Security-Schwachstellen in der Arzneimittelbranche IT-Dienstleister warnt vor ungeschützten Mobilgeräten

Autor Julia Mutzbauer

Die Herausforderungen für die IT-Sicherheit nehmen auch in der Pharmabranche weiter zu. Weltweit gab es bereits zahlreiche Berichte über Cyber-Angriffe, die auf Führungskräfte innerhalb der Pharmaindustrie abzielen. Der Security-Anbieter Lookout weist in seinem Report auf gefährliche Sicherheitslücken hin.

Firmen zum Thema

Der Cyber-Schutz in der Pharmaindustrie erfordert einen neuen Ansatz
Der Cyber-Schutz in der Pharmaindustrie erfordert einen neuen Ansatz
(© greenbutterfly - stock.adobe.com)

Mobilgeräte und Cloud-Dienste haben sich auch in der Medizinbranche durchgesetzt. Um wettbewerbsfähig zu bleiben, müssen Daten auf mobilen Endgeräten im gesamten Unternehmen zugänglich sein. Doch ein einziger erfolgreicher Ransomware- oder Phishing-Angriff kann Eindringlingen Zugang zu Forschungsdaten, Formeln, geistigem Eigentum und anderen wertvollen Daten gewähren. „Mobilität und Cloud-Apps sind Produktivitätsgaranten, aber sie erhöhen auch das Angriffsrisiko“, betont das Unternehmen Lookout.

Deshalb müssen die Daten sicher übertragen und gehandhabt werden. Das schreiben Datenschutz und Compliance-Standards wie HIPAA, CGMP und die DSGVO zwingend vor. HIPAA verlangt zum Beispiel, dass Mobilgeräte, die für den Zugriff, die Speicherung oder die Übertragung elektronisch geschützter Gesundheitsinformationen (ePHI) verwendet werden, über Zugriffskontrollen und mehrstufige Sicherheitsüberprüfungen verfügen müssen.

Der Anbieter weist in diesem Zusammenhang darauf hin, dass die bestehenden Richtlinien für den Datenzugriff und die Datennutzung auf sämtliche Smartphones, Tablets und Chromebooks im Unternehmen ausgeweitet werden müssen. Denn: „Traditionelle Endpoint-Sicherheitslösungen greifen hier nicht. iOS-, Android- und Chrome OS-Geräte arbeiten anders und bieten Bedrohungsakteuren eine einzigartige Angriffsfläche, die gerade für Pharmaunternehmen das Risiko erhöht.“

Phishing

Wie der IT-Dienstleister weiter erklärt, konzentrieren sich die Angreifer vor allem auf Phishing-Kampagnen, um Zugangsdaten zu stehlen oder schädliche Payloads auf die Mobilgeräte zu übertragen und so die Infrastruktur zu kompromittieren. Bedrohungen durch mobiles Phishing lassen sich in zwei Kategorien einteilen: Credential Harvesting und Malware-Verbreitung.

Über Credential Harvesting kann sich ein Angreifer als legitimer Mitarbeiter anmelden und in der Infrastruktur bewegen, bis er die gesuchten Daten findet und abgreift. Für die Verbreitung einer Malware, wird der Benutzer verleitet, bösartige Apps oder eine Payload auf dem Gerät zu installieren.

Social Engineering ist eine der gängigsten Methoden, um jemanden dazu zu bringen, eine Phishing-Seite zu besuchen oder einen Link anzuklicken, der unbemerkt eine Malware überträgt oder die Zugangsdaten entwendet. „Zwar kann man Social Engineering nicht blockieren, aber sehr wohl den Zugriff auf entsprechende Phishing-Websites“.

Wie hoch das Risiko von Phishing-Betrugsversuchen ist, zeigt nach einer Lookout-Studie der starke Anstieg dieser kriminellen Aktionen. Im Vergleich des 4. Quartals 2019 mit dem 1. Quartal 2020 haben sich Phishing-Attacken mehr als verdoppelt. Dies weist darauf hin, dass Bedrohungsakteure während der COVID-19-Pandemie Pharmaunternehmen gezielt ins Visier genommen haben. Dabei richteten sich die Phishing-Angriffe verstärkt gegen Mobilgeräte.

Veraltete Betriebssysteme

Software-Updates dienen dazu, Fehler und Schwachstellen in Apps und Geräten zu beheben. „Da viele pharmazeutische Unternehmen jedoch proprietäre mobile Apps nutzen, werden Betriebssystem-Updates für die Geräte der Mitarbeiter oft so lange hinausgezögert, bis man sicher sein kann, dass die neue Version mit den internen Apps funktioniert. Wer so arbeitet, der zeigt eine gewisse Risikotoleranz. Selbst wenn Firmen nicht so verfahren, gibt es möglicherweise andere Stellen, an denen man ein bestimmtes Risiko toleriert, um intern einen reibungslosen Betrieb zu gewährleisten“, warnt der IT-Dienstleister. Unabhängig davon, welcher Ansatz verfolgt werde, sei die Transparenz über den Betriebssystem-Status aller mobilen Geräte für einen SecOp-Ansatz unabdingbar.

Nach den Angaben des Security-Anbieters gibt es dabei folgende Hindernisse für die IT-Sicherheit:

  • Industriestandards wie CVEs (Common Vulnerabilities and Exposures) sind bekannte ausnutzbare Schwachstellen, die Angreifer aktiv ausnutzen können, um ein Gerät zu übernehmen oder eingebaute Sicherheitsmaßnahmen zu umgehen.
  • Das Patchen erfordert in der Regel eine Aktion des Benutzers, um ein Update auf dem Gerät durchzuführen.
  • Wenn ein Mitarbeiter eine veraltete Betriebssystemversion verwendet, trägt er den offenen Zugang auf die Unternehmensdaten quasi ständig mit sich herum.

„Um sich vor einem Exploit bekannter CVEs zu schützen, braucht man zwingend ein mobiles Vulnerability- und Patch-Management. Nur wenn man die Schwachstellen von Endpunkten und Apps kennt, weiß man wirklich, wo sie sich genau befinden und wann man Patches einspielen muss“, erläutert der Security-Hersteller.

Application Threats

Obwohl Vereinigungen wie die Google App Defense Alliance daran arbeiten, dass bösartige Apps erst gar nicht in offizielle App Stores gelangen, können jedoch sogenannte „side-loaded Apps“ die IT-Sicherheit von mobilen Geräten gefährden. Diese Apps stammen aus App-Stores von Drittanbietern. Dort werden oft nur minimale oder gar keine Sicherheitsanforderungen gestellt.

Zu den Risiken, die bösartige Apps für ein pharmazeutisches Unternehmen mit sich bringen, zählen:

  • Compliance-Verstöße aufgrund von Datenverarbeitungspraktiken
  • Übermäßige Berechtigungen, die den Datenzugriff in weiteren Apps auf dem Gerät erlauben
  • Zugriff auf Kamera und Mikrofon, um den Benutzer auszuspionieren
  • Zugriff auf das File System des Geräts
  • Verbindungen zu Servern im Ausland

Der Schlüssel zu einem angemessenen Sicherheitslevel ist, Transparenz über die Berechtigungen und Funktionen aller Apps auf einem Mobilgerät zu schaffen. Demgegenüber steht die Privatsphäre der Endbenutzer. Viele Anwender wünschen sich die Möglichkeit, private Geräte auch im Jobumfeld nutzen zu können. „Dadurch sind mobile Apps zur neuen Grenze der Schatten-IT geworden. Es gilt also, die Eigenschaften aller eingesetzten Apps zu verstehen und entsprechende Zugriffsrichtlinien um sie herum zu erstellen. Erst das gewährleistet, dass eine Firma die gesetzlichen Vorgaben einhält und ihr geistiges Eigentum schützen kann“, so der Security-Anbieter.

Netzwerkbedrohungen

Bei Netzwerkangriffen müssen sich Angreifer und Opfer in der Regel in unmittelbarer Nähe zueinander befinden. Große Messen und geschäftige Reisezentren sind der ideale Nährboden, um einen mobilen Angriff über bösartige WLAN-Hotspots oder sogenannte Man-in-the-Middle-Angriffe auszuführen. Zwar wurde die überwiegende Mehrzahl von Messen abgesagt und der Reiseverkehr ist rückläufig, aber nach der Meinung des IT-Dienstleisters sind netzwerkbasierte Bedrohungen zu wichtig, um sie aus den Augen zu verlieren. Sie seien allerdings in den vergangenen Jahren kontinuierlich zurückgegangen.

Fazit

„Der Schutz moderner Endgeräte erfordert einen anderen Ansatz als den bisherigen. Einen Ansatz, der von Grund auf für den mobilen Einsatz entwickelt wurde“, so der Security-Anbieter. Nur eine moderne Endpunktschutzlösung könne mobile Bedrohungen über Apps, Betriebssysteme und Netzwerkverbindungen erkennen und gleichzeitig vor Credential Harvesting sowie vor Malware-Angriffen über Phishing schützen. „Aufgrund des privaten Charakters von Smartphones und Tablets muss Endpunktsicherheit den Benutzer, das Gerät und das Unternehmen schützen und gleichzeitig die Privatsphäre der Benutzer respektieren. Und sie muss den gleichen Sicherheitsstandard für alle Geräte bieten, unabhängig davon, ob sie dem Mitarbeiter oder dem Unternehmen gehören“, schließt Lookout.

(ID:47040760)