IT-Sicherheitsexperten von Proofpoint haben DMARC-Analysen von 194 Domains deutscher Krankenhäuser durchgeführt, die es auf die Newsweek-Liste der weltbesten Krankenhäuser 2023 geschafft haben: Die Ergebnisse sind beunruhigend. Nur 31 Prozent von ihnen haben überhaupt einen DMARC-Eintrag veröffentlicht.
Das bedeutet, dass 69 Prozent keinerlei Maßnahmen ergriffen haben, um Patienten, Lieferanten und andere Gesundheitseinrichtungen vor E-Mail-Betrug zu schützen. Noch schlimmer ist, dass nur 6 Prozent DMARC auf höchster Umsetzungsstufe (Reject, ablehnen) implementiert haben, was im Umkehrschluss zur Folge hat, dass 94 Prozent nicht proaktiv verhindern, dass betrügerische E-Mails ihre Ziele erreichen.
Weil der jüngste erfolgreiche Angriff auf ein deutsches Krankenhaus, das Krankenhaus Lindenbrunn, in Niedersachsen stattfand, haben die Experten von Proofpoint auch eine DMARC-Analyse für alle Krankenhäuser in diesem Bundesland durchgeführt. Mit noch alarmierenderen Ergebnissen: Von den 119 analysierten Domains haben nur 40 (34 %) einen DMARC-Eintrag veröffentlicht. Somit haben 66 Prozent überhaupt keinen Eintrag veröffentlicht. Von den untersuchten niedersächsischen Krankenhäusern haben nur 4 (3 %) DMARC auf Reject-Level implementiert. 97 Prozent verhindern folglich nicht proaktiv, dass betrügerische E-Mails, die ihre Domäne missbrauchen, ihre Adressaten erreichen.
„Nur wenn sie DMARC auf der „Reject“-Stufe implementieren, verhindern Organisationen effektiv, dass betrügerische E-Mails, die ihre Domain missbrauchen, andere Organisationen erreichen“, erklärt Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. „Mit anderen Worten: 94 Prozent der führenden deutschen Krankenhäuser, die DMARC nicht auf „Reject“-Stufe implementieren, setzen andere Organisationen – nicht zuletzt andere Krankenhäuser, Lieferanten und Patienten – einem sehr hohen Risiko aus, Opfer von E-Mail-basierter Cyberkriminalität zu werden. Das ist ein äußerst bedauernswerter Zustand, zumal DMARC weder ein sehr teurer Weg ist, IT-Sicherheit zu gewährleisten und andere zu schützen, noch handelt es sich um so etwas wie ein gut gehütetes Geheimnis. Angesichts der Sensibilität der Daten, mit denen Krankenhäuser zu tun haben, ist das Ergebnis unserer Analyse besonders schockierend. Unseres Wissens schneidet keine andere Branche so schlecht ab wie das Gesundheitswesen.”
DMARC ist ein weithin anerkanntes E-Mail-Validierungsprotokoll, das Domainnamen vor dem Missbrauch durch Cyberkriminelle schützen soll. Es authentifiziert die Identität des Absenders, bevor eine Nachricht ihren Bestimmungsort erreicht. DMARC hat drei Schutzstufen: „Monitor“, „Quarantäne“ und „Reject“. „Reject“ ist die zuverlässigste Methode, um zu verhindern, dass verdächtige E-Mails ihre Adressaten erreichen.
Vor diesem Hintergrund kündigten Google, Yahoo! und Apple Ende letzten Jahres an, dass sie ab dem ersten Quartal 2024 eine E-Mail-Authentifizierung verlangen werden, damit Nachrichten von ihren Plattformen versandt werden können. Dies ist ein wichtiger Schritt zur Verhinderung von Spam und Betrug. Diese Sicherheitsanforderungen gelten insbesondere für Konten, die täglich große Mengen an E-Mails versenden, z. B. Organisationen des Gesundheitswesens, die neben anderen Maßnahmen auch das DMARC-Authentifizierungsprotokoll einsetzen müssen. Die Nichteinhaltung der Vorschriften wird die Zustellbarkeit legitimer Nachrichten an Kunden mit Gmail- und Yahoo-Konten erheblich beeinträchtigen.
www.proofpoint.com