kaptn - Fotolia

Das Gesundheitswesen im Visier von Ransomware-Angriffen

Das Gesundheitswesen ist in besonderem Maße Cyberangriffen ausgesetzt und zudem oft unzureichend geschützt. Mit einigen Maßnahmen lässt sich die Angriffsfläche deutlich verringern.

Das Gesundheitswesen erlebte im Jahr 2020 – besonders während des Höhepunkts der Pandemie – gleich eine doppelte Belastungsprobe: neben den virusbedingten Krankheitsfällen stiegen zugleich die Ransomware-Angriffe. Skrupellose Cyberkriminelle nutzten die Gelegenheit, dass das Gesundheitssystem aufgrund der Pandemie unter einer immensen Belastung stand, und griffen reihenweise Krankenhäuser, Impfstoff-Forschungslabors, Kühlhäuser für Impfstoffe und Lieferketten an, um kritische und private Patientendaten als Lösegeld zu erpressen.

Einem Bericht des IT-Portals Comparitech.com zufolge kosteten Ransomware-Angriffe das US-Gesundheitswesen im letzten Jahr 20,8 Milliarden US-Dollar, wobei mehr als 18 Millionen Patienten betroffen waren und die Zahl der Vorfälle gegenüber 2019 um 470 Prozent gestiegen ist. Einer der bedeutendsten Angriffe in der Branche im vergangenen Jahr war der Angriff auf Universal Health Services (UHS), bei dem mehr als 400 Krankenhäuser und Pflegeeinrichtungen in den USA betroffen waren. Die Folgen des Vorfalls führten zu einer Beeinträchtigung der Ambulanzrouten, verzögerten die Planung von Behandlungen, machten Labortests unzugänglich und beeinträchtigten die elektronische Patientenakte der UHS-eigenen Einrichtungen im ganzen Land. Infolgedessen verzeichnete Universal Health Services im Jahr 2020 finanzielle Verluste in Höhe von rund 67 Millionen US-Dollar.

Im Durchschnitt konnten Gesundheitsorganisationen, die ein Lösegeld nach einem erpresserischem Angriff bezahlt haben, nur 69 Prozent ihrer Daten wiederherstellen, ein Drittel war unbrauchbar oder verschwunden. Obwohl es unmöglich ist, sich zu hundert Prozent vor Ransomware-Angriffen zu schützen, können sich Gesundheitseinrichtungen durch einige Maßnahmen besser darauf vorbereiten und die Risiken minimieren.

Doch das Thema Cybersicherheit im Gesundheitsbereich ist im Zuge der Pandemie nicht nur in den USA in den Hintergrund geraten. Auch in Deutschland besteht dringender Nachholbedarf. So soll mit Hilfe des neuen Krankenhauszukunftsgesetzes (KHZG), das vom Bund, den Ländern und den Krankenhausträgern mit drei Milliarden Euro unterstützt wird, die Digitalisierung von Krankenhäusern und Kliniken verbessert werden – darunter auch die Cybersicherheit. Ein wesentlicher Grund für die Gesetzesinitiative ist die Tatsache, dass Krankenhäuser gerade während der Coronapandemie verstärkt ins Visier von Cyberangreifern geraten sind. Das neue Gesetz soll den Schutz von Systemen und Daten auch im Zuge der zunehmenden Digitalisierung verbessern. Neben der IT müssen dabei auch medizinische Geräte, die einen Internetzugang haben und damit potenzielle Einfallstore für Cyberangriffe sind, einbezogen werden.

Mehr Cyberhygiene

Das Personal im Gesundheitswesen ist in aller Regel nicht ausreichend in IT-Hygiene und bewährten Verfahren geschult. Tatsächlich wird berichtet, dass 61 Prozent der Mitarbeiter, die an einer Cybersicherheitsschulung teilgenommen haben, einen grundlegenden Test nicht bestanden haben. Das zeigt, dass Sicherheitspraktiken weder ausreichend befolgt noch vermittelt werden. Diese Schwäche macht Gesundheitseinrichtungen zur leichten Beute für Cyberkriminelle, die sich über Phishing-Angriffe oder geschicktes Social Engineering schnell und einfach Zugang zu den Netzwerken verschaffen wollen.

Stefan Schweizer, ThycoticCentrify

„Einer der größten Fehler, den Sicherheitsexperten im Gesundheitswesen machen können, ist die Annahme, dass andere Mitarbeiter und Angestellte dasselbe Verständnis von guter Cyberhygiene haben wie sie selbst.“

Stefan Schweizer, ThycoticCentrify

Indem Mitarbeiter auf allen Ebenen ausreichend geschult sind und beispielsweise mit Malware versehene E-Mails und andere Versuche des Diebstahls von Zugangsdaten erkennen können, wird auch die Erfolgsquote eines Angriffs deutlich reduziert. Regelmäßige interne Schulungen sorgen zudem dafür, dass ein neues Sicherheitsbewusstsein auch langfristig erhalten bleibt.

Regelmäßige Patches und Updates von Altsystemen

Ein hoher Anteil der Organisationen im Gesundheitswesen verwendet nach wie vor veraltete Betriebssysteme oder aktualisiert die Firmware angeschlossener medizinischer Geräte nicht, unter anderem aus Datenschutz- und Sicherheitsgründen. Dieses Versäumnis schafft eine weitere massive Schwachstelle, die kriminellen Akteuren Tür und Tor öffnet, um ungehindert in das Netzwerk einer Gesundheitseinrichtung einzudringen. Einrichtungen des Gesundheitswesens können das Risiko minimieren, indem sie alle angeschlossenen Geräte regelmäßig mit Patches versorgen, sobald Updates verfügbar sind, und die neueste Version des jeweiligen Betriebssystems auf den Geräten im gesamten Netzwerk implementieren. Auf diese Weise wird sichergestellt, dass die Unternehmen von den neuesten Sicherheitsupdates und -kontrollen der Hersteller profitieren.

Eine robuste Lösung für privilegierten Zugriff einführen

Durch den Einsatz eines umfassenden Systems zur Überwachung und Kontrolle von Zugangsberechtigungen können Unternehmen im Gesundheitswesen die Erfolgsquote und das Risiko von Ransomware-Angriffen deutlich senken. Wenn sich Angreifer zunächst Zugang zu einem Netzwerk verschaffen, suchen sie nach Wegen, ihre Privilegien zu erweitern, um ein Netzwerk zu kompromittieren und den Angriff zu verbreiten. Tools zur Verwaltung privilegierter Zugriffe können diese Ausbreitung verlangsamen und Ransomware an ihrem Ausgangspunkt (beispielsweise einem einzelnen Endpunkt oder einer Reihe von Anmeldedaten) eindämmen.

Stärkere Passwörter und Multifaktor-Authentifizierung

Schwache Passwörter stellen die einfachste Methode dar, um Netzwerke zu kompromittieren. Organisationen des Gesundheitswesens müssen sicherstellen, dass ihre Netzwerke mit Lösungen geschützt sind, die Passwörter in den Hintergrund rücken, wie zum Beispiel Sicherheit für privilegierten Zugang oder Passwortmanager. Wird ein Kennwort geknackt oder mit einem Brute-Force-Verfahren erzwungen, kann die Multi-Faktor-Authentifizierung die Lücke schließen und sicherstellen, dass ein unbefugter Zugriff auf das Netzwerk nicht so leicht möglich ist.

Verstärkung unserer Gesundheitssysteme

Einer der größten Fehler, den Sicherheitsexperten im Gesundheitswesen machen können, ist die Annahme, dass andere Mitarbeiter und Angestellte dasselbe Verständnis von guter Cyberhygiene haben wie sie selbst. Wenn man allerdings davon ausgeht, dass jeder Einzelne eine potenzielle Schwachstelle darstellt, können Sicherheitsteams besser proaktive Maßnahmen und Schulungsprogramme implementieren. Mitarbeiter – insbesondere diejenigen mit privilegierten Zugangsberechtigungen – werden so über verschiedene Sicherheitsrisiken aufgeklärt, die jederzeit auftreten können.

Betriebe im Gesundheitswesens können zudem auf Sicherheitstools zurückgreifen, um die Verwendung von sicheren Passwörtern, Multi-Faktor-Authentifizierungsprotokollen (MFA) und Berechtigungsnachweisen für alle Geräte durchzusetzen. Damit wird gleichzeitig sichergestellt, dass personenbezogene Daten und elektronische Gesundheitsdaten sicher gespeichert werden. Darüber hinaus sind die Ausarbeitung eines effektiven Reaktionsplans für den Fall eines Ransomware-Angriffs, die Aufbewahrung von Sicherungskopien wichtiger Dateien außerhalb des Unternehmens sowie die Durchsetzung von sicheren Passwörtern und MFA-Protokollen für alle angeschlossenen Geräte wichtige proaktive Maßnahmen zur Risikominderung.

Fazit

Solange Aufklärung, Bewusstseinsbildung und strenge Sicherheitsvorschriften bestehende Strategien nicht generell überflüssig machen, werden wir auch weiterhin Bedrohungen wie Spear Phishing, gezielte Angriffe, Ransomware as a Service (RaaS) und Social Engineering als Mittel der Wahl für kriminelle Angreifer Akteure erleben.

Über den Autor:

Stefan Schweizer ist Vice President of Sales, DACH bei ThycoticCentrify.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen