Zeit ist nicht nur Geld, sie ist vor allem Mangelware – das gilt auch für Führungskräfte im Gesundheitswesen. Infolgedessen spenden diese ihrer digitalen Sicherheit in der Regel zu wenig Aufmerksamkeit. Mit schwerwiegenden Folgen, denn vor allem kompetente, wirtschaftlich motivierte Cyberkriminelle haben es auf das C-Level in Krankenhäusern oder bei Krankenversicherungen abgesehen, die als KRITIS-Unternehmen besonders im Visier der Hacker stehen. Die Klinikleitung und das Management hat häufig umfassende Zugriffsrechte auf IT-Assets, darf Arbeitsaufträge verteilen und Informationen einholen. Um ihre Person und ihre digitale Identität zu schützen, benötigen leitende Angestellte ein substanzielles Sicherheitsbewusstsein, gegen spezifische Risiken schützende Technologien und aufmerksame IT-Administratoren als Assistenten in Sachen digitaler Sicherheit.
Wirtschaftlich motivierte Angreifer wählen lukrative Ziele aus, die einen Gewinn durch Erpressung oder Zugriff auf monetarisierbare Informationen versprechen. Die Führungsetage stellt Cyberkriminellen eine hohe finanzielle Ausbeute, verwertbare Daten und auch ein hohes Erpressungspotential in Aussicht. Denn ein Klinikbetrieb darf nicht stillstehen. Sicherheitsexperten müssen demzufolge die Gefahren für diese exponierten Vertreter einer Organisation kontinuierlich beobachten und bewerten: Ist etwa ein diesen zugeordnetes, hochprivilegiertes Nutzerkonto kompromittiert, hat das möglicherweise beträchtliche Folgen für sein Ansehen und für die persönliche Haftung eines Geschäftsführers.
Gehobenes Risikoprofil
Verschiedene Faktoren machen die Chefetage zu angreifbaren und lohnenden Zielen, wie Beispiele aus der Wirtschaft zeigen:
Vor allem sind es die weitreichenden Zuständigkeiten, die Mitglieder des C-Levels zu einem geeigneten Ansatzpunkt für Angriffe machen. Hacker können Weisungsbefugnisse gegenüber den Mitarbeitern für ihre Zwecke missbrauchen. Wegen einer Phishing-Mail, die vermeintlich ein Vorgesetzter versendet hatte, überwiesen 2016 Mitarbeiter eines deutschen Autozulieferers 40 Millionen Euro an die Angreifer. Jüngst wurde ein Manager doch noch rechtzeitig stutzig, als ein Deepfake-Bot einen Sprachanruf startete. Eine persönliche Kontrollfrage des Angerufenen, die nur der echte Vorgesetzte hätte beantworten können, stoppte den Angriff.
Entscheidend ist auch der Zugang auf unternehmenskritische Ressourcen. Ein australischer Hedgefonds verlor acht Millionen Dollar an Hacker mit Zugriff auf die Buchhaltungssysteme. Das dafür notwendige Privileg war die Beute einer authentisch wirkenden Phishing-Mail, die einer der Unternehmensgründer beantwortet hatte. Der immer noch vielzitierte Angriff auf das Lukas-Krankenhaus in Neuss startete 2016 mit einer Phishing-Mail an die Verwaltung.
Zum anderen ist es die hohe Arbeitslast und der ständige Wechsel zwischen verschiedenen Angelegenheiten, die dann zum schnell bereuten Klick auf einen Link oder Anlagen führen.
Leitende Angestellte oder auch Mediziner sind zumindest in der Fachöffentlichkeit exponiert. Auf Tagungen treten sie als Sprecher auf, verschiedene Kanäle oder soziale Medien machen dies bekannt. Angreifer nutzen Daten aus LinkedIn oder Xing, Fallstudien und anderen öffentlich zugänglichen Medien für Social-Engineering mit Rückbezug auf reale Kunden, Teilhaber, Zulieferer oder Partner.
Fatalerweise sind es oft Mitglieder des C-Levels, die sich von wesentlichen Kontrollen ausklammern lassen – primär dann, wenn ihre Arbeit den Zugang zu unterschiedlichen, oft sensiblen Daten und Systemen erfordert. Zwar ist das nachvollziehbar, aber es hat mitunter gefährliche Konsequenzen. Wenn beispielsweise eine Geschäftsführung einmalig Zugang zu den Gehaltsabrechnungen benötigt, bleibt dieses Recht oft auch nach dem eigentlichen Anlass bestehen. Welche Folgen es hat, wenn Unbefugte die digitale Identität des Chefs mitsamt dessen Privilegien kompromittieren, zeigt sich dann erst später.
Geschäftsführer brauchen daher einen besonderen, flankierenden Schutz. Sie können und müssen nicht Sicherheitstools bedienen oder technische IT-Sicherheitsrichtlinien erstellen oder sie en Detail umsetzen. Sie sind auf Hilfe angewiesen. Diese können sie sich von internen wie externen IT-Sicherheitsexperten holen. Administratoren können die Sicherheitsassistenten für das C-Level sein und mithilfe von Extended-Detection-and-Response (XDR)-Plattformen die nötige Überblicksperspektive über die im Unternehmen geltenden Zugriffs- und Autorisierungsrichtlinien erlangen. Darauf aufbauend können sie Risiken erkennen und priorisieren. Es bedarf zudem einer umfassenden Plattform, die Endpunkte, Nutzer und Prozesse in der ganzen IT-Infrastruktur mithilfe von KI observiert. Nur so können die IT-Sicherheitsverantwortlichen Hinweise auf einen gezielten Angriff identifizieren. Externe Experten helfen auch dem C-Level, wenn Sicherheitsexperten in einem Security Operation Center einen Managed-Detection-and-Response (MDR)-Dienst in Anspruch nehmen. Dieser kann durch ein Darknet Monitoring erkennen, ob Informationen zu Führungspersonen im Netz kursieren und Hacker sie zum Verkauf anbieten.
Ein effektiver Schutz des C-Levels ruht auf drei Säulen:
1. Schäden dank schneller Analyse abwenden
Entscheidend ist es, die Angriffe mit potenziell gravierenden Folgen möglichst schnell auszumachen, damit es zu keinen oder nur geringen und reparablen Schäden kommt. Damit dies gelingt, muss eine XDR-Plattform alle wesentlichen Sicherheitsvorkommnisse und -informationen sammeln. KI kann dabei scheinbar nicht verknüpfte Prozesse in einen Zusammenhang setzen. Sogar die weltbesten Sicherheitsanalysten tun sich mittlerweile schwer, eine komplex untergliederte oder mehrstufige Attacke schnell genug zu durchleuchten. Im Gegensatz dazu operiert eine XDR-Plattform in Echtzeit, wodurch sie die benötigte Zeit, um eine Attacke zu erkennen, signifikant verkürzt.
2. Das Ausmaß einer Attacke beurteilen
IT-Sicherheitsanalysten erhalten von einer XDR-Plattform frühzeitig die notwendigen Hintergrundinformationen, damit sie eine Attacke und deren Konsequenzen beurteilen können. Die Plattform kombiniert automatisiert Informationen darüber, auf welchem Weg der Hacker den Zugriff zum Netzwerk erlangt hat, wie er sich anschließend im System verbreitete und welche Einheiten schlussendlich befallen sind. Außerdem deckt sie auf, ob die Angreifer Daten herausgeschleust haben und Command-and-Control-Nachrichten übertragen haben.
3. Reaktionen sofort einleiten
Um eine Attacke abzuwehren oder ihre Konsequenzen zu begrenzen, sind Informationen entscheidend, die sich einfach umsetzen lassen und die vor allem leicht nachvollziehbar und bestenfalls visualisiert sind. Beispiele hierfür sind Ratschläge zur Quarantäne konkreter Systeme, das Blockieren des Zugriffs für gewisse Nutzer, das Schließen von Programmen oder auch das Revidieren von Endpunkten.
Tools und Verhalten für eine weitestgehende Schutzwirkung
Das Gefahrenpotential von Attacken auf das C-Level ist enorm – sie können Umsatzverluste, Kündigungen oder sogar die Insolvenz eines Unternehmens nach sich ziehen. Dennoch legen viele leitende Angestellte eine Lässigkeit an den Tag und setzen die Möglichkeit eines schnellen Zugriffs und der Produktivität vor die Sicherheit. Zum Glück führt eine gute Cyberhygiene im ganzen Unternehmen dazu, dass Sicherheits-Teams einen Großteil der Attacken abwehren können. Mithilfe einer XDR-Plattform können sie zudem effektiv Attacken rechtzeitig entdecken und Rechte besser managen.
Schlussendlich ist aber auch jeder Angestellte gefragt: Nimmt ein Vorgesetzter auf eine ungewöhnliche Art und Weise Kontakt auf, gilt es genauso vorsichtig zu sein, wie bei einer zweifelhaften Nachricht im E-Mail-Account. Maßnahmen, um das Sicherheitsbewusstsein aller Mitarbeiter und der Geschäftsführung zu verbessern, sind deshalb unabkömmliche Elemente einer konkreten Sicherheitsstrategie.
Jörg von der Heydt, Regional Director DACH bei Bitdefender