Für Cyberkriminelle ist das Gesundheitssystem durch seine sensiblen Patientendaten eine Goldgrube. Daten von Check Point Research (CPR) zeigen, dass 2024 im Durchschnitt wöchentlich 2.018 Cyberangriffe auf Gesundheitsorganisationen weltweit verübt wurden. Das ist eine Steigerung von 32 Prozent im Vergleich zum Vorjahr. APAC, Lateinamerika und Europa verzeichneten starke Anstiege, wobei Europa mit 56 Prozent den höchsten Anstieg aufwies.
Die Bedrohung durch Ransomware
Die größte Bedrohung für Organisationen im Gesundheitswesen ist Ransomware. Patientendaten können auf vielerlei Art und Weise dafür missbraucht werden, um sich an ihnen zu bereichern. Um an diese heranzukommen, bieten viele Hacker Ransomware-as-a-Service (RaaS) an und rekrutieren Partner für gemeinsame, koordinierte Angriffe, wofür die Partner dann anschließend eine Provision erhalten. Ein solcher Angriff richtete sich kürzlich gegen das italienische Krankenhaus ASST Rhodense, das aufgrund der Störung dann Operationen absagen musste. Ein Zwischenfall, der leider kein Einzelfall ist.
Bei diesen Angriffen verschlüsseln Ransomware-Gruppen nicht nur Daten – sie stehlen diese und stellen sie zum Verkauf ins Darknet oder erpressen von ihren Opfern Lösegeld für deren Freigabe. Die Hacker verkaufen den Zugang zu den kompromittierten Systemen in Untergrundforen, was es den Mittelsmännern ermöglicht, weitere Angriffe zu starten. Ein vermutlich russischsprachiger Hacker verkaufte kürzlich Zugangsdaten zu brasilianischen Krankenhäusern für 250 Dollar und hatte es auf Einrichtungen mit einem Umsatz von 55 Millionen Dollar abgesehen, was unterstreicht, wie erschwinglich und global verbreitet diese Angriffe sind.
Während die meisten Gruppen ohnehin ethische Einschränkungen ignorieren, sind einige noch weiter gegangen und haben sogar gezielt Angriffe auf Krankenhäuser ausgeübt. Die Ransomware-Gruppe ALPHV/BlackCat hat gezielt Angriffe auf das Gesundheitswesen gefördert - als Rache für polizeiliche Maßnahmen. Ein Aufruf, der mit dazu beigetragen haben dürfte, dass im vergangenen Jahr mehr als 15 Prozent aller Opfer von Ransomware dem Gesundheitswesen zuzurechnen sind.
Cyberkriminelle nehmen keine Rücksicht auf Patienten
„In den meisten Fällen machen Cyberkriminelle ihren Partnern keine Vorgaben, wen sie angreifen sollen. Lediglich Angriffe auf die Gemeinschaft Unabhängiger Staaten sind in der Regel tabu, allerdings ohne weitere Einschränkungen. Wir können vermuten, dass dies darauf zurückzuführen ist, dass die Hacker es vorziehen, nicht die Länder anzugreifen, in denen sie aktiv sind“, sagt Sergey Shykevich, Threat Intelligence Group Manager, Check Point Research.
„In der Anfangsphase behaupteten einige RaaS-Gruppen, dass sie keine Organisationen des Gesundheitswesens angreifen würden, was später dahingehend geändert wurde, dass die Angriffe keine Datenverschlüsselung beinhalten sollten, um eine Unterbrechung der Dienste zu vermeiden, aber Datendiebstahl und Erpressung sind erlaubt. In der Realität wird keine dieser Regeln befolgt.“
Um die Cybersicherheit im Gesundheitswesen zu gewährleisten, müssen umfassende Maßnahmen ergriffen werden, darunter technologische Lösungen, Mitarbeiterschulungen und verbesserte Sicherheitsrichtlinien.
Zu den wichtigsten Schritten beim Schutz des Gesundheitssystems gehören:
- Vorsicht vor Trojanern - Ransomware-Angriffe beginnen in der Regel nicht direkt mit Ransomware, sondern nutzen Trojaner für den ersten Zugriff. Die Infektion mit Trojanern erfolgt Tage oder Wochen vor dem Ransomware-Angriff.
- Wachsamkeit an Wochenenden und Feiertagen - die meisten Ransomware-Angriffe finden statt, wenn IT-Teams nicht im Dienst sind, was die Reaktionszeiten verlangsamt.
- Anti-Ransomware-Lösungen einsetzen – Eine Anti-Ransomware-Lösung erkennt ungewöhnliche Aktivitäten oder verdächtiges Verhalten, repariert Schäden und kann innerhalb von Minuten den Normalzustand wiederherstellen, um massive Schäden zu verhindern.
- Daten sichern - Konsistente Backups, einschließlich automatischer Backups auf den Geräten der Mitarbeiter, gewährleisten eine schnelle Datenwiederherstellung, ohne dass Lösegeld gezahlt werden muss.
- Segmentierung und Beschränkung des Zugriffs auf notwendige Informationen - Den Benutzerzugriff auf notwendige Daten beschränken und Netzwerke segmentieren, um die Ausbreitung eines Angriffs zu verhindern. Während es herausfordernd sein kann, mit den Folgen eines Angriffs umzugehen, ist es weitaus schwieriger, die Auswirkungen eines netzwerkweiten Angriffs zu beheben.
- Aufklärung ist ein wesentlicher Bestandteil des Schutzes – Unternehmen sollten ihre Mitarbeiterinnen und Mitarbeiter schulen, Phishing und andere Cyber-Bedrohungen zu erkennen, um nicht Opfer von Social Engineering zu werden.
- Updates und Patches regelmäßig installieren - WannaCry hat im Mai 2017 Organisationen auf der ganzen Welt schwer getroffen und innerhalb von drei Tagen mehr als 200.000 Computer infiziert. Ein Patch für die ausgenutzte EternalBlue-Schwachstelle war jedoch bereits einen Monat vor dem Angriff verfügbar. Software und Systeme müssen regelmäßig aktualisiert werden, um zu verhindern, dass Schwachstellen ausgenutzt werden. Wenn Updates nicht möglich sind, sollte man ein Intrusion Prevention System (IPS) mit virtuellen Patch-Funktionen verwenden.
- Starke Passwörter verwendet - Standardpasswörter sind ein leichtes Ziel für Angreifer, daher können Updates mit komplexen, schwer zu erratenden Kombinationen und MFA das Risiko eines unbefugten Zugriffs erheblich reduzieren und eine zusätzliche Schutzebene hinzufügen.
- Rechtliche und regulatorische Rahmenbedingungen - Die Einhaltung nationaler und internationaler Datenschutzstandards und -vorschriften ist für die Gewährleistung der Patientensicherheit unerlässlich.
- Rundumschutz für IoT- und Endgeräte – alle Geräte schützen, von Computern, Servern und Mobilgeräten bis hin zu intelligenten Glühbirnen und anderen IoT- oder IoMT-Geräten. Dabei die besten Sicherheitslösungen einsetzen und gegebenenfalls externe Teams hinzuziehen, die auf die Erkennung und Bekämpfung von Bedrohungen spezialisiert sind.