Cyberangriffe auf den Healthcare-Sektor haben im Zuge der COVID-19-Pandemie und der daraus resultierenden Digitalisierung von Gesundheitsdiensten stark zugenommen. Dieser Trend stellt eine enorme Belastung für die IT-Sicherheitsabteilungen im Gesundheitswesen dar. Die hatten allerdings schon vor der Pandemie alle Hände voll zu tun, um die üblichen Bedrohungen zu bewältigen.
"Die Gesundheitsbranche wird von einer Reihe komplexer Sicherheitsrisiken belagert", weiß Terry Ray, Senior Vice President bei Imperva. Cyberkriminelle seien auf der Jagd nach sensiblen und wertvollen Daten, zu denen das Gesundheitswesen Zugang habe. Betroffen seien sowohl Patienten- als auch Unternehmensdaten. "Viele Organisationen haben Schwierigkeiten, diese Herausforderung zu bewältigen, da sie nicht über die Ressourcen verfügen und auf anfällige Systeme, Anwendungen von Drittanbietern und APIs angewiesen sind, um ihre Dienste bereitzustellen", erklärt der Sicherheitsexperte.
Das sind die fünf größten Bedrohungen für Organisationen im Gesundheitswesen:
1. Ransomware-Wachstum
Ransomware hat sich spätestens mit Beginn der Pandemie zu einer der größten Cyberbedrohungen für Healthcare-Unternehmen entwickelt. Das liegt auch daran, dass die Angreifer wissen, dass Organisationen des Gesundheitswesens, die lebenswichtige beziehungsweise lebensrettende Behandlungen leisten, leichter erpressbar sind als die Ransomware-Opfer in fast jeder anderen Branche.
Viele Healthcare-Organisationen sind auch deshalb anfälliger für Angriffe, weil sie neue digitale Anwendungen und Dienste einführen mussten, um der Nachfrage nach telemedizinischen Diensten, Kontaktverfolgung und in einigen Fällen auch nach Impfstoffen, gerecht zu werden. Der besorgniserregende Trend veranlasste die US-Behörde für Cybersicherheit (CISA) im Oktober 2020 dazu, eine - äußerst seltene - offizielle Warnung an die Branche auszusprechen.
Der Sicherheitsanbieter Tenable hat kürzlich die Daten von 293 öffentlich bekannt gewordenen Datenschutzverletzungen im Gesundheitswesen analysiert, die zwischen Januar 2020 und Februar 2021 stattgefunden haben. Dabei wurde Ransomware als Hauptursache in fast 55 Prozent der Verstöße identifiziert. Mit Stand vom 1. März 2021 wurden in diesem Jahr bereits 56 Sicherheitsverletzungen öffentlich gemacht. Zu den jüngsten Opfern gehörten die Unternehmen Allergy Partners in North Carolina (Lösegeldforderung in Höhe von 1,75 Millionen Dollar) und Irlands Public-Health-System. Letztgenannter Angriff sorgte dafür, dass Tausende von Terminen und Operationen abgesagt oder umgeplant werden mussten, nachdem etwa 2.000 patientennahe Systeme mit Ransomware verschlüsselt wurden.
Das größte Einzelrisiko im Gesundheitswesen sind heute nach Ansicht von Caleb Barlow, Präsident und CEO von CynergisTek, elektronische Gesundheitsakten und -systeme: "Vergangene Angriffe haben gezeigt: Wenn ein Krankenhaus von Ransomware betroffen ist, wird der Zugang zu den Gesundheitsdaten abgeschaltet und die Patienten müssen möglicherweise zur Behandlung umgeleitet werden." Solche Angriffe könnten den Zugriff auf wichtige Informationen über Medikamentierung und Dosierung von Patienten mit komplexen, chronischen Erkrankungen wie Diabetes oder Krebs verhindern. Hacker könnten sogar noch einen Schritt weiter gehen und Gesundheitsdaten manipulieren, um die Patientenversorgung zu untergraben, prophezeit Barlow.
"In der Vergangenheit haben Unternehmen und Organisationen im Gesundheitswesen dieses Risiko auf eine Cyberversicherung übertragen. Das wird jedoch immer schwieriger, weil die Versicherer es erschweren, Ransomware-Schutz ohne spezifische Kontrollen wie Multi-Faktor-Authentifizierung und Endpoint-Detection-Technologien zu erwerben", so Barlow.
2. Cloud-Schwachstellen
Wie eine im Auftrag von Infoblox geführte Umfrage von CyberRisk Alliance Business Intelligence unter 790 IT-Fachleuten im Gesundheitswesen ergab, bereiten Datenkompromittierungen, die Cloud-Schwachstellen und -Fehlkonfigurationen geschuldet sind, den Sicherheitsexperten am meisten Sorgen. In den letzten Jahren haben viele Healthcare-Unternehmen Cloud-Dienste als Teil umfassender digitaler Transformationsinitiativen übernommen. Die Pandemie und die damit verbundene, steigende Nachfrage nach telemedizinischen Diensten hat diese Entwicklung noch beschleunigt. Gesundheits- und Patientendaten werden zunehmend in Hybrid- und Multi-Cloud-Umgebungen gehostet.
Dieser Trend hat die Angriffsfläche für Organisationen im Gesundheitswesen vergrößert und sie anfälliger für Attacken gemacht, die den Diebstahl sensibler Daten zum Ziel haben, sagt Anthony James, Vice President of Products bei Infoblox: "Healthcare-Unternehmen nutzen oft mehrere Cloud-Anbieter und -Dienste mit unterschiedlichen Sicherheitsstandards. Das erschwert es, einheitliche Richtlinien zum Schutz von Daten in der gesamten Cloud-Umgebung anzuwenden."
53 Prozent der Befragten in der Infoblox-Umfrage gaben an, in den letzten zwölf Monaten eine Cloud-bezogene Datenverletzung erlebt zu haben. Mehr als ein Drittel der Befragten (34 Prozent) bekundeten, dass Sicherheitsverletzungen sie zwei Millionen Dollar oder mehr gekostet haben. Dabei waren 47 Prozent der Interview-Partner von Malware-Angriffen betroffen, die auf ein in der Cloud gehostetes Objekt abzielten, während 37 Prozent nach eigenen Angaben von Insider-Angriffen betroffen waren.
Ein Bericht von Netwrix zur Datensicherheit in der Cloud vom Februar 2021 zeigt einen ähnlichen Trend. Demnach speichern 61 Prozent der Organisationen im Gesundheitswesen Kundendaten in der Cloud und mehr als die Hälfte (54 Prozent) speichern dort persönliche Gesundheitsinformationen. 44 Prozent der befragten Organisationen gaben an, einen Phishing-Angriff erlebt zu haben, und 39 Prozent sagten, sie seien in der Cloud zum Opfer von Ransomware geworden. Fehlende Budgets sind bei sechs von zehn Befragten (61 Prozent) den Sicherheitsproblemen in der Cloud zuträglich. Weitere Unsicherheitsfaktoren sind IT- beziehungsweise Security-Fachkräftemangel sowie mangelnde Mitarbeiter-Awareness.
3. Web-App-Attacken
Angriffe auf Webanwendungen im Healthcare-Bereich sind in letzter Zeit stark angestiegen - in erster Linie wegen der Pandemie. Forscher des Sicherheitsanbieters Imperva beobachteten im Dezember 2020 einen 51-prozentigen Anstieg von Web-Application-Attacken auf Krankenhäuser und andere Organisationen des Gesundheitswesens - also etwa zu der Zeit, als die ersten Impfstoffe verteilt wurden.
Die Angriffe spiegeln nach Einschätzung des Sicherheitsanbieters einen Trend wider: Im Jahr 2020 fanden demnach weltweit 187 Millionen Angriffe auf Organisationen und Unternehmen der Healthcare-Branche statt - pro Monat. Durchschnittlich erlebten Einrichtungen des Gesundheitswesens im vergangenen Jahr 498 Angriffe pro Monat, was einen Anstieg von 10 Prozent im Vergleich mit dem Jahr 2019 bedeutet. Cross-Site-Scripting-Angriffe waren am häufigsten vertreten, gefolgt von SQL-Injection-, Protokollmanipulations- und Remote-Code-Angriffen.
Ray von Imperva sieht Anzeichen dafür, dass diese Angriffe wesentlich mehr Sicherheitsverletzungen verursacht haben, als öffentlich bekannt wurde. Die Forscher von Imperva hätten einen dramatischen Anstieg von Vorfällen festgestellt, bei denen Daten aus dem Gesundheitswesen vom internen Netzwerk einer Organisation an externe Ziele übertragen wurden - ein sicheres Zeichen für einen Breach.
"Technisch betrachtet können Angriffe auf Webanwendungen eine Herausforderung für Organisationen im Healthcare-Bereich darstellen, insbesondere, wenn sie nicht über ausreichende Ressourcen verfügen", so Ray. Um das Problem anzugehen, müssten Kontrollmechanismen implementiert werden, die einen besseren Einblick in Anwendungen von Drittanbietern und API-Verbindungen ermöglichen: "Nur dann ist das Sicherheitsteam in der Lage, nachzuvollziehen, wer versucht, auf kritische Daten zuzugreifen und ob diese Aktivität zulässig ist", so der Sicherheitsspezialist.
4. Böse Bots
Datenverkehr durch bösartige Bots - etwa solche, die versuchen, Daten von Websites abzugreifen, Spam zu versenden oder unerwünschte Software herunterzuladen - stellt eine weitere große Herausforderung für die Gesundheitsbranche dar. Das Problem ist in den letzten Monaten besonders dringlich geworden, nachdem auf der ganzen Welt neue Websites und andere digitale Infrastrukturen zur Unterstützung der COVID-19-Impfkampagnen eingerichtet wurden. Böswillige Akteure haben diese eilig eingerichteten und weitgehend ungetesteten Websites mit einer riesigen Menge maliziösem Bot-Traffic bombardiert.
Imperva hat nach eigenen Angaben seit September 2020 einen Anstieg bei schadhaftem Bot-Traffic um satte 372 Prozent festgestellt. Allein seit Februar dieses Jahres ist der Bot-Datenverkehr um fast 49 Prozent im Vergleich zum Vormonat angestiegen - der größte Peak seit über einem Jahr. "Maliziöser Bot-Traffic stellt für das Gesundheitswesen eine besondere Herausforderung dar", weiß Ray. "Erhöhter Datenverkehr führt zu Ausfallzeiten und Unterbrechungen für legitime Benutzer, die versuchen, auf kritische Dienste von Gesundheitsdienstleistern zuzugreifen. Das kann auch zu erhöhten Infrastrukturkosten für die Organisation führen, da die Betriebszeit durch die anhaltende Belastung des erhöhten Datenverkehrs aufrechterhalten wird."
Aus Security-Perspektive können Bots für das Scraping von Inhalten, die Erstellung von Konten, die Übernahme von Konten und andere Formen des Betrugs genutzt werden, sagt Ray. Es habe zahlreiche Vorfälle gegeben, bei denen Cyberkriminelle Bots eingesetzt haben, um über Credential Stuffing Konten zu infiltrieren: "Mit den Anmeldedaten haben sie sich Zugang zu Rezeptbestellungen verschafft und anschließend versucht, diese offline auszufüllen und illegal zu verkaufen."
5. Krisen-Phishing
Phishing-Angriffe stellen für Unternehmen und Organisationen aller Branchen eine große Gefahr dar - der Healthcare-Sektor ist dabei keine Ausnahme.
2020 und 2021 stand ein Großteil der Phishing-Aktivitäten, die auf das Gesundheitswesen abzielten, ebenfalls im Zusammenhang mit COVID-19. Eine aktuelle Analyse von Palo Alto Networks zeigt, dass Phishing-Attacken auf Apotheken und Krankenhäuser zwischen Dezember 2020 und Februar 2021 um 189 Prozent zugenommen haben. Impfstoffbezogene Phishing-Attacken stiegen im gleichen Zeitraum um 530 Prozent. Die Analyse der Sicherheitsexperten zeigt auch, dass die Angreifer immer wieder neue Phishing-Themen in Abhängigkeit von wichtigen Ereignissen gewählt haben. In der Anfangsphase der Pandemie wurden besonderes viele Phishing-Köder mit Bezug zu Corona-Tests und persönlicher Schutzausrüstung ausgeworfen. Anschließend verlagerten die Kriminellen ihren Fokus auf Konjunkturprogramme und staatliche Hilfsmaßnahmen und schließlich auf die Impfstoffe selbst.
Eine von der Healthcare Information and Management Systems Society (HIMSS) durchgeführte Umfrage unter 168 Cybersicherheitsexperten im Gesundheitswesen aus dem Jahr 2020 kommt zu dem Ergebnis, dass 57 Prozent der Befragten, bereits einen Phishing-Angriff erlebt haben. Rund 20 Prozent haben auch Erfahrungen mit Social Engineering und anderen Angriffe. Phishing bleibt jedoch der klassische Startpunkt für die meisten Sicherheitsvorfälle, so die HIMSS: "Phishing-Angriffe sind die häufigste Art von signifikanten Sicherheitsvorfällen, die von den Befragten gemeldet wurden." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.