Cyberattacken machen vermehrt Schlagzeilen im Gesundheitswesen. So auch im vergangenen Herbst, als unter anderem das Uniklinikum Frankfurt sowie weitere Unternehmen im Bereich Healthcare und Pharma betroffen waren. Doch wie groß ist die Bedrohung im Gesundheitsbereich wirklich? Und was fordert das von der Branche?

Cyberkriminelle spezialisieren sich auf Healthcare

Auch wenn die Wahrnehmung anders ist: Krankenhäuser werden seltener angegriffen als andere Unternehmen. Das ist aber nur ein schwacher Trost. Denn Zahl und Schwere von Cyberattacken nehmen insgesamt stark zu. Und ich erlebe eine Verrohung der Szene: Anbieter von Ransomware-as-a-Service schlossen deren Einsatz gegen Gesundheitseinrichtungen lange explizit aus. Verstöße wurden tatsächlich geahndet. Wir sehen jedoch nun, dass diese Regeln nicht mehr für alle gelten. Unser Computer Emergency Response Team wird heutzutage sogar mit Ransomware-Gruppen konfrontiert, die sich extra auf „Healthcare“ spezialisiert haben. Kürzlich erst kamen wir bei einem Fall zum Einsatz, bei der ein Kollaps der Krankenversorgung in mehreren Ländern gleichzeitig explizit als Druckmittel diente. Solche unmenschlichen Vorgehensweisen schockieren mich auch nach vielen Jahren bei der Kriminalpolizei noch immer.

Wie entwickelt sich die Lage?

Ransomware-Angriffe werden von professionellen, kriminellen Gruppen durchgeführt. Da sie 50 Prozent des Lösegelderlöses reinvestieren in die Optimierung Ihren Plattformen, ist die Entwicklung weiterhin rasant. Wir sehen unter anderem mehr sogenannte „Chain Attacks“. Dabei dringen die Angreifer über eine anfällige Software oder über einen Lieferkettenpartner auf einmal bei vielen neuen Opfern ein. 

Manche Erpresser machen sich nicht mehr die Mühe, Daten zu verschlüsseln. Sie suchen nur noch gezielt Informationen mit hohem Erpressungswert.

Zudem sind die Täter besonders anpassungsfähig. Ein Beispiel: Viele Unternehmen haben Ihre Backup-Strategie mittlerweile verbessert. Wir sehen, dass Angreifer bevorzugt alternative Erpressungsmittel nutzen. Manche Erpresser machen sich sogar nicht mehr die Mühe, Daten zu verschlüsseln. Dafür suchen Sie nur noch gezielt Informationen mit hohem Erpressungswert. Überlegen Sie sich einmal, wie hoch die Zahlungsbereitschaft ist, wenn es sich zum Beispiel um Patientendaten oder geistiges Eigentum in Bezug auf lang erforschte Originalpräparate handelt.

Das Gesundheitswesen muss zum Vorreiter werden

Daten und Business Kontinuität sind besonders schützenswert. Das Kerngeschäft, die notwendige digitale Transformation und die komplexe Supply Chain birgt viele Einfallstore und Risiken. Die gute Nachricht: Der Gesundheitssektor hat Vorsprung. Das KRITIS-Dachgesetz hat schon wichtige Maßstäbe gesetzt. Viele Organisationen mussten bereits angemessene organisatorische und technische Vorkehrungen treffen. Hierbei gilt es, den aktuellen Stand der Technik zu beachten. Mit der NIS-2-Direktive der Europäischen Union werden noch viel mehr Healthcare Unternehmen Vorgaben bekommen. Daraus folgt ein wichtiger Impuls auf den Stand der Sicherheit in der Branche.

Je höher die Standards anderer Branchen, desto geringer sind die Hürden für einen Angriff auf den Gesundheitsbereich.

Die schlechte Nachricht: Die „Compliancy“ in Bezug auf diese Vorgaben, hält Hacker nicht davon ab, weiter Organisationen und Unternehmen anzugreifen. Vor allem, weil der Rest der Welt aufgeholt hat. Je höher die Standards anderer Branchen, desto geringer sind die Hürden für einen Angriff auf den Gesundheitsbereich. Genau das gilt es zu ändern. Diese Branche muss Vorreiter werden in Sachen Cybersicherheit. Der Bankensektor ist das schon. Healthcare muss nachziehen. Kliniken, Krankenhäuser, aber auch der Pharmabereich und weitere Teile des Ökosystems müssen den Goldstandard setzen, um die vielen sensiblen Daten und die meist vitale Infrastruktur unserer Gesellschaft zu schützen.