34
SCHWERPUNKT
HOCHVERFÜGBARKEIT & IT-SICHERHEIT
MIDRANGE
MAGAZIN · 10/2017
Klinikum Arnsberg schützt sich vor Cyber-Angriffen
Frühwarnsystem im
Krankenhaus
IT im Krankenhaus hat eine besonders kritische Bedeutung. Sie muss hier zuverlässig funk-
tionieren, damit ihr Betreiber Leben retten kann. Im Februar 2016 verzeichnete das Klinikum
Arnsberg einen Vorfall, bei dem Angreifer die bereits vorhandenen Sicherheitssysteme
überwinden konnten. Malware hatte sich ihren Weg über Links in Social-Engineering-Mails in
die IT-Landschaft des Klinikverbunds gebahnt, der aus dem Marienhospital in Arnsberg, dem
Karolinen-Hospital in Hüsten und dem St.-Johannes-Hospital in Neheim besteht. Um Schäden
zu vermeiden, entschloss sich die IT-Leitung, die IT herunterzufahren – auch auf Anraten des
eilends konsultierten Landeskriminalamts.
D
a die wesentlichen medizinischen
Geräte auch ohne Anbindung ans
Netz funktionieren, war die Versor-
gung der Patienten jederzeit unein-
geschränkt sichergestellt. Die klini-
kinternen Kommunikationsprozesse
allerdings mussten fast zwei Tage lang
mit erhöhtem Aufwand manuell abge-
wickelt werden. „In unserem Fall ha-
ben es die Mitarbeiter mit gewaltigem
Engagement geschafft, den Betrieb
mittels ‚Zettelwirtschaft‘ über die Aus-
fallzeit zu retten“, erinnert sich Stefan
Peters, Leitung Geschäftsbereich IT
beim Klinikum Arnsberg, „aber über
einen längeren Zeitraum hinweg hätten
wir unsere Arbeit so nicht bewältigen
können.“ Neue Patienten etwa konnten
nur noch in dringenden Fällen aufge-
nommen werden. Am Ende verzeich-
nete das Klinikum einen Schaden in
siebenstelliger Höhe.
Um weiteren Attacken dieser Art
künftig besser begegnen zu können,
entschied sich das Klinikum, neben
einer Vielzahl anderer Maßnahmen, in
ein Frühwarnsystem gegen Cyber-An-
griffe zu investieren. Ziel war es, Atta-
cken schneller aufdecken und eingren-
zen zu können, etwa um Bereiche der
Technik in Zukunft auch sektorenweise
außer Betrieb nehmen zu können. Die
Aktions- und Kommunikationsfähig-
keit sollte in zukünftigen schwierigen
Situationen so weit wie möglich er-
halten bleiben. Als mögliche Lösung
prüfte man früh die Implementierung
eines Security-Information-and-Event-
Management-Systems (SIEM).
Lösungen dieser Art sammeln die
Logdaten der verschiedenen IT-Syste-
me zentral ein und setzen Daten, die
auf mögliche Angriffe schließen lassen,
zueinander in Beziehung (Korrelation).
Aus dieser Perspektive werden auch
komplexe schädliche Vorgänge er-
kennbar, die den Einzelsensoren mög-
licherweise entgehen – dazu gehören
gezielte, direkte Angriffe durch Cyber-
Kriminelle oder komplexe Malware-Ak-
tivitäten, wie sie bei Ransomware-Atta-
cken auftreten. Der SIEM-Einsatz hilft,
die Angriffsmuster ohne zusätzliches
Personal und unter geschickter Aus-
wertung der Daten bereits vorhandener
Security-Systeme schnell zu entdecken,
effizient zu bewerten und automatisiert
zu neutralisieren.
Da bereits eine Geschäftsbeziehung
zwischen dem Dienstleistungspartner
DTS und dem Klinikum Arnsberg be-
stand und man sich häufiger über Secu-
rity-Themen ausgetauscht hatte, nahm
die IT des Krankenhausverbunds Kon-
takt mit DTS auf. Die nächsten Schrit-
te folgten schnell: Erste gemeinsame
Gespräche zusammen mit dem SIEM-
Anbieter LogRhythm fanden 2016 wäh-
rend der CeBIT statt, wo eine mögliche
Lösung andiskutiert wurde, und im
April 2016 traf man sich in Arnsberg.
Dort konnte schließlich ein konkreter
Evaluationsprozess vereinbart werden.
Erfolgreicher Proof of Concept
Stefan Peters prüfte die angebotene Lö-
sung schließlich auf Herz und Nieren.
„Man hört immer, SIEM-Einführungen
seien endlos und hochkomplex“, er-
innert er sich, „aber das können wir
nun wirklich nicht bestätigen: Wir hat-
ten innerhalb kürzester Zeit Resultate
vorzuweisen!“ Das LogRhythm-System
selbst etwa konnte innerhalb von vier
Stunden in Betrieb genommen werden.
Anschließend begannen die Security-
Spezialisten der DTS und des Kunden
sofort mit der Anbindung der zuvor
ausgewählten Logquellen. Bereits am
zweiten Tag war es dann möglich, die
ersten Korrelationsregeln einzuschal-
ten und Mehrwerte zu liefern. Die
derart kurzfristig einsetzbaren Erken-
