier im Blog.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2019-11-22 11:59:212019-11-28 11:23:25„Good“, „Bad“, und “Ugly” - die Anzahl an vertraulichen Patientendaten und Bildern ungeschützt zugänglich im Internet steigt immer weiter
Osnabrück, 15. 10. 2019– Greenbone, Lösungsanbieter zu Schwachstellen-Management und -Analyse von IT-Netzwerken, erweitert die Funktionen seines Security Feeds. Mit neuen Tests erkennt dieser nun ungeschützte digitale Systeme zur Verarbeitung, Verwaltung und Archivierung von medizinischen Bildern und Daten (Picture Archiving and Communication Systems, PACS). Kürzlich legte Greenbone eines der größten Datenlecks im Gesundheitssektor offen: Der Bayerische Rundfunk berichtete.
Sensible Patientendaten benötigen einen lückenlosen Schutz. Eine Datenanalyse von Greenbone fand jüngst jedoch 2.300 medizinische Bildarchivierungssysteme, die mit dem öffentlichen Internet verbunden und quasi für jedermann mit wenigen Klicks einsehbar waren. Mittels einer frei verfügbaren Viewer-Software für das „Digital Imaging and Communications in Medicine (DICOM)“-Protokoll sowie über die Suchmaschine Shodan konnten die entsprechenden IP-Adressen und Server ermittelt und die öffentliche Verfügbarkeit der Daten verifiziert werden.
Greenbone fand heraus, dass ein nicht unerheblicher Anteil der PACS weltweit den ungesicherten Zugriff auf bestimmte Bilddateien inklusive sensibler Daten wie Patientenname, Geburts- und Untersuchungsdatum sowie den Grund der Untersuchung, erlaubten. In Deutschland waren etwa 15.000 Datensätze im Internet zugänglich, mit 1,38 Millionen radiologischen Bildaufnahmen, wie CTs, MRTs oder Mammographie-Bildern – abrufbar ohne Passwort oder Authentifizierung. Nach Meldung von Greenbone an das Bundesministerium für Informationssicherheit (BSI) sind diese mittlerweile geschlossen.
Die neue Funktion des Greenbone Security Feeds soll Krankenhäusern, radiologische Praxen und anderen Gesundheitseinrichtungen in Zukunft dabei helfen, solche Datenlecks zu vermeiden. Mit neuen Vulnerability Tests im Security Feed der Schwachstellenmanagement-Lösung von Greenbone, testen Kunden aus dem Gesundheitssektor ihre Bildarchivierung auf ungeschützte PACS. In der Open-Source-Lösung, dem Greenbone Community Feed (GCF), lässt sich die Erreichbarkeit eines Dienstes über die hierfür vorgesehen Ports testen. Im Greenbone Security Feed (GSF) stehen weitere Überprüfungen zur Verfügung.
Kunden bekommen hier ein Mehr an Informationen: Nicht nur, ob eine verschlüsselte Verbindung für die Übertragung der sensiblen Daten verwendet wird, Daten abrufbar sind oder eine Authentifizierung konfiguriert ist. Nutzer können zusätzlich die Application Entity Titles (AET) des Systems überprüfen. Über den AE Title wird der Zugriff auf bestimmte Bild-Datenbanken des Systems geregelt. Via Brute-Forcing wird auf Standard-AETs geprüft, die unbefugten Zugriff auf die Datenbank erlauben könnten. Wichtig: Die öffentliche Erreichbarkeit von Geräten wird ebenfalls getestet. Sollte dieser Test positiv ausfallen, können Betreiber der Systeme umgehend Maßnahmen zur Schließung der Sicherheitslücken ergreifen.
Dirk Schrader, CISSP, CISM und ISO/IEC 27001 Practitioner bei Greenbone, kommentiert: „Das PACS-Server ausles- und angreifbar sind, haben in der Vergangenheit schon mehrere Sicherheitsforscher bemängelt. Was uns schockiert hat, war das Ausmaß des Datenlecks. Unsere Analysen haben weltweit offene PACS-Systeme aufgedeckt. Das darf einfach nicht passieren. Mit unserer neuen Funktion im Greenbone Security Feed zum Test auf ungeschützte PACS wollen wir unseren Beitrag leisten, um die Daten und Bilder von Patienten in Zukunft zu schützen.“
Die neue Erkennung von ungeschützten PACS-Systemen ist verfügbar für Kunden, die über einen Greenbone Security Manager (GSM) oder eine Installation der Greenbone Community Edition (GCE) beziehungsweise des Greenbone Vulnerability Managements (GVM) verfügen. Nutzer des Greenbone Community Feeds erhalten weitere Informationen auf der Community-Seite. Anwender des Security Feeds wenden sich an den Support. Allgemeine Hinweis zur Behebung von Schwachstellen erhalten User zusammen mit den Vulnerability Tests (VT) des Security Feeds.
Medizinische Systeme und Prozesse des Gesundheitssektors werden immer weiter digitalisiert. Dafür nutzen Arztpraxen und Krankhäuser – wie alle anderen Branchen auch – die Technologien des Internets und vernetzen sich auf IP-Basis untereinander. Das dies gründlich schief gehen kann, zeigt eine globale Daten- und Informationssicherheitsanalyse von medizinischen Bildarchivierungssystemen.
Die Ausgangslage
Röntgenbilder und andere bildgebende Verfahren wie CT und MRT sind aus dem Klinikalltag schon lange nicht mehr wegzudenken. Diese daraus resultierenden Bilder helfen Ärzten und Therapeuten dabei, eine Diagnose zu stellen, für einen Patienten die richtige Behandlung zu erarbeiten oder den Behandlungsfortschritt zu beobachten und zu dokumentieren. Dazu nutzen Klinikbetriebe umfangreiche Bildarchivierungsysteme, sogenannte PACS-Server (Picture Archiving and Communication Systems-Server), in denen die Bilder gespeichert werden und von Medizinern bei Bedarf abgerufen werden können. Das PACS-Server angreifbar sind, ist schon länger bekannt [1]. Was bis heute unbekannt war, ist, wie groß und verbreitet dieses globale Datenleck tatsächlich ist.
Doch worum geht es genau. Einfach formuliert, betrifft dieses Datenleck einen Standard, der in den 80er Jahren entwickelt wurde. Dieser Standard nennt sich DICOM (Digital Imaging and Communications in Medicine) und beschreibt, wie Medizingeräte der Bildgebung miteinander vernetzt werden können, um so Informationen zu Patienten und Bildern auszutauschen und zu archivieren. PACS-Server nutzen diesen Standard, der auch die Verwendung des IP-Protokolls einbezieht. Damit sind diese Systeme auch im Internet auffindbar. Die daraus entstandene Liste an IP-Adressen war Gegenstand der Sicherheitsanalyse.
Die Schwächen
Sowie etwas mit dem öffentlichen Internet verbunden wird, stellt sich die Frage nach der Absicherung des jeweiligen Systems vor unbefugtem Zugriff. Wer soll was mit dem System machen können? Für die gefundenen Archivsysteme scheint die Antwort, sei sie noch zu unbeabsichtigt, zu sein: Jeder und alles.
Wie zu erwarten, enthalten diese Archive sensible medizinische und persönliche Informationen von Millionen von Menschen weltweit. Name, Geburtsdatum, Datum einer Untersuchung, Details der Untersuchung, behandelnde Ärzte, Kliniken, bis hin zu Informationen wie der amerikanischen Social Security Number und den eigentlichen Bildern, ist alles abrufbar und teilweise als Download verfügbar.
Das dies möglich ist, liegt an der nachlässigen Konfiguration dieser Systeme, die ohne jeglichen Schutz, ohne Passwort oder Verschlüsselung, diese Daten einem Internetnutzer, der ein paar Handgriffe tätigt, bereitstellen.
Der Begriff Internetnutzer ist ganz bewusst gewählt, denn für diese Abfrage muss kein Code geschrieben werden, keine Software-Schwachstelle ausgenutzt werden, oder eine Zero-Day-Attacke gefahren werden. Man muss also kein Hacker sein, um sich Zugang zu diesen hochsensiblen Daten zu verschaffen, sondern bekommt unter Zuhilfenahme von frei verfügbaren Tools direkt auf den Bildschirm geliefert. Um diese Daten zu sehen und – falls gewünscht – herunterzuladen, benötigt man nur eine Liste von IPs und einen entsprechenden Viewer. Beides gibt es zum Download im Netz.
Das Ausmaß
Die Zahlen, die dabei zusammenkamen, sind erschreckend. Über 24 Millionen Datensätze mit mehr als 700 Millionen verlinkten Bildern. Aus diesen sind 400 Millionen tatsächlich herunterladbar. Diese ungeschützten Systeme stehen in 52 Ländern der Welt. Neben der “Offenheit‘“ der Systeme, haben diese auch noch tausende „echte“ Schwachstellen, also veraltete Webserver-Versionen und angreifbare Datenbank-Instanzen. Zum Teil erlauben es die PACS-Server auch, via http und einen Webbrowser die Patientendaten und Bilder zu betrachten.
Der Bericht
Greenbone hat einen vollständigen Bericht verfasst, der hier zum Download [2] zur Verfügung steht. Der Bericht enthält weitere Zusammenfasungen der Gesamtsituation, eine Analyse des Gefahrenpotentials verbunden mit diesem Datenleck sowie eine Schätzung, welche Summe dieser Datenschatz im Darknet möglicherweise erbringen könnte. Für einen tieferen Einstieg in die digitale Widerstandsfähigkeit von kritischen Infrastrukturen, zu denen der Gesundheitssektor gehört, ist das Whitepaper [3] geeignet. Hier erhalten Sie weitere allgemeine Informationen zum Thema Datensicherheit.[4]
Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes, geben wir aufgrund der Sensibilität der Daten nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2019-09-16 18:13:132020-01-08 14:56:31Ungeschützte Patientendaten im Internet – ein massives globales Datenleck
Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.
Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen – mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde „verloren“ gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte „Hack Backs“ zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.
Der Graumarkt für Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente Schwachstellen und die damit verbundenen Exploits werden mittlerweile zu Preisen von über 1 Million Dollar, wenn sie auf Windows-Desktops und -Server abzielen. Die Zahl kann sich für Exploits bei mobilen Geräten (insbesondere Apple) verdoppeln. Wenn die Regierungen ihre Pläne zum „Hack Back“ durchsetzen, ist zu erwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das erstrebenswert?
Die Chronik von EternalBlue
EternalBlue, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 „entdeckt“. Die NSA behielt ihr Wissen zunächst für sich. Allerdings gingen bis Mitte 2016 die Informationen über die Schwachstelle und deren Exploits quasi bei der NSA verschütt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schließlich, ihr Wissen um den Jahreswechsel herum zu veröffentlichen.
Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandora’s Box geschlossen zu halten.
Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr 9 Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar Schaden. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.
Die Ökonomie des Cyberwaffen-Marktes
Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen „Umsatz“ von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von „Cybercrime-as-a-Service“ machen nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.
Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses „Geschäft“ zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.
Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie „in the wild“ entdecktwurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.
Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen „fairen“ Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese „As-a-Service“-Plattformen sind CERBER, SATAN oder DOT.
Staatlich sanktioniert, staatlich gefördert oder staatseigen
Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.
Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.
Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen „Interessen der nationalen Sicherheit“ als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.
Unterm Strich ein klares Nein
Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.
Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.
https://www.greenbone.net/wp-content/uploads/AdobeStock_174481608_klein.jpg393800Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2019-07-30 09:04:072019-07-30 09:04:07Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?
Schwachstellen-Management im Home Office
BlogAuch wenn wir langsam zur Normalität zurückkehren, werden Home Office-Arbeitsplätze künftig eine größere Rolle spielen. Viele Unternehmen haben erkannt, dass arbeiten zu Hause möglich ist und durchaus Vorteile mit sich bringt. Vor allem aber haben wir alle aus der Pandemie gelernt, wie wichtig es ist, im Krisenfall handlungsfähig zu bleiben. Mitte März musste alles schnell-schnell gehen. Doch jetzt, wo wieder mehr Ruhe einkehrt, sollten Unternehmen Sicherheitslücken schleunigst schließen. Denn sonst haben Cyberkriminelle leichtes Spiel.
Was ist eigentlich das Problematische an der Home Office-Situation? Wenn man Firmen-Laptops plötzlich ins Heimnetzwerk verlegt, reißt man sie aus einer gut abgesicherten Umgebung und macht sie angreifbar. Gewohnte Security-Mechanismen wie Firewalls und Virenscanner fehlen hier. Deshalb ist es wichtig Systemkonfigurationen und Nutzerberechtigungen an die veränderten Bedingungen anzupassen. Was im Firmennetz erlaubt ist, darf nicht eins zu eins ins Home Office übertragen werden. Zum Beispiel Download-Rechte: Lädt ein Mitarbeiter im Büro eine Datei herunter, wird sie vorab von der Firewall gefiltert – im Heimnetzwerk dagegen nicht. Handelt es sich um Malware, kann sie den Rechner ungestört infizieren. Unbedingt prüfen sollten Administratoren auch die Konfiguration des VPN-Clients, über den sich der Mitarbeiter mit dem Unternehmensnetz verbindet. Denn manche Clients sind so eingerichtet, dass sie nur ausgewählten Datenverkehr über die Unternehmens-Infrastruktur leiten. Reine Internet-Anfragen, zum Beispiel an bekannte öffentliche Dienste, gehen dagegen direkt an einen Server im Internet und damit an der Firewall vorbei.
Viele leichte Angriffsziele
Ein weiteres Risiko stellen die Systeme dar, von denen das Firmen-Notebook im Home Office umgeben ist. Das können zum Beispiel Computer von Familienangehörigen oder Smart-TVs sein. Häufig sind sie ungepatcht und veraltet. Denn wer installiert im privaten Umfeld schon sorgfältig jedes Update? Für Cyberkriminelle sind solche Geräte ein leichtes Ziel. Einmal gekapert, können die Hacker von dort aus andere Systeme im selben Netzwerk kompromittieren und sogar bis ins Unternehmensnetz vordringen. Ob sich ein Angriff lohnt, können sie meist ganz einfach erkennen. Vielleicht stand in der Lokalzeitung, dass Firma XY ihre Mitarbeiter ins Home Office geschickt hat. Oder es ist bereits ein Familien-Computer mit einer Spionage-Malware infiziert. Ein solcher Trojaner scannt seine Umgebung kontinuierlich und meldet, wenn neue Systeme hinzukommen. Der Hacker kann dann anhand des Systemnamens erkennen, dass es sich um ein Unternehmens-Laptop handelt, und weitere Schritte planen.
Hacker nutzen die Krise aus
Gerade in Zeiten von Corona haben es Cyberkriminelle leicht, Opfer auszutricksen und Malware einzuschleusen. Denn die Menschen sind verunsichert und fallen dadurch leichter auf Betrüger herein. Eine besonders beliebte Angriffsmethode ist Phishing. So versuchten Hacker zum Beispiel verstärkt, Anwender auf vermeintliche Corona-Informationsseiten zu locken und dort zum Download gefährlicher Dateien zu bewegen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nahm die Zahl der Corona-bezogenen Domain-Registrierungen exponentiell zu – wohl auch im Hinblick auf kriminelle Aktivitäten. Eine andere Masche könnte sein, dass sich ein Hacker als Netzwerkadministrator ausgibt und einen Mitarbeiter auffordert, sein System zu aktualisieren – er müsse dafür nur den beigefügten Link anklicken. Schon installiert der arglose Nutzer einen manipulierten VPN-Client, der sämtlichen Netzwerkverkehr über den Server des Cyberkriminellen leitet.
Schwachstellen identifizieren und schließen
Eine wichtige Maßnahme, um die Sicherheit im Home Office zu erhöhen, besteht darin, Sicherheitslücken aufzudecken und zu schließen. Viele Unternehmen betreiben schon Schwachstellenmanagement in ihrer internen Infrastruktur. Mit der GMSP von Greenbone lässt sich dies ganz einfach auf die Home-Office-Umgebung ausweiten. Der Cloud Service scannt alle im Netzwerk angeschlossenen Systeme auf Sicherheitslücken, zum Beispiel fehlende Patches oder unsichere Konfigurationen. Anschließend bewertet er die Funde nach Risiko und schlägt Methoden zur Minderung vor. Um ein Home Office-Netzwerk in das Vulnerability Management einzubinden, müssen Kunden lediglich ein neues Gateway auf der Plattform anlegen. Anschließend erhält der jeweilige Mitarbeiter einen Download-Link, installiert das Gateway und startet den Scan. Abgerechnet wird nach Zahl der gescannten IP-Adressen. Wenn das Unternehmen die GMSP bereits intern nutzt, fallen für das Home Office Gateway keine zusätzlichen Kosten an.
Am Ende profitieren beide Seiten: der Mitarbeiter und das Unternehmen. Der Mitarbeiter kann sein Heimnetzwerk mit einer professionellen Lösung auf Schwachstellen scannen und so die Cyber Security bei sich zu Hause erhöhen. Das Unternehmen gewinnt mehr Transparenz über die erweiterte Angriffsfläche, kann bestehende Sicherheitslücken schließen und sich resilienter gegen Cyberangriffe machen.
Neue Studie zu Cyber Resilience: Was machen widerstandsfähige Unternehmen anders?
BlogCyber Resilience ist in aller Munde – Medien, Unternehmen, Hersteller und auch Regierungen diskutieren über diesen Nachfolger der klassischen IT Security mit wachsender Intensität. Doch was verbirgt sich hinter dem Konzept genau und wie können es Unternehmen umsetzen beziehungsweise was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen sind wir bei Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Die Ergebnisse liegen nun in einem 52-seitigen Berichtsband vor.
Die Zukunft der IT Security heißt Cyber Resilience, das wird immer mehr Verantwortlichen bewusst. Angesichts zunehmend aggressiverer Hacker-Strategien und steigender Technologiekomplexität können sie nicht länger darauf vertrauen, dass der IT-Security-Schutzwall um ihre Unternehmens-IT alle Angriffe abwehrt. Früher oder später wird ein Angreifer einen Weg finden – und was dann? Dann geht es darum, den Schaden so gut wie möglich einzudämmen und die Kerngeschäftsprozesse aufrechtzuerhalten, um Kunden weiterhin mit Produkten und Dienstleistungen zu versorgen.
Kernziel der Studie: Resilienz-Merkmale identifizieren
Wir bei Greenbone beschäftigen uns schon seit mehreren Jahren intensiv mit Cyber Resilience. Was macht sie aus? Welche Dimensionen gibt es zu beachten? Vor welchen individuellen Herausforderungen stehen Unternehmen in verschiedenen Branchen dabei? Welche Best Practices haben sich bewährt? Um Antworten auf diese und noch mehr Fragen zu finden, haben wir zusammen mit dem Marktforschungsunternehmen Frost & Sullivan eine großangelegte Studie durchgeführt. Unser Grundgedanke dabei war, besonders widerstandsfähige Unternehmen zu identifizieren und anschließend zu analysieren, was diese im Vergleich zu weniger widerstandfähigen Betrieben auszeichnet. Auf diese Weise lassen sich konkrete Handlungs- und Investitionsempfehlungen ableiten – die uns nicht zuletzt auch dabei helfen, unsere bewährte Schwachstellenmanagement-Technologie weiterzuentwickeln, die wir seit Kurzem auch als Managed Service anbieten.
Zufällig entdecktes Datenleck im Gesundheitssektor verzögert Veröffentlichung
Besonderes Augenmerk legen wir dabei auf Unternehmen in kritischen Infrastrukturen (KRITIS). Denn bei Ihnen geht es nicht nur um wirtschaftliche Einbußen oder Rufschädigungen – hier sind im Extremfall Menschenleben bedroht, wenn etwa medizinische Geräte ausfallen oder die Stromversorgung für die Bevölkerung zusammenbricht. Daher wollten wir die Studienergebnisse mit Praxisbeispielen aus eben diesen KRITIS-Sektoren anreichern – und stießen bei unseren Recherchen auf ein riesiges Datenleck im Gesundheitsbereich: Millionen Patientendatensätze und damit verknüpfte medizinische Bilder waren über eine Schwachstelle der PACS-Server (Picture Archiving and Communication Systems-Server), auf denen sie gespeichert sind, frei zugänglich – auch ohne jegliche Programmierkenntnisse. Komplette Krankengeschichten, inklusive persönlichen Daten wie Name und Geburtstag des Patienten sowie Name des behandelnden Arztes, konnten vollständig ausgelesen werden.
Ein Skandal, der für uns die Veröffentlichung der Studienergebnisse erst einmal in den Hintergrund rücken ließ. In Zusammenarbeit mit dem Bayerischen Rundfunk und der US-Investigativ-Plattform ProPublica, die über unsere Recherche berichteten, und anschließend mit Behörden und IT-Security-Spezialisten rund um den Globus setzten wir uns intensiv dafür ein, den freien Zugriff auf diese Patientendaten schnellstmöglich einzuschränken. Mit nur teilweisem Erfolg: Noch immer sind etwa 400 PACS-Systeme mit dem Internet verbunden und die darauf gespeicherten Patientendaten damit für jedermann zugänglich. Daher sind wir auch weiterhin in engem Austausch mit den zuständigen Behörden. Unseren Bericht zum Patientendatenleck gibt es hier zum Download.
Preview einiger Studienergebnisse
Neben unserer Arbeit im Gesundheitssektor bezogen wir in unsere Studie auch Unternehmen aus den Bereichen Energie, Finanzen, Telekommunikation, Transport und Wasser ein. Insgesamt befragten wir 370 Organisationen mit durchschnittlich 13.500 Mitarbeitern aus den fünf größten Volkswirtschaften der Welt: den USA, Großbritannien, Frankreich, Japan und Deutschland. Aus diesem breit gefächerten Studiendesign konnten wir neben Antworten auf unsere Kernfragen einige weitere interessante Erkenntnisse gewinnen:
US-Unternehmen sind Vorreiter in Sachen Cyber Resilience
Insgesamt sind nur 36 Prozent der befragten Unternehmen in hohem Maße Cyber-resilient. Die USA schneiden mit 50 Prozent am besten ab, europäische Unternehmen liegen im Mittelfeld und japanische Organisationen bilden mit nur 22 Prozent das untere Ende der Skala.
Sektor Transport am wenigsten widerstandsfähig gegen Cyber-Angriffe
Über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet. Es folgen die Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Bei Transportunternehmen erreichen nur 22 Prozent ein hohes Niveau an Cyber Resilience.
Nicht Budget, sondern Verständnis von Geschäftsprozessen ist entscheidend
Zwar haben die von uns identifizierten Cyber-resilienten Unternehmen im Schnitt einen größeren Umsatz und ein höheres IT-Budget. Detailanalysen zeigen jedoch, dass die keinesfalls entscheidend ist. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.
Elf Merkmale, die Cyber-resiliente Unternehmen auszeichnen
In unserer Untersuchung konnten wir drei Gruppen von Merkmalen identifizieren, die die Cyber-Resilienz von Unternehmen um den Faktor zwei, drei und sechs erhöhen. Daraus haben wir eine Art „Roadmap“ entwickelt, mit der Unternehmen ihren Reifegrad erhöhen und ein hohes Maß an Cyber Resilience schaffen können.
Den vollständigen Studien-Report inklusive Roadmap können Sie hier anfragen.
Der Weg zur Cyber Resilience
BlogWie wird ein Unternehmen cyber-resilient?
In einer Welt wachsender digitaler Komplexität und zunehmender Verankerung von vernetzter Technologie in unserem täglichen Leben versuchen Hacker und Cyberkriminelle diese Situation zu nutzen. Sie suchen aggressiv nach neuen Schwachstellen und Fehlern, die sich in dieser sich ausweitenden Angriffsfläche ergeben haben. Angriffe wie Advanced Persistent Threats und Ransomware haben an Raffinesse und Häufigkeit zugenommen, ebenso wie der Schaden, den sie Organisationen und Einzelpersonen gleichermaßen zugefügt haben.
Als Folge dieser Angriffsvektoren und dem zunehmenden Maße, in dem Organisationen auf vernetzte Technologie setzen, haben IT- Verantwortliche und Wirtschaftsführer nach einem neuen Weg gesucht, sich zu schützen. Hier spielt die Widerstandsfähigkeit dieser Digitalisierung eine entscheidende Rolle.
Eine neue Art der Cybersicherheit
Der Begriff „Cyber Resilience“ ist relativ neu – für uns bedeutet er, dass Organisationen auch dann noch in der Lage sind, zu funktionieren und ihre Produkte zu erzeugen und Dienstleistungen zu erbringen, wenn sie mit einem Cyber-Zwischenfall konfrontiert werden. Viele Organisationen versuchen, cyber-resilient zu werden, doch die Mehrheit gerät ins Hintertreffen. Dies haben wir in unserer jüngsten Studie belegt, die zusammen mit Frost & Sullivan durchgeführt wurde. Nur 36% der Organisationen in sechs Schlüsselindustrien in den USA, Großbritannien, Deutschland, Frankreich und Japan habe eine hohe Cyber Resilience erreicht.
Aus dem Bericht ging auch hervor, dass es wichtiger ist zu verstehen, was die wichtigsten Vermögenswerte Ihres Unternehmens sind, als budgetäre Überlegungen. Obwohl die von uns identifizierten cyber-resilienten Organisationen sicherlich dazu tendieren, ein höheres IT-Budget zu haben, ergab die Studie, dass dies keineswegs das letzte Wort ist. Vielmehr haben wir herausgefunden, dass ein grundlegendes Verständnis und ein Bewusstsein für geschäftskritische Vermögenswerte eine weitaus wichtigere Rolle spielt, wenn Organisationen cyber-resilient sind.
Tatsächlich war es unser Kernziel mit diesem Bericht, belastbare Merkmale zu identifizieren, damit wir Unternehmen konkrete Empfehlungen geben können, wie sie ihre Cyber Resilience verbessern können. Dies wiederum wird uns helfen, unsere bewährte Technologie für das Schwachstellenmanagement weiterzuentwickeln, die wir seit kurzem auch als Managed Service anbieten.
Sie können die Ergebnisse der kompletten Studie hier finden: Business Risk & Cyber Resilience
In eigener Sache: Greenbone wächst
BlogIm vergangenen Jahr hat sich einiges getan bei Greenbone: Wir haben unser Portfolio um virtuelle Maschinen ergänzt und sind neue Distributionspartnerschaften eingegangen, die uns unter anderem Nord-Amerika erschließen. In diesem Rahmen haben wir auch unsere Teams deutlich ausgebaut und suchen weiterhin nach Verstärkung. Aktuell bereiten wir den Start unserer ersten Cloud-basierten Managed Service Plattform vor. Unternehmen können unsere Technologie nun – je nach Bedarf und Anforderungen – einsetzen, als Service, als virtuelle und als physische Appliance. Unser Ziel, das wir dabei stets vor Augen haben: Angreifern immer einen Schritt voraus sein und Unternehmen aller Größen mithilfe eines effektiven Resilience & Vulnerability Managements (RVM) widerstandsfähig gegen Cyber-Attacken machen.
Der heutige Stand der Technik heißt für Unternehmen, dass sie resilient gegen Cyber-Attacken sein müssen, also auch im Falle eines erfolgreichen Angriffs betriebsfähig bleiben. Betriebsunterbrechungen und Cyber-Attacken gehören heute zu den größten Geschäftsrisiken, die ein Betrieb handhaben muss. Ein effektives Resilience & Vulnerability Management hilft da grundlegend. Um Unternehmen widerstandsfähig zu machen, bietet unsere Technologie die Einstufung der Gefahren aber auch des Aufwandes zu deren Beseitigung. Zum einen wird dabei das gesamte Netzwerk eines Unternehmens kontinuierlich auf Schwachstellen und mögliche Angriffspunkte gescannt, zum anderen werden die digitalen Risiken für kritische Geschäftsprozessen und den dazugehörigen Assets visualisiert. Durch die hochgradige Automatisierung und maximale Scan-Tiefe und -Breite etablieren wir nachhaltige Widerstandsfähigkeit.
Über den Vorteil sind sich die Unternehmen einig. Unterschiedliche Meinung herrscht jedoch darüber wie die Technologie in die eigene IT-Umgebung integriert wird. Mit Recht, denn jedes Unternehmen bringt eigene Kompetenzen und Präferenzen mit und muss Richtlinien, oft Branchen-abhängig, erfüllen.
Ergänzt durch die neuen Cloud-basierten Dienste und zusammen mit unseren bekannten physischen und virtuellen Appliances bieten wir flexible Lösungsarchitekturen für unsere Kunden, immer passend zu den jeweiligen Anforderungen.
Auch unsere Verantwortung für die Community und für die digitale Gesellschaft nehmen wir weiterhin war. Als Corporate Citizen werden wir auch in Zukunft die eigene Technologie als transparente, offene Lösung bereitstellen. Gerade die kritischen Infrastrukturen werden auch weiterhin ein wichtiger Fokus unserer Sicherheitsforschung sein. Wir haben mit unseren Sicherheitsberichten im letzten Jahr Hunderten von Gesundheitseinrichtungen geholfen und so Millionen von Patientendaten geschützt. Diesen Weg wollen wir weiter gehen, um für unsere Kunden die digitale Welt immer sicherer zu machen.
Enorme Nachfrage: Vulnerability Management als Service und als virtuelle Anwendung
Seit vielen Wochen befinden wir uns schon in der Beta-Testphase für unsere neue Greenbone Managed Service Platform. Mit ihr stellen wir Kunden unsere bewährte Vulnerability-Management-Lösung ab April auch als Cloud-Service zur Verfügung, den sie gegen eine monatliche Gebühr nutzen können. Nicht zuletzt kleinere Betriebe wie etwa lokale Arztpraxen können so auch ohne Inhouse-Expertise einfach und schnell ihre Netzwerke schützen. Für globale Konzerne sind Managed Services eine interessante Option, um neue Standorte ohne großen Aufwand mit einem effektiven Schwachstellenmanagement auszustatten. Für die Entwicklung haben wir eigens ein zusätzliches Experten-Team gewinnen können, das mit viel Umsicht konfiguriert und – wie immer – ein besonderes Augenmerk auf einen sicheren Datenaustausch legt.
Seit Mitte 2019 sind unsere virtuellen Midrange-Appliances des Greenbone Security Manager verfügbar. Wir haben dadurch den Umsatzanteil virtueller Lösungen 2019 gegenüber 2018 beinahe verzehnfacht. Die größte Kontrolle über die Sicherheitsdaten hat man zwar weiterhin mit den physischen Appliances, jedoch ist das Vertrauen in Virtualisierungs-Lösungen mit deren fortgeschrittenen Entwicklung deutlich gewachsen. „Diese architekturübergreifende Flexibilität hilft unseren Kunden, gezielt und effizient die eigenen Anforderungen an eine Resilience & Vulnerability Management Lösung erfüllen zu können“, so Dr. Jan-Oliver Wagner, CEO Greenbone Networks.
Neue Distributoren unterstützen Wachstum international
Dass der Schritt hin zu Virtual Appliances logisch und richtig war, zeigt uns das enorme Kundeninteresse. Mit unseren virtuellen Maschinen haben wir sozusagen offene Türen eingerannt – die Nachfrage ist riesig. Um ihr gerecht zu werden, haben wir 2019 eine strategische Partnerschaft mit dem Value-Added Distributor (VAD) ADN geschlossen. Sie ergänzt unsere langjährige Zusammenarbeit mit Exclusive Networks, die als Distributoren auf physische Systeme spezialisiert sind. Im DACH-Raum sind wir jetzt also mit starken Distributionspartner sowohl für unsere physischen als auch unsere virtuellen Systeme aufgestellt.
Daneben expandieren wir auch immer weiter in den englischsprachigen Raum. Über unsere neu gewonnen Distributor InfoSec Industries mit Sitz in Florida habe wir einen Partner, der insbesondere den nordamerikanischen Markt adressiert aber auch Mittel- und Südamerika unterstützt.
Neue Kollegen und ein größeres Headquarter
Aufgrund der anhaltend hohen Nachfrage mussten wir natürlich auch personell nachlegen. So haben wir das Greenbone-Team im vergangenen Jahr um 21 neue Kollegen erweitert. Das kam vor allem der Entwicklung und unserem Professional Service zu gute. Mit Elmar Geese als Chief Operating Officer (COO) haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns in den Bereichen Strategie, Prozessoptimierung und Controlling unterstützt.
Um das stark gewachsene Team auch räumlich unterzubringen, haben wir unser Osnabrücker Headquarter nochmal deutlich vergrößert.
Fazit: Cyber-Sicherheit der Kunden im Fokus und mehr Kunden im Fokus
Cyber-Angriffe können fatale Auswirkungen haben. Unser Anliegen ist es, Unternehmen aller Größen – von der lokalen Arztpraxis bis zum internationalen Konzern – ein effektives Schwachstellen-Management zur Verfügung zu stellen, das sich ohne viel Aufwand in Betrieb nehmen lässt. Die enorme internationale Nachfrage nach unseren virtuellen Maschinen und das – schon jetzt große – Interesse an unserer neuen Managed-Service-Plattform zeigt, dass wir auf dem richtigen Weg sind. Auch in Zukunft werden wir alles daran setzen, Angreifern immer eine Nasenlänge voraus zu sein.
Auf Wachstumskurs: Greenbone erweitert Management-Team – Elmar Geese ist neuer Chief Operating Officer (COO)
PresseOsnabrück, 27. Februar 2020 – Greenbone, Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, verstärkt mit Elmar Geese als Chief Operating Officer (COO) das Management. Geese ist seit Anfang 2020 bei Greenbone tätig und kümmert sich seitdem vor allem um Strategie, Prozessoptimierung und Controlling. Die Position wurde neu geschaffen, um das anhaltend starke Wachstum von Greenbone auch auf Management-Ebene weiter zu unterstützen.
Jan-Oliver Wagner, Greenbone Gründer und CEO, ergänzt: „Greenbone wächst kontinuierlich. Aktuell arbeiten wir daran, unsere Schwachstellen-Management-Lösung auch als Managed Service zur Verfügung zu stellen. Davon profitieren vor allem Unternehmen, die Inhouse nicht die personellen oder zeitlichen Kapazitäten für eine umfassende Schwachstellen-Analyse mit Hardware-Modulen haben. Mit Elmar Geese haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns im Management unterstützt. Wir freuen uns sehr auf die Zusammenarbeit und sind zuversichtlich, dass wir mit ihm an Bord die Aufgaben, die ein schnelles Unternehmenswachstum mit sich bringt, mit Leichtigkeit bewältigen.“
Elmar Geese blickt auf eine langjährige Management-Erfahrung zurück. Er ist seit mehr als drei Jahrzehnten als Gründer, Manager und Berater im Bereich Informationstechnologie tätig. Zuletzt war er als CIO beim Berliner Gesundheits-Startup machtfit für deren SaaS-Plattform für betriebliches Gesundheitsmanagement verantwortlich. Dort hat er als Leiter der Produktentwicklung und -betriebs dazu beigetragen, Kunden wie die Bayer AG, die Deutsche Bahn, Lufthansa, Edeka und Lanxess dauerhaft für das Unternehmen zu gewinnen
Die Geschichte(n) eines Datenlecks
BlogVier Monate nachdem der Bayerische Rundfunk und die US-Investigativplattform ProPublica über unsere Analyse zu ungeschützten PACS-Systemen berichtet haben, lohnt es sich, ein Resümee zu ziehen.
X-rax from 19th century, source WikiCommons
Old school: FAX
Dieser Blogpost ist kein neuer Bericht an sich – trotzdem fokussiert er auf fast unbekannte Aspekte dieses Datenlecks und auf bemerkenswerte Dinge, die seit dem 17. September 2019 passiert sind.
In den letzten Tagen haben wir an über 40 Organisationen Faxe mit weiteren Responsible Disclosures geschickt (Fax habe ich schon Jahre nicht mehr genutzt), was hoffentlich hilft etwa 10 Millionen Studien und 460 Milllion Radiologie-Bilder vor ungesichertem Zugriff zu schützen.
Ein nicht ganz so kurzer Rückblick
Im Frühjahr 2019, während der Recherche für eine anderes Thema, fanden wir den ersten ungeschützten Bildarchiv-Server. Wir hatten nicht speziell danach gesucht, und daher – neben einer Information an die betroffene Organisation (diese hat sehr schnell gehandelt und das System vom Netz genommen) – notierten wir den Begriff PACS buchstäblich auf ein Post-it und hängten es an die Ideen-Pinnwand.
Die initiale Analyse-Arbeit begann schließlich im August 2019. Wir wollten uns einen Überblick über PACS-Systeme verschaffen, die aktuell mit dem Internet verknüpft, öffentlich zugänglich und damit ungeschützt sind. Von dem Ausmaß des Datenlecks waren wir völlig überrascht – ein gigantisches Problem, das schnelle Beseitigung verlangte. Um dafür die erforderliche Aufmerksamkeit zu schaffen, mussten wir weltweit Behörden und Medien involvieren. Ohne die Mitarbeit weiterer engagierter Akteure hätten wir unmöglich so viele Systeme aus dem öffentlichen Internet entfernen können – und es gibt noch einiges zu tun, wie auch der TechCrunch Report zeigt.
Wir schulden den Unterstützern rund um den Globus unseren Dank: den Behörden aus Deutschland, Frankreich, Großbritannien, Malaysia, der Schweiz, den USA, und einer Reihe weiterer Länder; den Nachrichten-Portalen und Magazinen (online wie offline), die das Problem und die Lösungswege öffentlich gemacht haben; den betroffenen Kliniken und Radiologie-Einrichtungen für ihre Kooperationsbereitschaft. Wir haben mit vielen InfoSec-Spezialisten gesprochen und sie alle verdienen unseren Respekt und unseren Dank.
Die anderen kleinen Geschichten, einige noch nicht erzählt…
Warum mussten wir handeln? Die reine Quantität des Datenlecks bei PACS-Servern war erschreckend genug. Aber ziehen wir in Betracht, welcher Missbrauch mit diesen Informationen betrieben werden könnte, dann erhält das Problem eine neue Dimension. Denn durch den Zugriff auf „historische“ medizinische Daten lassen sich beispielsweise von betroffenen Personen Profile erstellen.
Zur Illustration betrachten wir Systeme, die Daten aus mehreren Jahrzehnten speichern, also sehr weit zurückgehen. Das “jüngste” ausgewählte Archiv enthält Daten, die bis in den Dezember 2007 reichen. Das folgende Bild veranschaulicht die Daten und damit verbundenen Zeitspannen, die wir auf diesen Systemen gefunden haben.
(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).
Beispiele für Geschichten aus den Archiven sind:
Mit diesen Informationen wäre medizinischer Identitätsdiebstahl möglich – mit allen negativen Konsequenzen wie Manipulation oder Erpressung. Zudem schlummern zahlreiche weitere Datenschutz-Verletzungen in diesen Archiven:
Sollte die Vergangenheit uninteressant sein, schauen wir in die Zukunft. Ein System enthält Datum und Uhrzeit von künftigen Terminen, auch hier mit vollem Namen und Geburtsdatum. Da diese Einrichtung eher regional arbeitet, lässt sich die Adresse, Telefonnummer, der Arbeitgeber und andere Informationen einer Person leicht herausfinden. Wie? Der Dank gebührt Facebook, Instagram und Co.! Ein bewussterer Umgang mit Social Media wäre jedem von uns anzuraten.
Einige interessante Reaktionen …
Die Warnungen vor Missbrauch sind berechtigt: so erreichte uns eine Nachricht eines Anbieters von Künstlicher Intelligenz in der Medizin. Der Anwalt des Unternehmens erbat unverblümt den Zugriff auf die Patientendaten. Auf unsere Standardantwort, dass wir dem EU-Datenschutz unterliegen und diesen vollständig beachten, kam zurück: „In den USA ist das ja anders”. Wahrscheinlich ist es besser, diesen Teil der Geschichte auf sich beruhen zu lassen.
Ebenso fragten einige Rechtsanwaltskanzleien an, ob wir Material für ihre Sammelklagen, gerade in den USA, beisteuern könnten. Wir haben keine Informationen zur Verfügung gestellt.
Apropos rechtliche Aspekte: Als wir über 140 individuelle Responsible Disclosures verschickten, hatten wir damit gerechnet, eine Reihe von Unterlassungserklärungen zu erhalten. Es kam keine einzige. Die Unternehmen, die nach Erhalt der Disclosure mit uns Kontakt aufnahmen, haben alle positiv reagiert. Ihr Ziel – und unseres – war und ist die Situation zu verbessern und nicht „den Boten zu erschießen”. An dieser Stelle möchten wir einen Dank an Troy Hunt aussprechen. Seine Arbeit rund um Responsible Disclosures half uns sehr.
Nach der Veröffentlichung unserer ersten Analyse haben manche Interessenvertreter aus der Gesundheitsbranche trotzig reagiert: „Nein, das kann nicht sein. Die gefundenen Systeme werden wahrscheinlich in der Tiermedizin oder in der universitären Forschung genutzt. Aber unsere Krankenhäuser und Ärzte nehmen den Datenschutz sehr ernst.” Tatsächlich haben wir 72 PACS-Systeme gefunden, die von Tierärzten benutzt werden. Diese wurden jedoch nicht in unserer Analyse verwendet. Es ist sehr wahrscheinlich, dass auch diese Systeme eine große Menge an persönlichen Informationen enthalten – aber das wäre eine andere Geschichte. Außerdem mussten wir genau auf Abkürzungen achten, denn VET und PET haben zwei Bedeutungen. Veterinär und Veteran, bzw. Pet (Tier) oder die Bezeichnung PET-CT.
Als abschließende (aber nicht ernst gemeinte) Anmerkung in diesem Abschnitt: eine Twitter-Nachricht fragte, ob wir Bilder von „bone spurs“ in den Daten gefunden haben. Nein, aber wir haben auch nicht gesucht.
Was als nächstes…
Wir werden den Zustand der ungeschützten PACS-Systeme auf der Welt weiter beobachten. Selbstverständlich werden wir auch die zuständigen Datenschutz- und Justizbehörden bei der Behebung und Beseitigung dieses globalen Datenlecks weiter unterstützen. Es sind immer noch mehr als 400 ungeschützte PACS-Systeme mit dem Internet verbunden, mit mehr als 27 Millionen Untersuchungen wodurch etwa 9 Millionen Menschen betroffen sind.
Für uns ist dies ein wichtiges Beispiel dafür, dass Informationssicherheit und Datenschutz nicht nur mit ausgeklügelten APTs, aufwändigem Social Engineering oder mit BlackHats und deren magischem Programmcode zu tun hat. Vielmehr geht es um die tägliche Beachtung der Basics. Deswegen haben wir diese Analyse so einfach wie möglich gehalten: kein speziell entwickelter Progammcode, keine Automatisierung, keine Scripte. Jeder wäre in der Lage gewesen, es uns gleich zu tun. Das ist das wahrlich Beängstigende bei diesem Datenleck.
Das Komplexe möglichst einfach zu beschreiben, damit auch die vielen Menschen ohne IT-Sicherheits-Expertenwissen das Problem verstehen können. Das wird unsere Richtschnur für unsere weitere Arbeit in Kritischen Infrastrukturen sein.
„Good“, „Bad“, und “Ugly” – die Anzahl an vertraulichen Patientendaten und Bildern ungeschützt zugänglich im Internet steigt immer weiter
Blog60 Tage später ist es um die weltweite Situtation der ungeschützten PACS Sever nicht besser geworden. Im Gegenteil, gerade in den USA scheint es ein unaufhaltsames IT-Sicherheits- bzw Datenschutz-Desaster zu sein.
1.19 Milliarden Bilder
Das ist die Anzahl an Bildern die mit den ungeschützten medizinischen Untersuchungen verknüpft sind, die wir während unseres Reviews zum globalen Status von medizinischen Bildarchiven im Internet gefunden haben, ein Zuwachs von 60% (von vorher 737 Millionen). Weitere Details finden sich in unserem aktualisierten Bericht darüber wie sich dieser Status in den letzten 60 Tagen seit unserem ersten Report entwickelt hat, wobei diese Zahl verknüpft ist mit mehr als 35 Millionen radiologischen Untersuchungen von Patienten weltweit (ein Plus von 40%, vorher 24,5 Millionen), was – einfach gesagt – beängstigend ist.
Ignoranz oder Gleichgültigkeit?
“Check again” ist eines der Mantras in der Informationssicherheit und insbesondere im Schwachstellen-Management. Stetiges Wiederholen eines Checks zeigt erst auf, wie sich der eigene Cyber-Security-Status entwickelt, ob die getroffenen Maßnahmen und eingesetzten Werkzeuge auch wirklich funktionieren und den gewünschten Nutzen bringen. Basierend auf diesem Ansatz haben wir uns entschieden, relativ zeitnah nach dem ersten Bericht ein Review durchzuführen. Und zwar 60 Tage später, denn diese Zeitspanne ist in den USA (als hauptsächlich betroffenes Land) der Zeitrahmen in dem ein Datenleck im Gesundheitssektor gemeldet werden muss.
Allerdings haben wir nicht erwartet, noch mehr Patientendaten zu finden, mit noch mehr verknüpften Bildern. Die Frage nach Ignoranz oder Gleichgültigkeit kann eigentlich nur mit „beides, und zwar in einer ungesunden Kombination“ beantwortet werden, denn für die meisten der von uns geprüften Systeme hatten und haben wir immer noch Zugang zu den persönlichen Daten und Gesundheitsinformationen.
Es gibt so etwas wie einen Hoffnungsschimmer, da es einige Länder geschafft haben, die jeweiligen identifizierten Archiv-Server komplett aus dem öffentlichen Internet zu nehmen. Allerdings wird diese Hoffnung wieder getrübt durch die gestiegene Anzahl an zugänglichen Untersuchungen und Bildern, sowie den neuen Ländern auf unserer Liste.
“Good, bad und ugly”
Hoffnung macht, das sich die Gesamtzahl an PACS-Servern um 43 reduziert hat. Allerdings ist das nu ein kleiner Anteil am Gesamten (<10%). Bei näherer Betrachtung der Ergebnisse lassen sich drei Gruppen von Ländern in unseren Daten zusammenfassen.
Ländern (wie oben erwähnt) die es geschafft haben, alle gefundenen System aus dem öffentlichen Internet zu nehmen. Die Situation hat sich zum Guten gewandelt.
Länder in denen wir immer noch viele System finden und abfragen können, in denen sich die Situation also nicht oder nur sehr geringfügig verändert hat. Die Situation ist immer noch schlecht.
Diese Gruppe besteht aus wenigen Ländern, wo die Situation der Archivsysteme vehement schlechter geworden ist, die Zahlen stark nach oben gingen, sie also häßlich wurde.
Neue Datenpunkte
Für die letzte Gruppe an Ländern haben wir auch weitere Datenpunkte hinzugefügt. Einer davon ist der Standort des PACS-Servers im Land, die wir auf Bundesstaaten bzw. Provinzen eingegrenzt haben. Ein anderer ist die Anzahl der in den Daten gefundenen medizinischen Einrichtungen und Ärzten bzw Therapeuten. Beide sind nicht einfach, da sie nur als Annäherung zu sehen sind und evtl. Falsch interpretiert werden könnten (zB wenn wir Städte und Gemeinden nennen würden anstelle von Bundesstaaten). Der präzise Standort eines Archives bedeutet nicht, dass sämtliche Daten im System von Patienten aus der näheren Umgebung stammen (daher nur die Verortung auf Bundesstaat bzw Provinz). Wie schon im ersten Bericht haben wir die Daten zur Laufzeit analysiert und keine Datensätze auf unseren Systemen gespeichert. Nur Zählungen und Zusammenfasungen, sowie Indikatoren für den Standort haben wir tatsächlich gespeichert.
Besonderer Blick auf die USA
Die USA sind das am stärksten von diesem Datenleck betroffene Land, Darum haben wir uns die Situation dort und die Daten etwas genauer angesehen. Nicht nur sind die Gesamtzahlen für Untersuchungen und Bilder noch oben geschnellt, wir haben auch einige alarmierende Datensätze in den ungeschützen PACS-Servern in den USA gefunden.
Ein sehr großes Archiv erlaubt vollen Zugriff auf die PHI (Personal Health Information) inclusive aller verknüpften Bilder zu ca. 1,2 Million Untersuchungen. Hinzu kommt, das etwa 75% der Datensätze auch die Social Security Number des Patienten enthalten. Das Schadenspotential für den sog. Medical Identity Theft summiert sich auf etwa 3,3 Milliarden US-Dollar. Dieser Wert macht alleine etwa 2/3 des gesamten Schadenspotentials für diese Art von Cybercrime bei den gefundenen PACS aus.
Ein anderes Archiv scheint Daten von Angehörigen des US-Militärs (inklusive der sog. DoD-ID) zu enthalten, wenn man vom Namen der medizinischen Einrichtung und anderen Hinweisen ausgeht. Obwohl die Zahl der Datensätze nicht besonders hoch ist, bedeutet der Umstand alleine, dass hier eine Reihe von Varianten zur Ausnutzung möglich sind (über die im ersten Bericht beschriebenen hinaus).
Die folgende Grafik verdeutlicht die Situation in den USA, für die betroffenen Bundesstaaten.
(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).
Die Gesamtsituation der PACS-Server in den USA bestätigt unsere Annahmen zu den Schlüsselfaktoren einer hohen Cyberresilienz. Einen Bericht dazu warden wir in den kommenden Wochen veröffentlichen..
Empfohlene Maßnahmen
Im Bericht nennen wir auch einige mögliche Maßnahmen für jeden ‚Beteiligten‘. Diese Maßnahmen sind einfache Schritte die es wahrscheinlicher machen, Geräte die unnötigerweise mit dem Internet verbundene sind zu finden. Für Patienten sind es Tips, wie sie sicherstellen das der medizinische Dienstleister, der Arzt oder Radiologe versteht, wie wichtig die Sicherheit und der Schutz der eigenen Daten zu nehmen ist.
The report
Greenbone’s aktualisierter Bericht ist hier [1] zum Download, in englischer Sprache.
Unsere White Paper [2] zum tieferen Einstieg in die Digitale Widerstandsfähigkeit von Kritischen Infrastrukturen inklusive des Gesundheitssektors sind hier.
Wie bereits im ersten Bericht zum Ausdruck gebracht, geben wir aufgrund der Sensibilität der Daten Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Ausblick
Die erwähnte Studie zu Fähigkeiten die notwendig sind um eine höhere Cyber-Resilienz zu erreichen wird in den kommenden Tagen veröffentlicht. Diese Studie umfasst die großen Wirtschaftsnationen der Welt und 6 Sektoren, die als Kritische Nationale Infrastrukturen gesehen werden. Diese sind:
Mehr dazu dann auch hier im Blog.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
[1] Greenbone Security Report – Unprotected Patient Data, a review
[2] Greenbone Whitepaper – Gesundheit
Schwachstellenmanagement von Greenbone testet auf ungeschützte medizinische Bildarchivierungssysteme
PresseOsnabrück, 15. 10. 2019 – Greenbone, Lösungsanbieter zu Schwachstellen-Management und -Analyse von IT-Netzwerken, erweitert die Funktionen seines Security Feeds. Mit neuen Tests erkennt dieser nun ungeschützte digitale Systeme zur Verarbeitung, Verwaltung und Archivierung von medizinischen Bildern und Daten (Picture Archiving and Communication Systems, PACS). Kürzlich legte Greenbone eines der größten Datenlecks im Gesundheitssektor offen: Der Bayerische Rundfunk berichtete.
Sensible Patientendaten benötigen einen lückenlosen Schutz. Eine Datenanalyse von Greenbone fand jüngst jedoch 2.300 medizinische Bildarchivierungssysteme, die mit dem öffentlichen Internet verbunden und quasi für jedermann mit wenigen Klicks einsehbar waren. Mittels einer frei verfügbaren Viewer-Software für das „Digital Imaging and Communications in Medicine (DICOM)“-Protokoll sowie über die Suchmaschine Shodan konnten die entsprechenden IP-Adressen und Server ermittelt und die öffentliche Verfügbarkeit der Daten verifiziert werden.
Greenbone fand heraus, dass ein nicht unerheblicher Anteil der PACS weltweit den ungesicherten Zugriff auf bestimmte Bilddateien inklusive sensibler Daten wie Patientenname, Geburts- und Untersuchungsdatum sowie den Grund der Untersuchung, erlaubten. In Deutschland waren etwa 15.000 Datensätze im Internet zugänglich, mit 1,38 Millionen radiologischen Bildaufnahmen, wie CTs, MRTs oder Mammographie-Bildern – abrufbar ohne Passwort oder Authentifizierung. Nach Meldung von Greenbone an das Bundesministerium für Informationssicherheit (BSI) sind diese mittlerweile geschlossen.
Die neue Funktion des Greenbone Security Feeds soll Krankenhäusern, radiologische Praxen und anderen Gesundheitseinrichtungen in Zukunft dabei helfen, solche Datenlecks zu vermeiden. Mit neuen Vulnerability Tests im Security Feed der Schwachstellenmanagement-Lösung von Greenbone, testen Kunden aus dem Gesundheitssektor ihre Bildarchivierung auf ungeschützte PACS. In der Open-Source-Lösung, dem Greenbone Community Feed (GCF), lässt sich die Erreichbarkeit eines Dienstes über die hierfür vorgesehen Ports testen. Im Greenbone Security Feed (GSF) stehen weitere Überprüfungen zur Verfügung.
Kunden bekommen hier ein Mehr an Informationen: Nicht nur, ob eine verschlüsselte Verbindung für die Übertragung der sensiblen Daten verwendet wird, Daten abrufbar sind oder eine Authentifizierung konfiguriert ist. Nutzer können zusätzlich die Application Entity Titles (AET) des Systems überprüfen. Über den AE Title wird der Zugriff auf bestimmte Bild-Datenbanken des Systems geregelt. Via Brute-Forcing wird auf Standard-AETs geprüft, die unbefugten Zugriff auf die Datenbank erlauben könnten. Wichtig: Die öffentliche Erreichbarkeit von Geräten wird ebenfalls getestet. Sollte dieser Test positiv ausfallen, können Betreiber der Systeme umgehend Maßnahmen zur Schließung der Sicherheitslücken ergreifen.
Dirk Schrader, CISSP, CISM und ISO/IEC 27001 Practitioner bei Greenbone, kommentiert: „Das PACS-Server ausles- und angreifbar sind, haben in der Vergangenheit schon mehrere Sicherheitsforscher bemängelt. Was uns schockiert hat, war das Ausmaß des Datenlecks. Unsere Analysen haben weltweit offene PACS-Systeme aufgedeckt. Das darf einfach nicht passieren. Mit unserer neuen Funktion im Greenbone Security Feed zum Test auf ungeschützte PACS wollen wir unseren Beitrag leisten, um die Daten und Bilder von Patienten in Zukunft zu schützen.“
Die neue Erkennung von ungeschützten PACS-Systemen ist verfügbar für Kunden, die über einen Greenbone Security Manager (GSM) oder eine Installation der Greenbone Community Edition (GCE) beziehungsweise des Greenbone Vulnerability Managements (GVM) verfügen. Nutzer des Greenbone Community Feeds erhalten weitere Informationen auf der Community-Seite. Anwender des Security Feeds wenden sich an den Support. Allgemeine Hinweis zur Behebung von Schwachstellen erhalten User zusammen mit den Vulnerability Tests (VT) des Security Feeds.
Ungeschützte Patientendaten im Internet – ein massives globales Datenleck
BlogMedizinische Systeme und Prozesse des Gesundheitssektors werden immer weiter digitalisiert. Dafür nutzen Arztpraxen und Krankhäuser – wie alle anderen Branchen auch – die Technologien des Internets und vernetzen sich auf IP-Basis untereinander. Das dies gründlich schief gehen kann, zeigt eine globale Daten- und Informationssicherheitsanalyse von medizinischen Bildarchivierungssystemen.
Die Ausgangslage
Röntgenbilder und andere bildgebende Verfahren wie CT und MRT sind aus dem Klinikalltag schon lange nicht mehr wegzudenken. Diese daraus resultierenden Bilder helfen Ärzten und Therapeuten dabei, eine Diagnose zu stellen, für einen Patienten die richtige Behandlung zu erarbeiten oder den Behandlungsfortschritt zu beobachten und zu dokumentieren. Dazu nutzen Klinikbetriebe umfangreiche Bildarchivierungsysteme, sogenannte PACS-Server (Picture Archiving and Communication Systems-Server), in denen die Bilder gespeichert werden und von Medizinern bei Bedarf abgerufen werden können. Das PACS-Server angreifbar sind, ist schon länger bekannt [1]. Was bis heute unbekannt war, ist, wie groß und verbreitet dieses globale Datenleck tatsächlich ist.
Doch worum geht es genau. Einfach formuliert, betrifft dieses Datenleck einen Standard, der in den 80er Jahren entwickelt wurde. Dieser Standard nennt sich DICOM (Digital Imaging and Communications in Medicine) und beschreibt, wie Medizingeräte der Bildgebung miteinander vernetzt werden können, um so Informationen zu Patienten und Bildern auszutauschen und zu archivieren. PACS-Server nutzen diesen Standard, der auch die Verwendung des IP-Protokolls einbezieht. Damit sind diese Systeme auch im Internet auffindbar. Die daraus entstandene Liste an IP-Adressen war Gegenstand der Sicherheitsanalyse.
Die Schwächen
Sowie etwas mit dem öffentlichen Internet verbunden wird, stellt sich die Frage nach der Absicherung des jeweiligen Systems vor unbefugtem Zugriff. Wer soll was mit dem System machen können? Für die gefundenen Archivsysteme scheint die Antwort, sei sie noch zu unbeabsichtigt, zu sein: Jeder und alles.
Wie zu erwarten, enthalten diese Archive sensible medizinische und persönliche Informationen von Millionen von Menschen weltweit. Name, Geburtsdatum, Datum einer Untersuchung, Details der Untersuchung, behandelnde Ärzte, Kliniken, bis hin zu Informationen wie der amerikanischen Social Security Number und den eigentlichen Bildern, ist alles abrufbar und teilweise als Download verfügbar.
Das dies möglich ist, liegt an der nachlässigen Konfiguration dieser Systeme, die ohne jeglichen Schutz, ohne Passwort oder Verschlüsselung, diese Daten einem Internetnutzer, der ein paar Handgriffe tätigt, bereitstellen.
Der Begriff Internetnutzer ist ganz bewusst gewählt, denn für diese Abfrage muss kein Code geschrieben werden, keine Software-Schwachstelle ausgenutzt werden, oder eine Zero-Day-Attacke gefahren werden. Man muss also kein Hacker sein, um sich Zugang zu diesen hochsensiblen Daten zu verschaffen, sondern bekommt unter Zuhilfenahme von frei verfügbaren Tools direkt auf den Bildschirm geliefert. Um diese Daten zu sehen und – falls gewünscht – herunterzuladen, benötigt man nur eine Liste von IPs und einen entsprechenden Viewer. Beides gibt es zum Download im Netz.
Das Ausmaß
Die Zahlen, die dabei zusammenkamen, sind erschreckend. Über 24 Millionen Datensätze mit mehr als 700 Millionen verlinkten Bildern. Aus diesen sind 400 Millionen tatsächlich herunterladbar. Diese ungeschützten Systeme stehen in 52 Ländern der Welt. Neben der “Offenheit‘“ der Systeme, haben diese auch noch tausende „echte“ Schwachstellen, also veraltete Webserver-Versionen und angreifbare Datenbank-Instanzen. Zum Teil erlauben es die PACS-Server auch, via http und einen Webbrowser die Patientendaten und Bilder zu betrachten.
Der Bericht
Greenbone hat einen vollständigen Bericht verfasst, der hier zum Download [2] zur Verfügung steht. Der Bericht enthält weitere Zusammenfasungen der Gesamtsituation, eine Analyse des Gefahrenpotentials verbunden mit diesem Datenleck sowie eine Schätzung, welche Summe dieser Datenschatz im Darknet möglicherweise erbringen könnte. Für einen tieferen Einstieg in die digitale Widerstandsfähigkeit von kritischen Infrastrukturen, zu denen der Gesundheitssektor gehört, ist das Whitepaper [3] geeignet. Hier erhalten Sie weitere allgemeine Informationen zum Thema Datensicherheit.[4]
Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes, geben wir aufgrund der Sensibilität der Daten nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
[1] McAfee.com bzw. CT-GAN: Malicious Tampering of 3D Medical Imagery using Deep Learning
[2] Greenbone Sicherheitsbericht – Ungeschützte Patientendaten im Internet
[3] Greenbone Whitepaper – Gesundheitssektor
[4] Was ist IT-Sicherheit, Informationssicherheit und Datensicherheit?
Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?
BlogHack Backs – Pro und Kontra
Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.
Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen – mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde „verloren“ gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte „Hack Backs“ zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.
Der Graumarkt für Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente Schwachstellen und die damit verbundenen Exploits werden mittlerweile zu Preisen von über 1 Million Dollar, wenn sie auf Windows-Desktops und -Server abzielen. Die Zahl kann sich für Exploits bei mobilen Geräten (insbesondere Apple) verdoppeln. Wenn die Regierungen ihre Pläne zum „Hack Back“ durchsetzen, ist zu erwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das erstrebenswert?
Die Chronik von EternalBlue
EternalBlue, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 „entdeckt“. Die NSA behielt ihr Wissen zunächst für sich. Allerdings gingen bis Mitte 2016 die Informationen über die Schwachstelle und deren Exploits quasi bei der NSA verschütt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schließlich, ihr Wissen um den Jahreswechsel herum zu veröffentlichen.
Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandora’s Box geschlossen zu halten.
Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr 9 Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar Schaden. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.
Die Ökonomie des Cyberwaffen-Marktes
Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen „Umsatz“ von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von „Cybercrime-as-a-Service“ machen nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.
Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses „Geschäft“ zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.
Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie „in the wild“ entdeckt wurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.
Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen „fairen“ Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese „As-a-Service“-Plattformen sind CERBER, SATAN oder DOT.
Staatlich sanktioniert, staatlich gefördert oder staatseigen
Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.
Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.
Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen „Interessen der nationalen Sicherheit“ als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.
Unterm Strich ein klares Nein
Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.
Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.