Bei einem Cyberangriff auf eine Klinik oder ein Krankenhaus geht es buchstäblich um Leben und Tod. 2020 waren die Gesundheitssysteme rund um die Welt bereits durch die Coronapandemie stark belastet und die Aktionen der Cyberverbrecher machten die Dinge nur noch schlimmer. Eine der größten Gefahren im letzten Jahr für medizinische Institutionen stellten die Angriffe mit Ransomware dar – Cyberangriffe bei denen die Cyberverbrecher die Daten verschlüsseln oder versuchen die Geschäftsleitung mit der Veröffentlichung der gestohlenen Daten zu erpressen.
Die Konsequenzen von solchen Angriffen sind vielfältig. Abgesehen von den offensichtlichen Folgen einer Unterbrechung bei den medizinischen Dienstleistungen, haben Ransomware-Angriffe in diesem Bereich oft ein längeres Nachspiel, das von Bußgeldern bis hin zu Anzeigen der Patienten wegen Verstöße gegen den Datenschutz reichen kann.
Großes Aufsehen erregende Ransomware-Vorfälle
Zu den Vorfällen im letzten Jahr, die in aller Munde waren und das Ausmaß des Problems verdeutlichten, zählt der Angriff mit Ryuk-Ransomware auf die US-amerikanische Krankenhauskette Universal Health Services (UHS) im letzten September. Die UHS-Gruppe betreibt 400 medizinische Einrichtungen in den USA, im Vereinigten Königreich und anderen Ländern. Glücklicherweise wurden einige Krankenhäuser und Kliniken verschont, aber mehrere UHS-Einrichtungen in verschiedenen Staaten der USA hatte es hart getroffen. Der Vorfall begann an einem Sonntagmorgen in aller Frühe: Es war unmöglich die Computer des Unternehmens zu starten und einige Mitarbeiter erhielten Lösegeldforderungen. Auch das Telefonnetz war von dem Angriff betroffen. Die IT-Abteilung musste die Mitarbeiter bitten auf die ehemalige Art und Weise zu arbeiten, d. h. vollkommen ohne Informationstechnologie. Das beeinträchtigte natürlich die üblichen Arbeitsabläufe in den Kliniken und betraf die Patientenversorgung, Labortests und vieles mehr. Manche Einrichtungen sahen sich gezwungen, die Patienten auf andere Krankenhäuser zu verlegen.
In der offiziellen Mitteilung gab UHS bekannt, dass es „keine Beweise für unbefugten Zugriff, unerlaubtes Kopieren noch Missbrauch der Patientendaten vorlägen“. Im März dieses Jahres veröffentlichte das Unternehmen einen Bericht, in dem zu lesen war, dass der Angriff einen Schaden in Höhe von 67 Millionen Dollar verursacht hatte, darunter die Unkosten für die Wiederherstellung der Daten, Gewinnverlust durch Ausfallzeiten, reduzierter Patientenfluss usw.
Indessen führte ein Vorfall bei Ascend Clinical, ein Unternehmen das auf Testdienstleistungen für Lebererkrankungen spezialisiert ist, zu einem Datenleck, von dem über 77.000 Patienten betroffen waren. Der Grund für die Infizierung des Unternehmensnetzwerkes ist bekannt: Ein Mitarbeiter klickte einen Link in einer Phishing-Mail an. Einmal im System drin, gelang es den Angreifern u. a. die personenbezogenen Daten der Patienten zu stehlen, darunter Namen, Geburtsdaten und Sozialversicherungsnummern.
Bei einem Angriff auf Magellan Health im April 2020 wurden die personenbezogenen Daten von sowohl Mitarbeitern als auch Patienten kompromittiert (laut den Medienberichten sind 365.000 Personen dem Angriff zum Opfer gefallen). In diesem Fall schafften es die Cyberverbrecher irgendwie sich per Social Engineering als ein Kunde auszugeben, Zugriff auf das interne Netzwerk zu erhalten und dann mithilfe von Malware die Anmeldedaten zu stehlen und letztendlich die Daten des Unternehmens zu verschlüsseln.
Im Allgemeinen ziehen Cyberkriminelle bei Angriffen auf Gesundheitseinrichtungen es vor, die Daten auf den Servern anstatt auf den Workstations zu stehlen und zu verschlüsseln. Das Florida Orthopedic Institute erlitt einen ähnlichen Angriff, bei dem die Angreifer die Daten von 640.000 Patienten zuerst stahlen und dann verschlüsselten. Zu den Folgen, die dieser Angriff nach sich zog, zählte eine unangenehme Sammelklage.
Die oben genannten Vorfälle sind nur ein kleines Beispiel der Aufsehen erregenden Ransomware-Angriffen vom letzten Jahr. Tatsächlich stand uns für diesen Blogbeitrag eine große Auswahl zur Verfügung.
Wie Gesundheitsinstitutionen sich effektiv schützen können
Malware kann auf verschiedene Wege in ein System eindringen: Durch E-Mail-Anhänge, Phishing-Links, infizierte Websites usw. Angreifer können Anmeldedaten stehlen, sie durch Social Engineering von einem Mitarbeiter bekommen oder durch Brute-Force-Methoden erhalten. Das alte medizinische Sprichwort „Vorbeugung ist die beste Medizin“ kann auch auf die Cybersicherheit übertragen werden und selbstverständlich auch auf den Schutz gegen Ransomware. Wir empfehlen folgende Präventivmaßnahmen für sämtliche Cyberangelegenheiten:
- Schützen Sie alle Geräte – nicht nur die Computer. Es ist erforderlich alles zu schützen, was Zugang zum Unternehmensnetzwerk und Internet hat, wie beispielsweise Unternehmenshandys, Tablets, Terminals, Kiosksysteme, medizinische Geräte usw.
- Halten Sie die Geräte immer auf dem neusten Stand. Auch diese Empfehlung bezieht sich nicht allein auf die Computer. Cyberschutz, sagen wir mal für ein CT-Gerät (Computertomografie), ist nicht unbedingt das Erste was einem in den Sinn kommt, aber im Grunde genommen handelt es sich auch hier um einen Computer mit einem Betriebssystem, das Schwachstellen enthalten kann. Im Idealfall sollte die Sicherheit einen hohen Stellenwert bei der Auswahl der Geräte haben – mindestens sollte vor dem Kauf nachgefragt werden, ob der Hersteller Updates für die Software des Geräts veröffentlicht.
- Installieren Sie Sicherheitslösungen für effektiven E-Mail-Schutz. Es ist von ausschlagender Bedeutung die elektronische Kommunikation zu schützen – medizinische Organisationen erhalten in der Regel viele E-Mails, einschließlich Spam-Mails, die abgesehen von harmlosem Datenmüll auch gefährliche Anhänge oder Links enthalten können.
- Machen Sie alle Mitarbeiter mit den Grundlagen von Sicherheitsbewusstsein vertraut – nicht nur Administratoren, sondern auch Doktoren und alle Personen die während ihrer Arbeit mit Technologie in Berührung kommen. Auch die Gesundheitsversorgung macht einen digitalen Wandel durch und es wird immer mehr mit elektronischen Geräten gearbeitet, dessen Funktionen vom Aufzeichnen von Krankengeschichten bis hin zu Online-Sprechstunden reichen. Das Bewusstsein für Cybersicherheit sollte genauso zur Routine gehören wie das Tragen eines Mund-Nasen-Schutzes bei der Durchführung einer OP.
- Viele moderne Ransomware-Angriffe werden – wie wir es nennen – auf „manuelle“ Weise ausgeführt. In anderen Worten ausgedrückt, verwenden moderne Cyberverbrecher ihre Malware nicht nach dem Gießkannenprinzip, sondern suchen oft nach Möglichkeiten, um sorgfältig ausgewählte Computer oder Server des Opfers zu infizieren. Für diese Art von Angriffen wird in vielen Fällen Social Engineering angewendet. Nach einer Netzwerkinfiltration wird häufig zuerst die Infrastruktur bis ins kleinste Detail ausgekundschaftet, um nach den wertvollsten Daten zu suchen. Um solche Angriffe zu entlarven, reicht der Schutz von IT-Endgeräten oft nicht aus und es ist ratsam einen MDR-Service (Managed Detection and Response) in Anspruch zu nehmen, der eine Fernüberwachung Ihrer Infrastruktur ermöglicht.