Smartphone-Sticker, Seminare, Schulungen – die Liste der Maßnahmen, die Klinik-mitarbeiter für das Thema IT-Sicherheit sensibilisieren sollen, ist lang. Nur Spaß macht das Thema IT-Sicherheit meistens nicht. Erschwerend kommt hinzu, dass Veranstaltungen zum Thema Awareness (engl. für Bewusstsein, Aufmerksamkeit) für IT-Fachpersonal häufig gar nicht angeboten werden. Auf die Frage, ob in der eigenen Organisation regelmäßig weiterführende IT-Sicherheitsschulungen für IT-Mitarbeiter durchgeführt werden, antworteten bei einem Online-Voting auf der diesjährigen Fachmesse conhIT 65 Prozent der anwesenden Veranstaltungsteilnehmer mit „nein“. Wenn es IT-Sicherheitsschulungen für IT-Mitarbeiter gibt, finden diese überwiegend via E-Mail statt.

Dabei zeigen Vorfälle wie die Ransomware im Lukaskrankenhaus in Neuss oder die weltweite WannaCry-Attacke im vergangenen Jahr, wie wichtig IT-Sicherheit für den Sektor Gesundheit ist. Im Informationsverbund muss diese neben technischen IT-Sicherheitsvorkehrungen auch Vorkehrungen auf infrastruktureller, organisatorischer und personeller Basis umfassen. Das bedeutet wiederum, dass Schulungen für IT-Security-Awareness nicht beim einfachen Klinikmitarbeiter enden dürfen, sondern auch das IT-Management wie auch das IT-Fachpersonal beteiligt werden müssen. An diesem Punkt setzt „Operation Digitale Schlange“ an.

Wargaming und integriert Elemente der IT-Risiko- und IT-Bedrohungsanalyse

Die IT-Sicherheitsschulung in Form eines Lern- und Planspiels („Serious Game“) wurde im Rahmen des Forschungsprojektes „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ (VeSiKi) entwickelt. Es basiert auf dem Format Wargaming und integriert Elemente der IT-Risiko- und IT-Bedrohungsanalyse. Ziel ist es, IT-Sicherheitsverantwortliche im Umgang mit komplexen und andauernden Bedrohungen und gezielten Attacken zu schulen, wie sie typisch sind für den Gesundheitsbereich.

Denn die Angreifer kennen eine breite Palette von Einfallstoren in das IT-System, im Fach-jargon Angriffsvektoren genannt. Darunter versteht man den Weg oder das Vorgehen eines Angreifers, um Zugriff auf einen Computer oder Netzwerk zu erhalten und Schadsoftware zu installieren. Aktuell beliebt sind zum Beispiel Angriffsvektoren wie fileless Attacks via Windows PowerShell oder das Implementieren nicht-druckbarer Zeichen in der Konfigurationsdatenbank des Microsoft Betriebssystems Windows („Registry“). Ziel ist das Verbergen von Schadcode vor gängigen Sicherheitsprodukten.

Synergieeffekte zwischen verschiedenen Abwehrmaßnahmen nutzen

Darüber hinaus lernen die Teilnehmer in dem Spiel moderne Abwehrmaßnahmen kennen, die über Firewall und Anti-Viren-Schutz hinausgehen und Synergieeffekte zwischen verschiedenen Abwehrmaßnahmen zu nutzen. Der Fokus liegt hier auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Bündel von organisatorischen, personellen, technischen und infrastrukturellen Maßnahmen.

Planspiel zur Verteidigung der Klinik-IT Seit 2015 ist „Operation Digitale Schlange“ als spielerischer, zweitägiger Workshop mit IT-Sicherheitsfachleuten im Einsatz – bei ganz unterschiedlichen Organisationen und Firmen im Gesundheitssektor. Schulungen gab es bereits für Mitarbeiter des Universitätsklinikums Schleswig-Holstein, der Medizinischen Hochschule Hannover, der Kliniken des Bezirks Oberbayern sowie für Beschäftigte diverser Hersteller von medizinischen Geräte. Ziel des Planspiels ist es, die IT-Security Awareness in den Dimensionen Wahrnehmung, Wissen und Verhalten zu steigern. Dafür verwendet das Spiel ausschließlich nicht-digitale, konventionelle Materialien, um der Kreativität freien Lauf zu lassen.

Das Spielmodell umfasst die IT-Infrastruktur eines fiktiven Krankenhauses, das verschiedene Netzwerke wie beispielsweise der Radiologie, Operationssäle und der Verwaltung abbildet. Innerhalb dieser Netzwerke muss sich ein Team („Team Blau“) im Rahmen ihres IT-Sicherheits-konzepts verschiedenen Herausforderungen stellen. Dazu zählen etwa der Umgang mit lokalen und Internet-basierten Wartungsarbeiten der IT-Geräte, der Umgang mit einem veralteten Betriebssystem im MRT oder die sichere Weitergabe von Patientendaten an andere medizinische Leistungserbringer im Rahmen des Entlassmanagements. Zudem beinhaltet der Netzplan klassische IT-Geräte wie mobile Clients, WLAN-Router, Server, Datenbanken und Drucker.

Team Blau gegen Team Rot

Das primäre Ziel des blauen Teams ist, die IT-Infrastruktur des fiktiven Krankenhauses zu verteidigen. Zum Nachteil des Teams beinhaltet das oben genannte Spielmodell zu Beginn jedoch keinerlei IT-Sicherheitsmaßnahmen. Daher muss das blaue Team ein IT-Sicherheitskonzept entwickeln, das neben technischen Aspekten ebenso organisatorische, infrastrukturelle und personelle Maßnahmen mit berücksichtigt, um den Cyberangriffen des Gegnerteams („Team Rot“) standzuhalten.

Unbegrenzte Angriffsmöglichkeiten Das Spiel wird mit einer Gruppe von 8 bis 20 Personen gespielt. Die Spielteilnehmer arbeiten jeweils in Teams von bis zu fünf Personen und verfolgen je nach Spielerrolle unterschiedliche Ziele. So nimmt „Team Rot“ die Sicht eines Hackers ein und soll einen Angriffspfad entwickeln, der für diese Rolle hinsichtlich Absichten, Ressourcen und Methoden typisch ist. Dieser Angriffspfad besteht aus voneinander abhängigen und ggf. alternativen Angriffsvektoren.

Cyberkriminelle, Geheimdienste, Hacktivists oder Script Kiddies

Das rote Team hat zu Beginn des Spiels unterschiedliche Rollen zur Auswahl: Cyberkriminelle, Angriffe von Geheimdiensten („Nation States“), politisch oder ideologisch motivierte Angriffe („Hacktivists“), jugendliche Hacker („Script Kiddies“) oder Mitarbeiter aus dem eigenen Haus. Im Hinblick auf die ausgewählte Spielerrolle haben die Angreifer nahezu unbegrenzte Möglichkeiten, Angriffsziele und Angriffsmethoden zu entwickeln. „Team Rot“ könnte sich in der Rolle von Cyberkriminellen für die Erpressung von Geld entscheiden. Ebenso wäre aber auch die Manipulation von Daten in der Datenbank als Rachefeldzug eines gekündigten Mitarbeiters denkbar – der Phantasie sind im Spiel keine Grenzen gesetzt, es limitieren lediglich die Spielzeit sowie die Plausibilität.

So wurde in einem Spiel am Lübecker Campus des Universitätsklinikums Schleswig-Holstein vor kurzem folgender Angriff entwickelt. Kriminelle Hacker gingen davon aus, dass im Gesundheitswesen die Gesundheit wichtiger ist als geltende IT-Sicherheitsrichtlinien. Unter dieser Annahme täuschten die Angreifer einen medizinischen Notfall eines Besuchers auf einer Station vor, um die Mitarbeiterin an der Anmeldung von ihrem Stations-PC wegzulocken. Ein weiterer „Besucher“ nutzte die Gelegenheit, um einen sogenannten Hardware Keystroke-Injector am Tastaturkabel des Stations-PCs anzubringen, um im Anschluss Tastatureingaben zu simulieren und Schadcode in das System einzuschleusen.

Dieses Vorgehen erschwert die Erkennung der Schadsoftware durch gängige Anti-Viren-Software. Lernen, wie ein Hacker zu denken Nach dem erfolgreichen Einschleusen überwachte die Schadsoftware die Tastatureingaben und wartete darauf, dass die Stationsmitarbeiterin Datensätze in die ePA-Datenbank einpflegte. Ausgewählte, vereinzelte Eingaben wie bspw. Blutgruppe wurden beim Transfer in die ePA-Datenbank durch die Schadsoftware manipuliert, in der Hoffnung, dass diese Änderungen im Laufe der Zeit ebenfalls mit in die Backups des Krankenhauses übernommen werden.

Frustrierte Krankenschwester auf Rachekurs

Nach ca. zwei Monaten planten die Angreifer, das Krankenhaus über die Manipulation in Kenntnis zu setzen und führten als Beweis einige der geänderten Datensätze mit an. Da die Angreifer lediglich vereinzelte Datensätze manipulierten und diese bereits in die Backups mit aufgenommen wurden, war „Team Blau“ nicht in der Lage, die Integrität der Daten in der ePA-Datenbank zu gewährleisten, weshalb sie im Spiel der Erpressung mit der damit verbundenen Geldforderung nachgeben mussten. Ebenfalls positiv ging der Angriff der Innentäter in einem anderen Spiel aus.

Bei diesem wollte sich eine frustrierte Krankenschwester aus Rache die Passwörter ihrer Kollegen beschaffen. Dazu wollte sie einen sogenannten Keylogger einsetzen, mit dem Angreifer unerkannt Tastatureingaben mitlesen können. Unter Nutzung von gestohlenen Mitarbeiteridentitäten und deren Zugriffsrechte plante die Krankenschwester Daten aus der ePA-Datenbank zu kopieren und zu veröffentlichen, um das Krankenhaus bloßstellen zu können.

IT-Sicherheitskonzept mit zwei-Faktor-Authentifizierung

Das IT-Sicherheitskonzept von „Team Blau“ sah jedoch eine Zwei-Faktor-Authentifizierung, USB-Schnittstellenüberwachung sowie Anomalieerkennung vor, weshalb dieser Plan scheiterte. Die Alternativplanung der Angreiferin konnte jedoch durch die Verteidiger nicht unterbunden werden. Denn diese nutzte einen sogenannten Hardware-Sniffer, welchen sie an das Druckerkabel klemmte. Mit Hilfe des Sniffers zeichnete sie fortan sämtliche Druckaufträge anderer Mitarbeiter (z.B. Arztbriefe) auf. Mittels Veröffentlichung dieser Daten konnte die Krankenschwester erfolgreich Rache am aktuellen Arbeitgeber üben und Lücken im IT-Sicherheitskonzept aufzeigen.

Eigentlich hätte der Angriff durch eine Verschlüsselung der Kommunikationsverbindung zum Drucker vereitelt werden können, diese war aber vom blauen Team – wie auch häufig in der Realität – im IT-Sicherheitskonzept nicht berücksichtigt worden. Lösungen müssen nachvollziehbar und transparent sein Für die Ermittlung der Sieger sind Nachvollziehbarkeit in der Argumentation und Transparenz der Entscheidungsfindung besonders wichtig. Die Teams präsentieren nacheinander die erarbeiteten Lösungen.

Im Anschluss geht die Spielleitung Angriffsvektor um Angriffsvektor durch und bezieht die Teams in die Diskussion mit ein. In dieser Bewertung finden die Kriterien Machbarkeit, Plausibilität und Erfolg im Hinblick auf die festgelegten Schutzmaßnahmen. Anschließend folgt das Debriefing. Dieses gibt den Teilnehmern die Möglichkeit, ihre persönlichen Erkenntnisse zu reflektieren und gibt Anregungen, das im Spiel Erfahrene in den Arbeitsalltag zu übernehmen. Die bisherigen veranstalteten IT-Security-Spiele haben gezeigt, dass auch IT-Fachpersonal im Rahmen einer IT-Security-Awarenesschulung stets dazulernen kann und der Spaß dabei nicht zu kurz kommen muss.

Evaluierungen zeigen die Sensibilität für die Sicherheit der eigenen IT

Evaluierungen von Wissenschaftlern zeigen, dass sich durch Spiele wie „Operation Digitale Schlange“ die Sensibilität für die Sicherheit der eigenen IT erhöht. Statt in trockenen Schulungen nur Faktenwissen zu vermitteln, motivieren sie Teilnehmer in spielerischer Form zu Verhaltensänderungen. Für ein langfristig erfolgreiches IT-Sicherheitsmanagement sind jedoch gerade diese Verhaltensänderungen entscheidend. Investitionen in neue Sicherheitstechnologien allein reichen nicht aus.