Im IBM-Report „Cost of a Data Breach“ aus dem Jahr 2022 stellte das Unternehmen fest, dass die durchschnittlichen Kosten einer Datenpanne weltweit bei 4,35 Millionen US-Dollar liegen. Im Gesundheitswesen explodierte diese Zahl sogar auf 10,1 Millionen US-Dollar. Warum ist ein Angriff auf eine Organisation im Gesundheitswesen so viel kostspieliger?
Nicko van Someren, Chief Technology Offficer (CTO) bei Absolute Software, geht dieser Frage nach und erörtert Lösungsansätze zur Risikominimierung.
Während das zum Teil daran liegt, dass Organisationen im Gesundheitswesen oft über große Budgets verfügen und daher auch in der Lage sind, im Falle einer Erpressung hohe Lösegelder zu zahlen, hängt das aber vor allem von den drohenden Konsequenzen ab. Denn hier stehen echte Leben auf dem Spiel. Systeme, die ausfallen, bedeuten nicht nur einen Verlust auf der Gewinnseite, sondern eben auch den Verlust von Menschenleben. Vor die Wahl gestellt, entweder zu zahlen oder Menschen sterben zu lassen, fällt die Entscheidung für die Zahlung eines Lösegelds im Prinzip nicht schwer, selbst wenn der geforderte Preis sehr hoch ist.
Die Lage der Gesundheitsbranche
Die Gesundheitsindustrie stellt aus zwei Gründen ein besonders attraktives Ziel für Ransomware-Angriffe dar. Erstens handelt es sich bei Unternehmen des Gesundheitswesens, unabhängig von ihren Leistungen in der Regel um große Unternehmen mit umfangreichen Bilanzen. Allein die Gesamtausgaben der US-Krankenhäuser beliefen sich im Jahr 2022 auf über eine Billion Dollar, was bereits darauf hindeutet, dass an jedem beliebigen Tag landesweit eine riesige Menge Geld in die Krankenhäuser hinein- und aus ihnen auch wieder herausfließt. Für Cyber-Kriminelle bedeutet dies ein attraktives und eventuell auch ein leicht umsetzbares Ziel mit einem bis zu einem gewissen Grad fast schon garantierten Gewinn.
Zweitens stellt das Gesundheitswesen eine äußerst wichtige Branche für die Menschheit dar. Für viele Unternehmen in anderen Branchen kann eine Ransomware-Erpressung allenfalls eine Situation bedeuten, in der es heißt „Bezahlen oder offline gehen“. Geräte können offline genommen werden und die Produktivität kann sich vorübergehend verlangsamen, aber ein Ransomware-Angriff bedeutet einen vorübergehenden Rückschlag: Unternehmen können sich eventuell sogar die Zeit nehmen, um einen Weg für die Vermeidung einer Zahlung an die Erpresser zu finden. Im Gesundheitswesen steht der Zeitfaktor jedoch nicht auf der Seite der Unternehmen. Die Auswirkungen eines Ransomware-Angriffs können sich für Kriminelle viel nützlicher erweisen, wenn dabei tatsächlich das Leben von Menschen unmitttelbar auf dem Spiel steht.
Das eigentliche Problem besteht jedoch darin, dass Kriminelle so lange weiter angreifen werden, wie Organisationen des Gesundheitswesens für Ransomware-Erpressungen zahlen müssen, um Leben ihrer Patienten zu retten: Dies stellt leider einen Teil des Gesamtrisikos auf diesem Sektor dar.
Eine andere Art von Risiko
Es ist jedoch nicht nur die Attraktivität der Ziele, die Kriminelle weiter dazu veranlasst, Organisationen des Gesundheitswesens anzugreifen – es ist auch das Risikoprofil des durchschnittlichen Mitarbeiters im Gesundheitswesen.
Denn mehr als in den meisten anderen Branchen ist die Mobilität der Mitarbeiter im Gesundheitswesen extrem hoch. In vielen Bereichen des Gesundheitswesens befindet sich ein erheblicher Teil des Personals im Außendienst oder arbeitet an verschiedenen Stellen in den Büros. Ärzte und Krankenschwestern sind ständig unterwegs, auch wenn sie das Krankenhaus eigentlich nie verlassen. Und viele Geräte werden aus diesen Umständen heraus ebenfalls mobil. Dadurch entsteht ein hohes Risiko des Verlusts oder Diebstahls von Geräten, was die Notwendigkeit einer stabilen Netzverbindung und der Möglichkeit, ein Gerät nach einem Diebstahl aufzuspüren oder zu löschen, erhöht.
Außerdem sind Daten aus dem Gesundheitswesen für Kriminelle äußerst wertvoll. Das liegt nicht nur daran, dass es sich um sehr persönliche Daten handelt. Vielmehr handelt es sich um eine Fundgrube äußerst wertvoller personenbezogener Informationen (Personal Identifiable Information oder PII). Diese Art von persönlichen Informationen ist genau das, was Cyber-Kriminelle brauchen, um die Antworten auf persönliche Fragen zu erhalten, die Bankkonten, Website-Anmeldungen und vieles mehr betreffen.
Außerdem sind Gesundheitssysteme oft sehr groß und miteinander verbunden. Und wenn die Sicherheitsvorkehrungen nicht einwandfrei sind, können Kriminelle schnell von den Laptops der Endbenutzer zu Abteilungen wie der Rechnungsstellung, der Apotheke und den Kontrollsystemen vordringen – immer auf der Suche nach dem schwächsten Glied, solange ein wertvolles Ziel existiert. Für die IT-Teams des Gesundheitswesens ergibt sich daraus ein endloser Ablauf wie bei dem Spiel „Whack-a-mole“, bei dem das Ziel darin besteht, einfach weniger Angriffsfläche zu bieten, während gleichzeitig Malware-Infektionen über eine Vielzahl von Systemen verteilt werden.
Insgesamt stellen Geräte im Gesundheitswesen mit ihrer großen Angriffsfläche, den vernetzten Systemen und den besonders wertvollen Daten ein perfektes Ziel dar. Sie sind auch ein perfekter Anwendungsfall für einen Sicherheitsansatz von Zero-Trust Network.
Verringerung des Risikos
Der Begriff „Risiko“ wird in der Regel als das Produkt aus der Wahrscheinlichkeit eines erfolgreichen Angriffs und den Auswirkungen dieses Angriffs definiert. Sein Unternehmen zu schützen, um die Erfolgschancen eines solchen Angriffs zu verkleinern, kann als die gängigste Methode zur Risikominderung betrachtet werden, aber sie hat ihre Grenzen. Kein Unternehmen wird jemals perfekt geschützt sein. Das bedeutet, dass in den meisten Fällen der beste Weg zur Risikominimierung darin besteht, auf einen Angriff vorbereitet zu sein, um dessen Auswirkungen dann geringer zu machen. Und das bedeutet, dass IT-Teams Wege finden müssen, um ihr Unternehmen an einen Punkt zu bringen, an dem man sich von einem Angriff erholen kann, ohne ein Lösegeld zu bezahlen. Auf diese Weise kann man den Teufelskreis durchbrechen: Solange Angriffe zu Zahlungen führen, werden Zahlungen zu weiteren Angriffen führen.
Diesen Teufelskreis zu durchbrechen ist von entscheidender Bedeutung, denn wenn das nicht gelingt, werden Kriminelle, egal wie stark die eigenen Abwehrmaßnahmen sind, einfach einen anderen Teil des Unternehmens angreifen. Deshalb muss es das Ziel sein, einen Punkt zu erreichen, an dem ein Lösegeldangriff auf das eigene Unternehmen allenfalls nur noch einen kleinen Rückschlag darstellt: Man besitzt schließlich jede Menge an Sicherheitsvorkehrungen und Backups, um den Rückschlag zu verkleinern. Wenn man in der Lage ist, sich ohne Bezahlung wieder zu erholen, hat man gewonnen. Kriminelle wollen dort angreifen, wo der Return on Investment (RoI) am größten ist: Wenn man nach einer Attacke nicht bezahlen muss, suchen sie sich wahrscheinlich ein anderes Opfer.
Im Falle von Ransomware-Angriffen bedeutet die Verkleinerung der Auswirkungen, dass man in der Lage ist, seine Systeme so schnell und so effizient wie möglich wieder in den Zustand wie vor dem Angriff zu versetzen. Dazu braucht man natürlich Backups, aber man braucht auch mehr als das, wenn man schnell reagieren will – vor allem, wenn man mobile Mitarbeiter einsetzt. Was man braucht, ist eine Kontrolle der Geräte aus der Ferne, und man braucht entsprechende Geräte, die eine komplette Neuinstallation der Systeme überstehen. Das Überleben einer Neuinstallation ist von entscheidender Bedeutung, da es in der sich ständig verändernden Welt der Malware-Infektionen oft unmöglich ist, sich sicher zu fühlen, dass die Infektion erfolgreich entfernt wurde, ohne den gesamten Datenträger vollständig zu vernichten. Die Fähigkeit, nach einem Angriff wieder auf die Beine zu kommen, was IT- und Sicherheitsexperten als „Resilienz“ bezeichnen, ist eines der effektivsten Tools, die man einsetzen kann, um das gesamte Risiko von Ransomware-Angriffen zu minimieren.
Die Bedeutung einer vorausschauenden Planung
Die Verminderung eines Risikos ist ohne eine vorausschauende Planung nicht möglich, aber mit ein wenig Weitsicht können Unternehmen im Gesundheitswesen das Risiko von Ransomware-Angriffen drastisch reduzieren. Der Schlüssel dazu besteht in einem Gleichgewicht zwischen den bestehenden Techniken für Cyber Security zur Verhinderung von Angriffen und den Techniken einer Cyber-Widerstandsfähigkeit, die IT-Teams dabei helfen, wieder auf die Beine zu kommen. Jeder im Gesundheitswesen weiß, dass eine Krankenversicherung eine Notwendigkeit ist, wenn man im Krankheitsfall wieder gesund werden will, egal wie jung und gesund man ist oder sich fühlt. Mit der Cyber-Widerstandsfähigkeit verhält es sich genauso: Wenn man seine Systeme gesund erhalten will, muss man nicht nur eine gute Hygiene praktizieren, sondern auch dafür sorgen, dass man im Falle einer Infektion schnell und wirksam behandelt werden kann. Auf diese Weise kann das eigene Unternehmen weniger Zeit und Energie für die Gesunderhaltung der PCs aufwenden und dafür mehr Zeit für die Gesunderhaltung der Menschen.