Angreifer üben derzeit erheblichen Druck auf den Gesundheitssektor aus, dominieren die Nachrichtenlage und rücken Ransomware und andere Cyberangriffe in den Mittelpunkt des Interesses. Mit durchschnittlich 1.463 Angriffen pro Woche (ein Anstieg von 74 % im Vergleich zu 2021) stellt das Gesundheitswesen ein attraktives Ziel für Cyberkriminelle dar. In den letzten zwölf Jahren waren die Kosten einer Sicherheitsverletzung im Gesundheitswesen höher als in jeder anderen Branche und erreichten im Jahr 2022 10,1 Millionen US-Dollar. Und da immer mehr Gesundheitssysteme auf digitale und vernetzte Technologien umsteigen, werden diese Angriffe noch weiter zunehmen.
Warum Gesundheitssysteme treffen?
Es gibt mehrere Gründe, warum sich Angreifer auf das Gesundheitswesen konzentrieren. Der erste Grund ist natürlich, dass die angegriffenen Organisationen, wenn Menschenleben in Gefahr sind, eher bereit sind, das Lösegeld zu zahlen, damit sie zu ihrem regulären Geschäftsbetrieb zurückkehren können - und der besteht in der Tat darin, kritische Notfälle zu versorgen, Babys zu entbinden und gefährdete Patienten zu betreuen. Allein die Unterbrechung des Betriebs in diesen Bereichen kann lebensbedrohlich sein.
In Ontario kam es in einem Krankenhaus zu einem Ausfall von Versorgungseinrichtungen wie Strom, Wasser und wichtigen Systemen IT . Das Krankenhaus bezeichnete dies als "Code Grey"-Ereignis und arbeitete daran, wichtige Krankenhausleistungen zu erbringen, forderte aber Patienten mit weniger dringenden Erkrankungen auf, alternative Versorgungsmöglichkeiten zu suchen. Auch nach dem Abklingen des Cyberangriffs wird es für das Krankenhaussystem wahrscheinlich schwierig sein, zum normalen Betrieb zurückzukehren.
Nur wenige Tage zuvor hatte ein Angriff auf ein Gesundheitssystem in Florida dazu geführt, dass Tallahassee Memorial HealthCare (TMH) die Systeme von IT vom Netz nahm und Verfahren, die keine Notfälle sind, aussetzte. Die Auswirkungen sind für das private, gemeinnützige Gesundheitssystem, das Akutkrankenhäuser, psychiatrische Kliniken, 38 angeschlossene Arztpraxen und mehrere Facharztpraxen in Florida und Georgia umfasst, weitreichend.
Nach Angaben der U.S. Cybersecurity & Infrastructure Security Agency (CISA) von Anfang des Jahres erpressten nordkoreanische Ransomware-Operationen Gelder und nutzten diese, um die Prioritäten und Ziele der nordkoreanischen Regierung auf nationaler Ebene zu unterstützen. Diese Angriffe zielen auf das öffentliche Gesundheitswesen und andere kritische Infrastrukturen ab. Die CISA wies darauf hin, dass die Hacker mehrere Stämme von dateiverschlüsselnder Malware verwendeten, um neben privat entwickelten Schließfächern auch südkoreanische und US-amerikanische Gesundheitssysteme anzugreifen.
Neben nationalstaatlichen Akteuren, die durch Ransomware-Angriffe Regierungsoperationen finanzieren, hat eine Hacktivistengruppe namens KillNet aktiv den US-Gesundheitssektor mit verteilten Denial-of-Service (DDoS)-Cyberangriffen ins Visier genommen, stellt das Health Sector Cybersecurity Coordination Center fest. Diese Gruppe hat es auf Länder abgesehen, die die Ukraine unterstützen, und greift sie mit verteilten Denial-of-Service-Angriffen an, die zu stunden- oder tagelangen Ausfällen führen. Diese Verzögerungen können dazu führen, dass sich Termine verzögern, kritische EHR-Systeme ausfallen und Krankenwagen zu anderen Gesundheitssystemen umgeleitet werden. Da sich der Krieg in der Ukraine hinzieht, muss das US-Gesundheitswesen noch wachsamer sein, um Cyber-Bedrohungen zu verhindern.
Wie kommen die Angreifer herein?
Gesundheitssysteme sind unglaublich komplexe IT Ökosysteme. Kleinere Übernahmen von Krankenhäusern, Cloud- und SaaS-Anwendungen, die ohne Aufsicht des Sicherheitsteams bereitgestellt werden, vernetzte medizinische Geräte und Tausende bis Hunderttausende von digitalen Ressourcen schaffen eine Angriffsfläche, die schwer zu verwalten ist. Hinzu kommen viele unbekannte Schwachstellen, die es immer geben wird und die für Zero-Day-Angriffe ausgenutzt werden können, wodurch ungepatchte Systeme ein unglaublich großes Risiko darstellen.
Bei so vielen Zugangspunkten zu Versicherungs- und Patientendaten haben die Teams von IT Mühe, sie alle zu sichern. Erschwerend kommt hinzu, dass Ärzte, Physiotherapeuten, Arzthelferinnen, Krankenschwestern und Patienten selbst jetzt mit Dutzenden von Endpunkten interagieren, aber diese Personen sind selten anspruchsvolle Benutzer. Sie geben möglicherweise Passwörter weiter oder verwenden solche, die leicht zu erraten sind, und nur wenige von ihnen setzen die Funktionen zur Multi-Faktor-Authentifizierung effektiv ein. Kompromittierte Anmeldedaten und eine laxe Identitätsüberprüfung bieten Angreifern einen Weg in die Netzwerke, Anwendungen und Daten des Gesundheitssystems.
Entschärfung von Angriffspotenzial und Auswirkungen
Die Welt ist zunehmend vernetzt, und die Sicherheitspläne und -protokolle müssen sich dieser Realität anpassen. Gesundheitssysteme können sich auf Angriffe vorbereiten, indem sie für den Fall eines Angriffs gut definierte und geübte Reaktionspläne aufstellen. Die Durchführung regelmäßiger Cybersicherheitsübungen, um sicherzustellen, dass die Protokolle gut koordiniert und auf dem neuesten Stand sind, kann den Sicherheitsteams helfen, sich auf die scheinbar unvermeidlichen Angriffe vorzubereiten.
Auch wenn die Budgets und Personalressourcen begrenzt sind, kann die Investition in zusätzliche Zero-Trust-Technologien die Bedrohungslage erheblich verbessern. Die Gesundheitsbranche verlässt sich bei der täglichen Kommunikation stark auf E-Mails und Webanwendungsportale für den Austausch und Upload von Dateien und Patientendaten. Beides birgt jedoch große Risiken für Ransomware, Datendiebstahl, Compliance-Probleme und mehr. Lösungen für vertrauenswürdige E-Mails und Datei-Uploads, die Datenbereinigung, proaktiven Schutz vor Datenverlust zur Entfernung sensibler Daten und Multiscanning mit mehreren Anti-Malware-Engines nutzen, tragen bereits dazu bei, das Risiko von Malware und Zero-Day-Angriffen erheblich zu verringern.
Die Implementierung einer Zero-Trust-Zugangskontrolle für diese komplexen Umgebungen kann auch weniger versierten Benutzern eine nahtlose Möglichkeit bieten, Sicherheitsprüfungen im Einklang mit den Sicherheitsrichtlinien der Organisation durchzuführen, bevor sie Zugang zu einem System erhalten. Durch einen vertrauenswürdigen Netzwerkzugriff können Einrichtungen des Gesundheitswesens den Cloud-, Remote- und On-Premise-Zugriff sichern, einen sofortigen Überblick darüber gewinnen, wer mit dem Netzwerk verbunden ist, Schwachstellen erkennen und automatisierte Patches bereitstellen sowie die Einhaltung von Endpunktrichtlinien und Updates bei Bedarf durchsetzen. Die Verhinderung des unbefugten Zugriffs auf Unternehmensdaten kann Organisationen auch dabei helfen, die HIPAA-Anforderungen zur Sicherung und zum Schutz sensibler Patientendaten vor Angreifern zu erfüllen.
Genesung nach einem Angriff
Die Vorbereitung auf einen Angriff ist der wichtigste Weg, wie sich eine Organisation schnell von einem Cyberangriff erholen kann. Da jedes Gesundheitssystem spezifische Bedürfnisse und Ressourcen hat, ist es wichtig, Führungskräfte, Sicherheits- und IT Experten, Rechtsteams und Kommunikationsteams in die Entwicklung eines umsetzbaren und getesteten Verfahrens zur Reaktion auf Vorfälle einzubeziehen. Die frühzeitige Erkennung und Untersuchung verdächtiger Aktivitäten ist ein wichtiger erster Schritt, ebenso wie die dauerhafte Aktivierung von EDR. Unabhängig davon, ob ein externes Incident-Response-Team oder interne Ressourcen hinzugezogen werden, ist es unerlässlich, eine technische Analyse durchzuführen, um die Ursache des Vorfalls zu ermitteln, den IR-Plan zu initiieren und Backup-Lösungen auf den Endpunkten zu aktivieren. Es ist wichtig, die Angreifer in Schach zu halten und gleichzeitig forensische Daten für die laufenden Untersuchungen zu sammeln sowie die örtlichen, staatlichen und bundesstaatlichen Strafverfolgungsbehörden zu benachrichtigen. Die Rechtsabteilung, IT und die Kommunikationsteams müssen zusammenarbeiten, um sicherzustellen, dass die Vorschriften eingehalten werden und um die potenziellen rechtlichen und rufschädigenden Auswirkungen eines kritischen Vorfalls zu begrenzen.
Das Ausmaß des Angriffs wirkt sich auf den Wiederherstellungsprozess und die Meldepflichten bei Sicherheitsverletzungen aus. Sobald der Ransomware- oder DDoS-Angriff abgewehrt wurde, müssen die Organisationen die Daten aus den Backups wiederherstellen und alle Sicherheitslücken schließen. Anhand der aus dem Angriff gezogenen Lehren können Gesundheitssysteme ihren IR-Plan anpassen und Taktiken und Sicherheitslösungen einführen, um künftige Angriffe leichter zu erkennen und schneller einzudämmen.
Möchten Sie erfahren, wie OPSWAT helfen kann?
Sprechen Sie mit einem Experten
