Schon bevor Russland in die Ukraine einmarschiert ist, war die Befürchtung groß, dass die militärische Eskalation auch vor dem Cyberspace keinen Halt machen wird und zu folgenschweren digitalen Angriffen mit internationalen Auswirkungen führen würde. Deshalb wurden Organisationen auf der ganzen Welt dazu aufgefordert, Sicherheitsvorkehrungen zu treffen und sich auf hochgradig disruptive Cyberangriffe vorzubereiten.

Die digitalen Bedrohungen im Gesundheitswesen und für kritische Infrastrukturen insgesamt nehmen seit Jahren zu, wobei die russische Invasion in der Ukraine die Bedrohungslage noch einmal verschärft hat. Als Reaktion darauf hat beispielsweise das US Department of Health and Human Services eine Warnung für die Branche herausgegeben. Als Beispiel für ein akutes Risiko wird darin eine neue von ESET Forschern entdeckte, datenlöschende Malware namens HermeticWiper genannt.

Auch Krankenhäuser und andere Gesundheitsdienstleister in Europa sollten sich dieser Risiken bewusst sein, denn sie sind in den letzten Jahren ein immer beliebteres Ziel für Cyberkriminelle geworden. Vor einigen Monaten berichtete die EU-Cybersicherheitsbehörde ENISA, dass die Angriffe auf diesen Sektor im Jahr 2020 im Vergleich zum Vorjahr um fast 50% gestiegen sind.

Eine Studie aus dem Jahr 2019 behauptet sogar, dass Datendiebstähle die 30 Tage Sterblichkeitsrate von Herzinfarktopfern erhöhen können. Ein berühmt gewordener Ransomware-Vorfall in Deutschland soll zwar nicht direkt zum Tod eines Patienten geführt haben, führte aber sehr deutlich vor Augen, welche Auswirkungen virtuelle Angriffe auf die reale Welt haben können, wenn sie lebensrettende Systeme offline nehmen.

Es ist anzunehmen, dass diese Risiken in der Zukunft zunehmen, denn die europäischen Länder und Gesundheitsorganisationen befinden sich, aufgrund der COVID-19-Pandemie, der zunehmenden Arbeit aus dem Home-Office und einer alternden Bevölkerung, auf einen Digitalisierungskurs. Maßnahmen zur Verbesserung der Cyber-Resilienz in Form von verbesserter IT-Hygiene, bessere Erkennung von Cyber-Bedrohungen und Reaktion auf Cyber-Vorfälle, sind der Weg, den der Gesundheitssektor nun beschreiten muss.

Warum das Gesundheitswesen Cyberangriffen ausgesetzt ist

Der Gesundheitssektor ist ein wichtiges Segment der kritischen nationalen Infrastrukturen (KRITIS) in Europa. Laut jüngsten Schätzungen sind hier fast 15 Millionen Menschen beschäftigt, das sind 7% der Erwerbsbevölkerung. Außerdem ist das Gesundheitswesen mit sehr breit gestreuten Herausforderungen konfrontiert, was es wohl anfälliger für Cyber-Bedrohungen macht als andere Sektoren. Dazu gehören:

  • IT-Fachkräftemangel, der zwar branchenweit besteht, jedoch kann das Gesundheitswesen oft nicht mit den höheren Gehältern konkurrieren, die in anderen Branchen gezahlt werden.
  • Die COVID-19-Pandemie, die einen noch nie dagewesenen Druck auf das Personal, einschließlich der IT-Sicherheitsteams ausgeübt hat.
  • Fernarbeit, die auch für Mitarbeiter von Healthcare-Unternehmen Risiken durch Ablenkung, ungesicherte Endgeräte und anfällige/fehlkonfigurierte Fernzugangsinfrastrukturen schafft.
  • Alte IT-Infrastruktur allgemein
  • Große Mengen personenbezogener Daten und ein hoher Aufwand zur Erfüllung gesetzlicher Datenschutzanforderungen.
  • Die Einführung von Clouds, die die Angriffsfläche vergrößern Viele Organisationen im Gesundheitswesen verfügen nicht über die internen Fähigkeiten, diese Umgebungen sicher zu verwalten und zu konfigurieren, oder sie verstehen ihre Mitverantwortung für die Sicherheit nicht.
  • Komplexität der IT-Systeme, die über lange Zeiträume hinweg entstanden ist.
  • Vernetzte Geräte, zu denen auch viele ältere Geräte medizinische Geräte in Krankenhäusern gehören, wie MRT-Scanner und Röntgengeräte. Mit der Verbindungsfähigkeit dieser Geräte geht ein Risiko von Angriffen aus der Ferne einher. Viele dieser Geräte sind zu essenziell, um sie für Patches offline zu nehmen oder haben ihre Supportfrist bereits überschritten.
  • IoT-Geräte, die sich zunehmender Beliebtheit erfreuen, beispielsweise für die Ausgabe von Medikamenten und die Überwachung der Vitalwerte von Patienten. Viele dieser Geräte sind nicht gepatcht und nur mit den werkseitig voreingestellten Passwörtern geschützt, was sie anfällig für Angriffe macht.
  • Professionelle Cyberkriminelle, die Gesundheitsorganisationen zunehmend als leichtes Ziel sehen, weil sie mit hohen Patientenzahlen von COVID-19 zu kämpfen haben. Patientendaten, die hochsensible Informationen und finanzielle Details enthalten, sind eine lukrative Ware für Cyberkriminelle. Außerdem ist es wahrscheinlicher, dass Ransomware eine Zahlung erzwingt, weil es sich Krankenhäuser nicht leisten können, lange offline zu sein. In Forschungskrankenhäusern können auch hochsensible Informationen über bevorstehende Behandlungen gespeichert sein.

Cyberangriffe und was daraus gelernt werden kann

Im Laufe der Jahre gab es viele schwerwiegende Angriffe auf Gesundheitsorganisationen, aus denen die Branche lernen kann und ihre Widerstandsfähigkeit verbessern kann.

Der nationale Gesundheitsdienst (NHS) des Vereinigten Königreichs wurde 2017 von dem Ransomware-Wurm WannaCry schwer getroffen, weil die Gesundheitsbehörden eine Windows-Schwachstelle nicht rechtzeitig gepatcht haben. Es mussten schätzungsweise 19.000 Termine und Operationen abgesagt werden. Dies kostete den Gesundheitsdienst 92 Mio. Pfund (72 Mio. Pfund an IT-Überstunden und 20 Mio. Pfund an Produktionsausfällen.

Die irische Gesundheitsbehörde (Health Service Executive, HSE) wurde im Jahr 2021 von der Ransomware-Gruppe Conti getroffen. Nachdem ein Mitarbeiter ein mit Malware versehenes Excel-Dokument in einer Phishing-E-Mail geöffnet hatte. Die Angreifer konnten über acht Wochen lang unentdeckt bleiben, bis sie die Ransomware einsetzten. Zu den dabei gelernten Lektionen gehörte:

  • Die Antivirus-Software wurde in den „Monitor“-Modus gesetzt, sodass keine bösartigen Dateien blockiert werden konnten
  • Nach der Entdeckung einer verdächtigen Aktivität auf einem Microsoft Windows Domain Controller, wurde es versäumt entschieden zu handeln
  • Die Antivirus-Software schaffte es nicht, bösartige Dateien unter Quarantäne zu stellen, nachdem Cobalt Strike entdeckt wurde. Cobalt Strike ist ein Tool, welches häufig von Ransomware-Gruppen verwendet wird
  • Das HSE-Sicherheitsteam (SecOps) riet zu einem Server-Neustart, als es über weit verbreitete Bedrohungen in mehreren Krankenhäusern informiert wurde

Aufgrund von Ransomware-Angriffen auf französische Krankenhäuser in Dax und Villefranche-sur-Saone mussten Patienten während der COVID-19-Pandemie in andere Einrichtungen verlegt werden. Außerdem mussten Telefon- und IT-Systeme abgeschaltet werden und die Klinik-Mitarbeiter ihre Aufzeichnungen mit Stift auf Papier machen. Die französische Sicherheitsbehörde ANSSI brachte die Angriffe mit dem russischen Geheimdienst in Verbindung. Dies könnte ein Anzeichen dafür sein, dass sich die Werkzeuge und Techniken der Internetkriminalität und der staatlichen Akteure zunehmend überschneiden.

Cyber-Resilienz im Gesundheitswesen aufbauen

Angesichts des zunehmenden Drucks müssen Organisationen im Gesundheitswesen einen Weg finden, Cyber-Risiken effektiver zu minimieren, ohne dabei die Kosten zu sprengen oder die Produktivität der Mitarbeiter zu beeinträchtigen. Die gute Nachricht ist, dass viele der Best-Practices aus anderen Bereichen der kritischen Infrastruktur, auch hier funktionieren. Dazu gehören:

  • Verschaffen Sie sich einen Überblick über die Angriffsfläche, einschließlich aller IT-Ressourcen, deren Patch-Status und Konfiguration. Eine regelmäßig aktualisierte CMDB (Configuration Management Database) ist hier nützlich, um das Inventar zu katalogisieren.
  • Stellen Sie außerdem sicher, dass diese Anlagen korrekt konfiguriert und über kontinuierliche, risikobasierte Patch-Management-Programme gepatcht sind.
  • Setzen Sie sich mit Risiken in der Lieferkette durch regelmäßige Audits und Überwachung auseinander.
  • Bauen Sie eine starke Verteidigungslinie gegen Phishing auf, indem Sie die Benutzer in ihrem Netzwerk besser schulen.
  • Implementieren Sie Identitäts- und Zugriffsmanagement mit Multi-Faktor-Authentifizierung (MFA) überall und richten ein Least Privilege-Prinzip für den Zugriff ein.
  • Erwägen Sie den Schutz ihrer Netzwerke nach dem Zero-Trust-Ansatz.
  • Sammeln und Analysieren Sie Telemetriedaten der Sicherheitstools in der gesamten Umgebung zur schnellen Erkennung von und Reaktion auf Vorfälle.

 

Europäische Gesundheitsorganisationen müssen die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) für die Kontinuität der Dienste einhalten. Außerdem die Datenschutz-Grundverordnung (für den Datenschutz) sowie alle lokalen Gesetze und Vorschriften. Die ENISA schlägt vor, dass in jedem EU-Mitgliedsstaat spezielle Teams für die Reaktion auf Computer-Sicherheitsvorfälle im Gesundheitswesen (CSIRTs) eingerichtet werden. In der Zwischenzeit müssen die Organisationen jedoch auf selbst handeln. Ohne ein sicheres IT-Fundament, auf dem sie aufbauen können, wird die Gesundheitsversorgung weiterhin den böswilligen Bedrohungen ausgeliefert bleiben.