Home » Fachbeiträge » KRITIS » Daten im Gesundheitswesen sind für Cyberkriminelle besonders attraktiv

Daten im Gesundheitswesen sind für Cyberkriminelle besonders attraktiv

Mensch und Maschine im engen Zusammenspiel, das ist Alltag in Krankenhäusern. Technologischer Fortschritt, der Einsatz von künstlicher Intelligenz (KI) oder auch einfach die stetige Verfeinerung digitalisierter medizinischer Arbeit haben zu einer effizienteren Medizin beigetragen. Ohne den Menschen jedoch, der die Maschinen bedient, fundierte Analysen trifft, richtige Diagnosen stellt und Strategien zur Heilung entwickelt, sind die Prognosen trübe.

4 Min. Lesezeit
Foto: ©AdobeStock/everythingpossible

In der IT-Sicherheit gilt dasselbe Prinzip: Auch hier ist die Entwicklung rasant und das Potenzial der eingesetzten Sicherheitslösungen enorm hoch. Und doch reichtes für eine moderne Gefahrenabwehr nicht mehr, sich auf Firewall und Co. zu verlassen.

Die besondere Gefahr für Krankenhäuser und andere Einrichtungen des Gesundheitswesens fußt auf mehreren Faktoren. Grundsätzlich sind die Motive hinter cyberkriminellen Aktivitäten vielfältig. Meist geht es darum, den Geschäftsbetrieb empfindlich zu stören oder gar gänzlich zum Erliegen zu bringen, hohe Erpressungsgelder zu erzielen oder aber erbeutete Daten im Darknet zu veräußern. Angriffe auf medizinische Einrichtungen sind für Cyberkriminelle aber besonders attraktiv. Sensible Datensätze wie Patientendaten, Krankenakten oder anderweitige technologische, wissenschaftliche oder personenbezogene Informationen sind im dunklen Markt der Cyberkriminellen unendlich wertvoll. Erst im Januar 2022 gelang es beispielsweise Hackern, bei einem Angriff auf das Internationale Rote Kreuz mehr als 500.000 Daten höchst schutzbedürftiger Personen zu erbeuten.

Neben den hohen Erträgen auf dem einschlägigen Schwarzmarkt erhoffen sich die Cyberkriminellen zudem eine größere Bereitschaft der angegriffenen Gesundheitseinrichtungen, zum Beispiel im Fall einer Ransomware-Erpressung die geforderten Lösegelder auch tatsächlich zu zahlen. Dramatik und Aufmerksamkeitswirkung solcher Angriffe können darüber hinaus im schlimmsten Fall zum Tod von Menschen führen.

Ein anderer Aspekt für die Gefahr, die von der cyberkriminellen Szene ausgeht, ist die Tatsache, dass man auch technologisch dort heutzutage in einer ausgesprochen komfortablen Situation ist – entweder durch eigenes Können, was der seltenere Fall ist, oder aber durch die Unabhängigkeit von eben diesem: Wer cyberkriminelle Absichten hat, braucht keine eigene Hacking-Expertise mehr, sondern kann aus einem breit aufgestellten, skalierbaren Service-Angebot an cyberkriminellen Dienstleitungen wählen. Vom schnell gekauften kleinen Schadwarecode bis hin zu als Auftragsarbeiten ausgeführten komplexen und von Expertenhand gesteuerten Angriffen. Die Branche im Darknet boomt und mit ihr steigt die Professionalität auf der dunklen Seite der Macht.

Und auch die tatsächlichen Auswirkungen zeigen sich. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden 2021 nicht weniger als rund 144 Millionen neue
Schadprogramme identifiziert. Ein gutes Viertel der betroffenen Organisationen bewerteten die Angriffe, mit denen sie konfrontiert waren, als eine schwerwiegende oder existenzbedrohende Gefahr.

Bild: Sophos

Laut einer Studie von Sophos beeinträchtigt Ransomware Betrieb und Umsätze im Healthcare-Bereich massiv.

Weil es um die Menschen geht

Die IT-Sicherheit im Gesundheitsumfeld muss besondere Bedingungen erfüllen. Viele Bereiche zählen obendrein zu den kritischen Infrastrukturen, für die noch einmal erweiterte Anforderungen gelten. Eine zusätzliche Herausforderung besteht darin, dass der Betrieb im Healthcare-Umfeld – etwa bei Kliniken und Krankenhäusern – im Falle einer Cyberattacke nicht einfach angehalten werden kann. Diese Situation verspricht Hackern zum Beispiel im Fall einer Ransomware-Verschlüsselung gute Aussichten für ihre Ziele.

Die Erpressungssoftware, eine der maßgeblichsten Bedrohungen, erweist sich im Gesundheitswesen in Bezug auf Schutz und Wiederherstellung dabei als differenziertere Gefahr als in anderen Branchen. Die Daten, die Krankenhäuser und andere Unternehmen im Gesundheitswesen nutzen, sind äußerst sensibel und daher wie beschrieben attraktiv für Angreifer. Darüber hinaus bedeutet die Notwendigkeit eines effizienten und weit verbreiteten Zugriffs auf diese Art von Daten – damit medizinisches Fachpersonal die richtige Pflege leisten kann –, dass typische Zwei-Faktor-Authentifizierung und Zero-Trust-Verteidigungstaktiken nicht immer durchführbar sind. Das macht Organisationen des Gesundheitswesens oft verwundbarer als andere.

Die inzwischen äußerst raffinierten Angriffsmethoden der Cyberkriminellen erschweren die Situation außerdem. Hackerbanden umgehen zum Beispiel geschickt die bestehenden Schutzmechanismen und bewegen sich oftmals Tage und Wochen unbemerkt auf Schleichfahrt im IT-Netz, bevor sie den eigentlichen Angriff starten.

Zu guter Letzt greift auch was die IT-Sicherheit in Krankenhäusern angeht, ein aktuelles, alle Branchen umfassendes Problem: Es steht nicht genügend qualifiziertes IT-Fachpersonal zur Verfügung. Eine von Ipsos im Auftrag von Sophos durchgeführte Studie in Deutschland, Österreich und der Schweiz ergab, dass zwischen knapp 60 und 70 Prozent der befragten Unternehmen im Personalmangel die größte Herausforderung für die Sicherstellung ihrer Cybersicherheit ansehen. Bereits ein Drittel holt sich für die Professionalisierung der Cybersicherheit externe Beratungsleistungen in Form von zum Beispiel Managed-Detection-and-Response-(MDR)-Services hinzu.

Mensch und Maschine im Team

Unternehmen haben es schwer, mit gut finanzierten Angreifern Schritt zu halten, die ihre Fähigkeit zur Umgehung von Verteidigungstechniken ständig weiterentwickeln und industrialisieren. Organisationen, die auf klassische Antivirenlösungen und traditionelle Firewall-Systeme vertrauen, haben den modernen Angriffsvektoren der Cyberkriminellen daher wenig entgegenzusetzen. Es geht für eine wirksame Kur oder Prophylaxe in Sachen IT-Sicherheit also darum, den existierenden Schutz vor Cybergefahren so zu erweitern oder auch neu aufzustellen, dass er sowohl gesetzlichen Anforderungen entspricht als auch eine wirkungsvolle Antwort auf die aktuelle Gefahrenlage darstellt.

Die Antwort auf all das kann nur eine agile Cybersicherheit sein – von der Strategie über die Umsetzung bis zum Monitoring.

Einige Punkte sind hierfür zu beachten: Es sollten alle schützenswerten internen und externen Systeme und Daten bekannt sein. Diese sollten nach Gefahrenpotenzial und Sensibilität für den Betriebsablauf priorisiert werden. Ein Notfallplan sollte erstellt werden, der alle Bereiche, Systeme, Daten und Verantwortlichen miteinbezieht. Zudem sollte man auf Automatisierung setzen, um mithilfe von KI und Machine Learning schnell auf Vorfälle reagieren zu können.

Da bei komplexen Bedrohungen eine rein maschinelle und verhaltensbasierte Erkennung und Beseitigung von Angriffen oft nicht mehr ausreicht, sollte man die Lösungen möglichst
durch spezialisierte MDR-Teams aus IT-Sicherheitsprofis ergänzen. Denn neben technischer Innovation mit künstlicher Intelligenz oder anomaliebasierter automatischer Reaktion
spielt die menschliche Expertise eine immer gewichtigere Rolle.

Auf diese Weise kann eine weitsichtige Sicherheitsstrategie mit einem Katastrophenmanagement, einer zeitgemäßen und mehrschichtigen Schutztechnologie und einem spezialisierten Team kombiniert werden, das sich mit der Prävention, der Früherkennung und der Schadensbeseitigung auskennt. Oder anders gesagt: Entscheidend ist am Ende der Mensch.

Michael Veit
Erstellt von Hamann Media GbR

Michael Veit ist Security-Experte bei Sophos.

Andere interessante Fachbeiträge

Riese und Zwerg

Klein gegen Groß – ein ungleiches Spiel

Für kleine und mittlere Unternehmen (KMU) sind die umfangreichen gesetzlichen Anforderungen, die oft mit Blick auf Großkonzerne konzipiert wurden, eine Herausforderung. Unser Kommentar beleuchtet die überproportionalen Belastungen für KMU insbesondere im Bereich IT-Sicherheit und Datenschutz und fordert ein Umdenken in der Gesetzgebung.

IT-Security - Datenschutzsymbole

Ticket in die erfolgreiche Zukunft

In der innovationszentrierten Welt der Start-ups wird die Informationssicherheit häufig übersehen. Doch in einer Ära, in der Cyberbedrohungen zunehmen, ist ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 für Start-ups nicht nur ein Schutzmechanismus, sondern ein entscheidender Wettbewerbsvorteil.

Logo von Microsoft Copilot auf Laptop-Bildschirm

Ist Ihr Unternehmen bereit für Microsoft Copilot?

Der KI-Assistent Microsoft Copilot ist seit November 2023 für Unternehmenskunden verfügbar. Er soll den Anwendern die Arbeit erleichtern und sie so deutlich produktiver machen. Im Gegensatz zu anderen KI-Tools wie ChatGPT hat Copilot dabei Zugriff auf alle sensitiven Daten, auf die der Benutzer zugreifen kann.