Gravierende Cyberrisiken im Gesundheitswesen

Die Weltgesundheitsorganisation WHO vermeldete eine Verfünffachung der Angriffe mittels Phishing und Ransomware im Gesundheitswesen. Zur Beurteilung der Lage hat Vectra Daten von Kunden aus dem Gesundheitswesen ausgewertet. Die Untersuchung analysierte die Netzwerk-Bereitstellung im Gesundheitswesen mittels der Cognito-Plattform für Erkennung und Response.

Während der COVID-19-Pandemie befinden sie sich stets an vorderster Front: Beschäftigte im Gesundheitswesen sind unermüdlich für uns im Einsatz. Doch wie schlägt sich das Gesundheitswesen in diesen Krisenzeiten, wenn es um gezielte Cyber-Angriffe geht? Hat sich die Cyber-Sicherheit im Gesundheitswesen 2020 verbessert, verschlechtert oder ist gegenüber den Vorjahren alles gleich geblieben?

Als sich das COVID-19-Virus zu einer Pandemie entwickelte, wiesen erste Stimmen schon früh auf Betrugsversuche hin. Speziell mit Blick auf das Gesundheitswesen vermeldete die Weltgesundheitsorganisation WHO bereits im März eine Verfünffachung der Angriffe mittels Phishing und Ransomware.Darüber hinaus warnte die WHO vor kompromittierten externen Datenbanken und Nutzerkonten, die unbemerkt gegen Beschäftigte im Gesundheitswesen eingesetzt werden könnten.

Zur Beurteilung der Lage hat Vectra Daten ausgewertet, die zwischen Januar und Mai 2020 mit ausdrücklicher Zustimmung von Kunden aus dem Gesundheitswesen erfasst wurden. Dabei ergab eine Untersuchung der Cognito-Plattform für Erkennung und Response,die Netzwerk-Bereitstellungen im Gesundheitswesen analysierte, dass sich das Bild der Angriffe gegenüber 2019 kaum verändert hat.

Mehr Angriffsfläche

Spürbare Veränderungen gab es jedoch bei der Angriffsfläche, die weiter wächst und sich verlagert. Angreifer versuchen, Daten abzugreifen, wo immer sie gespeichert sind. Im Gesundheitswesen werden diese Daten durch neue Entwicklungen in der Telemedizin und mehr Heimarbeit im Zuge von COVID-19 verstärkt in die Cloud migriert.

Vectra untersuchte Netzwerkverhalten, das mit den Abläufen eines Cyber-Angriffs übereinstimmt, also Botnet Monetization, Command & Control, Internal Reconnaissance, Lateral Movement und Datenexfiltration. Dieses Netzwerkverhalten war jedoch grösstenteils auf Datenmigration in die Cloud und nicht auf Angriffe zurückzuführen.

  • In Europa, im Nahen Osten und in Afrika sowie in Nordamerika gab es einen Anstieg bei der Verschiebung externer Daten, der sogenannten Exfiltration. Auch das stimmt mit der Cloud-Migration überein.
  • Einen signifikanten Anstieg gab es bei sogenannten Smash-and-Grab-Aktivitäten, bei denen medizinische IoT-Geräte große Datenmengen an gehostete Cloud-Sites schicken.
  • Auch der Datenschmuggel hat zugenommen. Das hat vermutlich damit zu tun, dass Patientenakten massenhaft digitalisiert und in der Cloud gespeichert werden.

Aber auch hier gilt: Vectra berichtete schon 2019, dass Beschäftigte im Gesundheitswesen neue medizinische IoT-Geräte einsetzten, ohne über entsprechende IT-Kenntnisse zu verfügen. Jedes einzelne dieser Geräte bot somit eine Angriffsfläche. Die von Vectra in diesem Jahr durchgeführte Untersuchung ergab jedoch, dass der Fernzugriff durch medizinische IoT-Geräte zur Norm geworden ist. Dies wiederum birgt ein neues Gefahrenpotenzial, da medizinische Daten die internen Netzwerke im Gesundheitswesen verlassen und stattdessen in nur unzureichend gesicherten Cloud-Services landen.

Warnung vor einer möglichen Cyber-Pandemie

Dass sich das Gesundheitswesen in die Cloud verlagert, ist nicht neu. Allerdings hat COVID-19 diese Entwicklung derart beschleunigt, dass kaum ein Unternehmen bei der Umstellung auf Cloud-Services seine Datensicherheit gewährleisten kann. Dadurch befinden sich die Cyber-Sicherheitsteams im Gesundheitswesen permanent in der Defensive. Statt potenziellen Angriffen voraus zu sein und ihnen proaktiv zu begegnen, befinden sie sich ständig auf der Suche nach Schwachstellen und können auf neue Bedrohungen nur reagieren.

Zu den Angriffsflächen, die nicht verwaltete medizinische IoT-Geräte bieten, kommen nun auch noch die Angriffsflächen nicht verwalteter Cloud-Services hinzu. Das ist brandgefährlich. Eine Cyber-Pandemie ist so nur eine Frage der Zeit.

In der aktuellen Lage kommen Unternehmen kaum noch dazu, die üblichen Regeln für sichere Datenverarbeitung zu kontrollieren, weil sie ständig auf die nächste Gefahr reagieren müssen. Im Gesundheitswesen gilt es, immer wieder aufs Neue eine Balance zu finden zwischen Sicherheit und Durchsetzung der Regeln auf der einen Seite sowie Benutzerfreundlichkeit und Effizienz auf der anderen Seite.

Auf Sicherheitsunternehmen im Gesundheitswesen kommt nun die schwierige Aufgabe zu, die Verfügbarkeit von Patientendaten abzuwägen gegen Regeln und Kontrollen, die für Sicherheit und Schutz dieser Daten in der Cloud notwendig sind.

Autorenangabe:
Andreas Müller, Regional Director DACH bei Vectra