Das Gesundheitswesen ist ein zunehmend attraktives Ziel für Cyberakteure. Laut des aktuellen Threat Hunting Overwatch Reports gehört der Gesundheitssektor zu den Top 5-Cyberzielen und verzeichnete im Vergleich zu anderen Branchen einen der größten Zuwächse an interaktiven Angriffen.
Das Volumen dieser hat sich im Vergleich zum Vorjahr verdoppelt. Dabei geht die überwiegende Mehrheit der Angriffe auf das Konto von eCrime-Akteuren, die verstärkt auf Ransomware-Affiliate-Modelle setzen.
Lukrative RaaS-Modelle machen Cyberangriffe noch einfacher
Der Anstieg der eCrime-Aktivitäten ist seit Jahren ein Dauerthema. Ransomware-as-a-Service (RaaS)-Modelle haben die Situation noch verschärft, da Cyberkriminelle Ransomware-Dienstleistungen mittlerweile ganz einfach selbst buchen können. So müssen Akteure nicht mehr unbedingt selbst über das technische Know-How verfügen, um ihre Machenschaften in die Tat umsetzen zu können. Mittlerweile existieren eine ganze Reihe von Umsatz- und Geschäftsmodellen im RaaS-Bereich. Beim sogenannten Ransomware-Affiliate-Model erhalten die Ransomware-Betreiber einen vorher festgelegten Prozentsatz der erfolgreich erpressten Lösegeldsumme von den Partnern.
Ein lukratives Geschäftsmodell, insbesondere wenn man sich vor Augen führt, dass Ransomware-Modelle mit doppelter Erpressung weiterhin auf dem Vormarsch sind. Hier fordern die Angreifer ein Lösegeld für die Entschlüsselung der Daten und ein zusätzliches Lösegeld, damit diese nicht weitergegeben oder verkauft werden. Besonders medizinische Daten stellen im Dark Web eine attraktive Ware dar. Sie bilden oft die Basis für weitere kriminelle Machenschaften von Cyberakteuren, beispielsweise im Bereich des Identitätsdiebstahls, des medizinischen Betrugs oder Steuerbetrugs. Denn Daten, die das Gesundheitswesen verwaltet, bieten praktisch alles, was ein Angreifer benötigt, um ein digitales Profil eines Patienten zu erstellen. Der Wert eines Datensatzes, der in der Regel Geburtsdatum, Geburtsort, Sozialversicherungsnummer, Adresse sowie E-Mail-Adresse oder teilweise auch Kreditkarteninformationen enthält, wird auf bis zu 1.000 US-Dollar geschätzt.
Gesundheitswesen besonders gefährdet
Um an die wertvollen Datensätze zu gelangen, müssen sich die Cyberkriminellen zunächst Zugang zum Netzwerk der Opferorganisation verschaffen. Ein gängiges Einfallstor für Ransomware-Affiliates ist beispielsweise die Ausnutzung von Schwachstellen oder Anmeldeinformationen. Es ist jedoch auch nicht ungewöhnlich, dass Angreifer die Dienste von Access-Brokern in Anspruch nehmen, die gezielt Netzwerk-Zugänge an andere Cyberkriminelle verkaufen, die dann z.B. mit Hilfe von RaaS-Toolkits Ransomware-Angriffe ausüben. Haben sich eCrime-Akteure erst einmal Zugriff auf ein Netzwerk verschafft, bleibt nicht viel Zeit: Im Schnitt brauchen sie nur 1 Stunde und 24 Minuten, um sich vom Ausgangspunkt lateral fortzubewegen. Die Angreifer wissen, dass das Gesundheitswesen nur über begrenzte Budgets für IT und Sicherheit verfügt.
Hinzu kommen begrenzte Ressourcen und die Tatsache, dass jeder Cyberangriff die Effizienz und Effektivität des Gesundheitswesens bei der Versorgung der Patienten beeinträchtigt. Betrachtet man dies unter dem Gesichtspunkt der Erpressung, so ist die Zahlungsbereitschaft von Gesundheitseinrichtungen, deren Aufgabe es ist, Leben zu retten, im Vergleich zu anderen Sektoren deutlich höher. Kombiniert man dies mit dem limitierten Budget für Investitionen in Personal und Technologie, erhält man ein sogenanntes weiches Ziel. Dass die Angreifer auf der anderen Seite immer raffinierter und gefährlicher werden, macht den Gesundheitssektor im Umkehrschluss immer verwundbarer.
Gesundheitsorganisationen müssen daher in der Lage sein, die Anzahl der Angriffsvektoren in ihren IT-Systemen zu verringern, wenn sie die Schwere und Häufigkeit von Cyberangriffen minimieren wollen. Die IT-Systeme des Gesundheitswesens sind anfällig für Cyberkriminalität, aber es gibt Maßnahmen, die zu ihrem Schutz ergriffen werden können:
1. Workloads umfassend schützen
Endpunkt- und Workload-Sicherheit, Daten- und Identitätsschutz sowie Datenspeicherung sind nur einige der entscheidenden Aspekte, die berücksichtigt werden müssen, um Gesundheitseinrichtungen vor Cyberangriffen zu bewahren. Die erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) ist der nächste Schritt zu bedrohungsorientierter Sicherheitsprävention. XDR ist ein ganzheitlicher Ansatz, der die Erfassung und Analyse von Sicherheitsdaten sowie Workflows in der gesamten Sicherheitslösung eines Unternehmens optimiert, um bessere Einblicke in verborgene und hochentwickelte Bedrohungen zu geben und die Reaktion darauf zu vereinheitlichen. XDR sammelt und korreliert Daten von Endgeräten, Cloud-Workloads, Netzwerken und E-Mails, analysiert und priorisiert sie und stellt sie Sicherheitsteams in einem normalisierten Format über eine zentrale Konsole bereit.
2. Zero Trust einführen
Laut des CrowdStrike Global Threat Report 2022 nutzen fast 80 Prozent der Cyberkriminellen identitätsbasierte Angriffe, um legitime Anmeldedaten zu kompromittieren und verwenden Techniken wie laterale Bewegung, um einer schnellen Entdeckung zu entgehen. Auch in der Gesundheitsbranche sollte daher ein Zero Trust-Ansatz umgesetzt werden, um identitätsbasierte Angriffe in Echtzeit zu verhindern.
3. Proaktiver Schutz: Threat Hunting & Threat Intelligence
Bedrohungsdaten helfen Gesundheitsunternehmen, eine Verteidigung gegen die wahrscheinlichsten Angreifer vorzubereiten und ermöglichen es den Bedrohungsjägern (Threat Hunter), die Anzeichen eines Angriffs zu erkennen und die Eindringlinge aus dem Netzwerk zu entfernen. Nur so können IT-Sicherheitsteams richtig und effektiv eingesetzt werden. In vielen Fällen ist es empfehlenswert, zusätzlich zu Threat Intelligence ein externes, vollständig gemanagtes Cybersicherheits-Serviceteam zu beschäftigen, das nicht nur Threat Intelligence, sondern auch Incident Response, Threat Hunting, Endpoint Recovery Services und proaktives Monitoring durchführen kann, um Sicherheitslücken zu schließen.
4. Maschinelles Lernen und Künstliche Intelligenz
Man darf nicht vergessen, dass Hacker ihre Angriffstechniken immer weiterentwickeln. Daher müssen Gesundheitsorganisationen ihren Schutz stetig anpassen und aufrechterhalten. Mit mittlerweile veralteten Technologien können moderne Angriffe nicht mehr erfolgreich abgewehrt werden. Signaturbasierte Antiviren-Software reicht schon lange nicht mehr aus. Maschinelles Lernen und Klassifizierungsverfahren, die anhand des Verhaltens oder anderer beobachtbarer Merkmale feststellen können, ob etwas bösartig ist, gehören heute zum Standard für die Verteidigung eines jeden Unternehmens.
5. Ernstfall trainieren
Tabletop-Übungen sind ein effizientes Mittel, um die richtige Reaktion im Ernstfall zu trainieren. Denn auch die beste Sicherheitslösung der Welt bringt nichts, wenn Organisationen im Gefahrenfall nicht wissen, an wen sie sich wenden müssen, was getan werden muss und wer alles in den Verteidigungsprozess involviert ist. Durch regelmäßige Übungen kann das ganze Personal geschult werden und es wird sichergestellt, dass in einer gefährlichen Situation richtig reagiert wird. Darüber hinaus muss auch das IT-Personal regelmäßig geschult werden, um Schwachstellen im Bereich der Cybersicherheit zu erkennen und zu beheben.