Klinikum Oldenburg

baut mit Trend Micro Deep Discovery Inspector eine neue Sicherheitsschicht ein

Dem Auge des Inspektors entgeht nichts

Das Klinikum Oldenburg musste sein Netzwerk mit vielen Subsystemen auch vor unbekannten Bedrohungen schützen. Mit Deep Discovery Inspector hat das Klinikum nun eine Lösung, der im gesamten Netzwerkverkehr nichts entgeht, verdächtiges Verhalten analysiert und Reaktionen weiterleitet.

Mit 832 Betten bietet das Klinikum Oldenburg eine breite medizinische Versorgung unter einem Dach. Jährlich werden circa 37.000 Patienten vollstationär und teilstationär behandelt. Hinzu kommen etwa 95.000 ambulante Versorgungen im Jahr – Tendenz steigend. 19 Kliniken und 10 Zentren mit unterschiedlichem medizinischem Fokus und Leistungsspektrum müssen mit all ihren Geräten und vielseitiger Software von der IT-Abteilung verwaltet und am Laufen gehalten werden.

Natürlich spielt gerade in einem solch sensiblen Umfeld die Sicherheit eine herausragende Rolle. Hier stellt für die IT-Abteilung das Klinikumsnetzwerk mit über 1000 PCs und etwa 200 Servern eine besondere Herausforderung dar. „Unser Problem besteht darin, dass es viele Externe gibt, die sich in unserem Netzwerk aufhalten“, umreißt Ralf Cordoni, stv. IT-Abteilungsleiter & IT-Security-Beauftragter im Klinikum Oldenburg die Situation.

„Für die Sicherheit ist es eminent wichtig zu wissen, was im LAN passiert, aber auch, was aus dem lokalen Netzwerk ins Internet geht und aus dem Internet ins lokale Netzwerk kommt.“, so der Sicherheitsexperte weiter. Das Klinikumsnetzwerk umfasst viele Subsysteme mit Equipment etwa von Laborfirmen, Radiologiesystemen und vielen anderen Geräten, die von den jeweiligen Lieferanten betreut werden. Sie haben Zugang zum Netzwerk über VPNs, um dort beispielsweise vertraglich festgelegte Wartungsarbeiten durchzuführen. Zwar sind diese Zugangsverbindungen genauestens defi niert, aber eine Kontrolle des Netzwerkverkehrs ist auch hier von hoher Wichtigkeit. Cordonis Team konnte nicht immer nachvollziehen, was diese Besucher im Netzwerk tun und welche Kommunikationsverbindungen dort ablaufen.

Herausforderung: Monitoring des gesamten Netzwerkverkehrs

„Ohne einen Netzwerk-Analyzer bekommt der Admin auch nicht mit, wenn etwas im Netzwerk passiert, und bei einem potenziellen Angriff zählt jede Minute für das Eindämmen der Auswirkungen“, stellt der IT-Leiter fest. Dieser Zustand bereitete ihm zunehmend Kopfzerbrechen, gerade auch vor dem Hintergrund alarmierender Meldungen in den Medien über Zero-Days Exploits, die unbekannte Sicherheitslücken für Angriffe ausnutzen.

Antauris, der langjährige IT-Sicherheitspartner des Klinikums empfahl als Lösung Deep Discovery Inspector von Trend Micro. Ein Test der Software bestätigte deren Qualitäten im Einsatz und brachte auch schnell die Entscheidung. „Deep Discovery passt gut in unsere Infrastruktur, da wir bereits viele Produkte des Herstellers im Einsatz haben. Die Zusammenarbeit der Produkte eines einzigen Herstellers klappt hervorragend“, erklärt Cordoni zufrieden.

"Ich habe immer alles im Blick, denn das Dashboard zeigt schnell und ausführlich, was im Netzwerk passiert, sodass Fehler, bösartiges Verhalten oder Trends zu erkennen sind und Reaktionen gleich erfolgen können."

Ralf Cordoni,
stv. IT-Abteilungsleiter & IT-Security-Beauftragter im Klinikum Oldenburg

Trend Micro - Lösung

Deep Discovery Inspector wird seit nunmehr einem Jahr zentral im Netzwerk eingesetzt, sodass die Lösung den kompletten Klinikumsnetzwerkverkehr sieht und analysieren kann – sowohl innerhalb des Netzwerks und auch den, der nach außen ins Internet geht. Findet die Lösung verdächtigen Traffic, so wird der in die Sandbox geschoben und dort auf bösartigen Code analysiert. Im Dashboard der Lösung werden die Details der Analyse angezeigt: Schwere des Fehlers, betroffene Systeme, was passiert ist, und sogar, ob Exploits vorhanden sind.

Der Control Manager als Zentrale ermöglicht das Zusammenspiel mit den weiteren Sicherheitsprodukten, über die dann auf den betroffenen Systemen und Clients Gegenmaßnahmen getroffen werden können.

Für den Schutz der kritischen Daten sorgt bereits eine Segmentierung der Netze, so dass der Zugriff auf die Daten eingeschränkt ist. Auch mehrstufiges Firewalling und eine dedizierte VPN-Appliance sichern das Netzwerk gemeinsam mit Trend Micros Endpoint Security-Lösung Officescan und Scanmail for Exchange für den Mailverkehr, Server Protect für den Server-Schutz und Portal Protect für Sharepoint.

Mehrschichtiger Schutz

So entsteht ein mehrschichtiger Schutz, bestehend aus dem Erkennen unbekannter Gefahren, der Analyse sowie dem Erzeugen von Reaktionen darauf. Diese werden automatisiert und prozessgetrieben an alle Sicherheitsprodukte, auch solche von Drittherstellern, weitergeleitet, um so die Sicherheit Stück für Stück zu vervollständigen.

Deep Discovery Inspector hat bereits seinen Nutzen unter Beweis gestellt und einige Anomalien im Netzwerkverkehr gefunden sowie Systeme herauskristallisiert, die diese Kommunikationen durchführen. „Es handelte sich nicht um Angriffe, aber es waren Kommunikationswege, die wir vorher so nicht wahrgenommen hatten.“, so der IT-Leiter. „In Gesprächen mit den betroffenen Partnern konnten wir klären, ob diese Kommunikation tatsächlich notwendig und gewollt war.“

Im Zuge der Sicherheitserweiterung führte das Klinikum gleichzeitig auch Deep Security ein. „Mittlerweile sind 90 Prozent unserer Systeme virtualisiert und deshalb ist ein agentenloser Schutz, wie ihn Deep Security bietet, der Absicherung der einzelnen Systeme mit Agenten vorzuziehen.“, erklärt Cordoni. Auch hier läuft die Zusammenarbeit mit Deep Discovery über den Control Manager, der im Fall einer Gefahr eine dynamische Signatur an Deep Security weiterleitet.

„Ich habe immer alles im Blick, denn das Dashboard zeigt schnell und ausführlich, was im Netzwerk passiert, sodass Fehler, bösartiges Verhalten oder Trends zu erkennen sind und Reaktionen gleich erfolgen können.“, fasst der IT-Leiter den Stand der Sicherheit heute zusammen. Genauso wichtig wie ein sehr gutes Sicherheitskonzept ist es, seine Anwender immer wieder zu sensibilisieren im Umgang mit E-Mails und beim Surfen.

Cordoni hebt aber auch die wertvolle Zusammenarbeit mit antauris hervor: „Dieses umfangreiche Projekt wäre ohne den erfahrenen Partner antauris nicht möglich gewesen. Die Trend Micro-Spezialisten kennen aufgrund der langjährigen Partnerschaft die Architektur unseres Netzwerks gründlich und konnten ihre Erfahrung bei dieser komplexen Thematik sehr gut nutzen, denn es mussten viele Systeme angefasst und parametrisiert werden.“