Cybercrime: Krankenhäuser im Fadenkreuz

CyberkriminalitätSicherheit
Code Sicherheit (Bild: Shutterstock)

Die Berichterstattung und die Zahl der Cyberangriffe auf das Gesundheitswesen steigen. Kriminelle haben es vor allem auf das Stehlen von personenbezogenen Daten, Gesundheitsdaten und Lösegeld abgesehen.

Zu Beginn der Pandemie hatten einige cyberkriminelle Gruppierungen noch versprochen, dass sie ihre Ransomware-Angriffe nicht gegen Krankenhäuser richten würden. Darunter waren unter anderem die Gruppen, die die Maze- und DoppelPaymer-Ransomware einsetzen. Nun scheint es sechs Monate später so zu sein, dass all diese Versprechen über Bord geworfen wurden, denn sowohl die Maze- als auch die DoppelPaymer-Gruppe werden verdächtigt, hinter aktuellen Angriffen auf Krankenhäuser und Hospitäler zu stecken. Sich auf Cyberkriminelle zu verlassen war noch nie eine Option und das sollte nun, egal welche Ransomware am Ende im Kern eines Angriffes gefunden wird, auch den letzten Verantwortlichen klar geworden sein. Krankenhäuser waren, sind und werden auch in Zukunft lohnende Angriffsziele bleiben, erst recht mit dem gerade verabschiedeten Krankenhauszukunftsgesetz.

Stefan Maith, der Autor dieses Gastbeitrags, ist Team-Leiter Public Sector bei Check Point Software Technologies (Bild: Check Point Software).
Stefan Maith, der Autor dieses Gastbeitrags, ist Team-Leiter Public Sector bei Check Point Software Technologies (Bild: Check Point Software).

Ransomware nicht unter Top 3 Bedrohungen für Krankenhäuser

In einer Analyse haben die Sicherheitsforscher von Check Point die wichtigsten Angriffsmethoden und -ziele zusammengestellt. Beispielsweise wurden 70 Prozent der deutschen Krankenhäuser über eine Schwachstelle bei der Remote Code Execution angegriffen. Bei fast der gleichen Anzahl der Fälle wurden Daten und Informationen kopiert und auf einschlägigen Kanälen veröffentlicht. In 58 Prozent der Fälle wurde dabei die eigentlich erforderliche Authentifizierung umgangen. Zum aktuellen Einsatz von Ransomware liegen nur wenig Zahlen vor, denn der letzte Untersuchungszeitraum liegt noch vor der Pandemie. Vor allem Kryptominer, Bots und Infostealer wurden in den Netzwerken gefunden. Der eingangs beschriebene Fall und diverse Instanzen aus dem letzten Jahr zeigen jedoch auf, dass auch Ransomware ein gern genutztes Tool der Cyberkriminellen gegen eben Krankenhäuser ist. Diese Bedrohungsform sorgt zwar immer wieder für Schlagzeilen, andere Bedrohungen wie Kryptominer, Bots und Co. werden jedoch viel öfter, und das zeigen die oben genannten Zahlen, gefunden.

In den USA sind laut einem Bericht bei Slate seit 2016 mehr als 1.000 Gesundheitsorganisationen mit Ransomware angegriffen worden. Die Gesamtkosten dieser Angriffe übersteigen 157 Millionen US-Dollar. Im Jahr 2017 waren Dutzende britische Krankenhäuser und Praxen das Ziel von WannaCry-Lösungsmitteln, und im Jahr 2019 musste eine Reihe US-amerikanischer Krankenhäuser aufgrund eines weiteren Lösegeldangriffs Patienten abweisen. Sogar in tschechischen Krankenhäusern nehmen die Fälle von Erpressungsdrohungen zu, wie der Fall des Krankenhauses in Benešov zu Beginn des Jahres gezeigt hat.

Ransomware-Angriffe werden immer raffinierter und ausgefeilter. Cyberkriminelle drohen damit, sensible Informationen aus verschlüsselten Systemen preiszugeben, und Ransomware wird oft mit anderen Bedrohungenstechniken kombiniert, wie im Fall des Krankenhauses in Benešov, wo die Ryuk-Ransomware mit Hilfe des Botnetzes Emotet in die IT-Systeme eindrang. In ähnlicher Weise verbreitet beispielsweise das Phorpiex-Botnet die Avaddon-Lösungsmittelwerbung.

Ransomware-as-a-Service wird ebenfalls immer häufiger angeboten, so dass selbst unerfahrene und technisch wenig versierte Angreifer diese Attacken starten können. Bei Erfolg zahlen die einen Teil des Lösegelds an die Urheber aus. Ein Beispiel dafür ist die GandCrab-Ransomware, bei ihr macht dieser Anteil an den Gewinnen zwischen 30 und 40 Prozent aus. Im Jahr 2018 infizierte GandCrab in nur zwei Monaten mehr als 50.000 Computer und brachte den Angreifern bis zu 600.000 US-Dollar Lösegeld ein.

Zukunft bringt mehr Geräte und höhere Schutzanforderungen

Die Zukunft in Krankenhäusern geht klar in Richtung des vermehrten Einsatzes von vernetzten Geräten über das Internet-of-things (IoT). Durch die intelligente und automatisierte Kommunikation der verschiedenen Systeme und Geräte sind Mitarbeiter, Ärzte und Krankenschwestern noch besser in der Lage, sich um das leibliche Wohl der Patienten zu kümmern und Risikogruppen zu überwachen. Gleichzeitig generiert diese vermehrte digitale Kommunikation auch mehr Daten, also potenzielle Beute für Cyberkriminelle. Ebenfalls bedeuten mehr Geräte und mehr individuelle Verbindungspunkte zum Internet auch einen breiteren und höheren Schutzbedarf der Systeme. Komplette Sicherheitskonzepte müssen für diese Art von neuer Infrastruktur aufgesetzt werden, um nicht virtuellen Schädlingen Tür und Tor zu öffnen.

Fazit: Wie gelingt der Schutz vor Ransomware und Co?

Krankenhäuser müssen wichtige Dateien sichern und automatische Backups auch auf den Geräten der Mitarbeiter verwenden. Ransomware-Gruppierungen versuchen oft, Organisationen durch Phishing- oder Spam-Nachrichten zu infiltrieren, so dass Security Awareness-Schulungen hier Abhilfe schaffen können. Wenn Mitarbeiter ungewöhnliche Aktivitäten vermuten, müssen sie dies sofort den Sicherheitsteams melden, genauso wie eigene Fehler, ein Klick und ein unerwünscht gestartet Download sollten umgehend an die IT-Abteilung und im besten Fall an die IT-Sicherheitsexperten gemeldet werden. Damit sich eine potenzielle Bedrohung nicht unkontrolliert über das Netzwerk ausbreitet, ist es notwendig, zu segmentieren und sicherzustellen, dass die Mitarbeiter nur Zugriff auf die Daten haben, die sie wirklich benötigen. Krankenhäuser sollten darüber hinaus jedoch auch umfassende Sicherheitslösungen einsetzen, wobei der Schwerpunkt auf präventiven Technologien wie der Extraktion und Emulation von Bedrohungen liegen muss. Alle Systeme, Geräte und Anwendungen müssen zudem ständig aktualisiert und auf den neusten Stand gebracht werden. Nur eine Kombination all dieser Maßnahmen kann zur Risikominimierung beitragen.

Autor
Erfahren Sie mehr 
Stefan Maith ist Team-Leiter Public Sector bei Check Point Software Technologies GmbH.
Erfahren Sie mehr