Cyberangriffe auf den Gesundheitssektor haben seit der COVID-19-Pandemie und dem daraus resultierenden Ansturm auf digitale Gesundheitsdienste stark zugenommen. "Cyberkriminelle sind auf der Jagd nach sensiblen und wertvollen Daten, auf die das Gesundheitswesen Zugriff hat, sowohl auf Patientendaten als auch auf Unternehmensdaten", erläutert Terry Ray, Senior Vice President und Fellow bei Imperva.
"Viele Organisationen haben Schwierigkeiten, diese Herausforderung zu meistern, weil sie unterfinanziert sind und sich bei der Bereitstellung von Dienstleistungen auf anfällige Systeme, Anwendungen von Drittanbietern und APIs verlassen", fügt Ray hinzu.
Sicherheitsexperten haben folgende Probleme identifiziert, die aktuell eine große Bedrohung für Gesundheitsorganisationen darstellen:
1. Immer mehr Ransomware
Ransomware hat sich zu einer der größten Cyber-Bedrohungen für das Gesundheitswesen entwickelt. Angreifer haben herausgefunden, dass sich Gesundheitsorganisationen, die lebensrettende Behandlungen anbieten, leichter erpressen lassen als Opfer in fast allen anderen Sektoren. Zudem sind sie auch anfälliger für Angriffe, weil sie neue digitale Anwendungen und Dienste eingeführt haben, um die Nachfrage nach Telemedizin zu decken.
Von 2022 bis 2023 ist die Zahl der Ransomware-Opfer laut einer Studie des US-amerikanischen Office of the Director of National Intelligence (PDF) um 81 Prozent gestiegen. Der Sicherheitsanbieter SonicWall berichtet, dass 91 Prozent der Malware-bezogenen Sicherheitsverletzungen im Gesundheitswesen im Jahr 2024 bisher mit Ransomware zu tun hatten.
Darüber hinaus gibt unzählige Beispiele für öffentlich bekannt gewordene Ransomware-Angriffe auf Gesundheitsdienste und Krankenhäuser.
So zwang beispielsweise ein Ransomware-Angriff auf das öffentliche Gesundheitssystem in Irland im Mai 2021 die Administratoren dazu, Tausende von Terminen und Operationen abzusagen oder zu verschieben. Die Angreifer hatten etwa 2.000 patientenbezogene Systeme gesperrt.
Change Healthcare erlitt im Februar 2024 einen verheerenden Ransomware-Angriff, der die Bearbeitung von Versicherungsansprüchen, die Ausgabe von Rezepten und die finanzielle Abwicklung beeinträchtigte. Die Attacke hatte enorme Auswirkungen auf viele Krankenhäuser, Kliniken und Apotheken in den USA. Im August 2024 erlitt das in Michigan ansässige Unternehmen McLaren Health Care den zweiten Ransomware-Angriff innerhalb von nur 12 Monaten.
Elektronische Patientenakten (EPA) und -systeme stellen heute das größte Risiko im Gesundheitswesen dar, erklärt Caleb Barlow, Präsident und CEO von CynergisTek. "Frühere Angriffe haben gezeigt, dass der Zugriff auf EPA gesperrt wird, wenn ein Krankenhaus durch Ransomware lahmgelegt wird, und dass Patienten möglicherweise zur Behandlung umgeleitet werden müssen" führt der Experte aus.
"Solche Angriffe können den Zugang zu wichtigen Verschreibungsinformationen und Dosierungen für Patienten mit komplexen, chronischen Erkrankungen wie Diabetes oder Krebs verhindern. Schlimmer noch, Hacker können möglicherweise noch einen Schritt weiter gehen und Daten in Gesundheitsakten manipulieren, um die Patientenversorgung zu untergraben", ergänzt Barlow.
Seiner Meinung nach haben Gesundheitseinrichtungen in der Vergangenheit dieses Risiko auf Cyberversicherungen übertragen, "aber das wird immer schwieriger, weil Versicherer es Organisationen erschweren, einen Ransomware-Schutz ohne spezifische Kontrollen wie Multi-Faktor-Authentifizierung und Endpunkt-Erkennungs- und Reaktionstechnologien zu erwerben."
2. Cloud-Schwachstellen und Fehlkonfigurationen
Viele Gesundheitsorganisationen haben Cloud-Dienste im Rahmen umfassenderer Initiativen zur digitalen Transformation eingeführt. Die Pandemie und die damit verbundene steigende Nachfrage nach Telemedizin-Diensten haben diesen Schritt beschleunigt. Infolgedessen werden Gesundheitsdaten von Patienten (PHI) und andere sensible Informationen zunehmend in Cloud-Umgebungen von Anbietern gehostet.
"Dieser Trend hat die Angriffsfläche von Gesundheitseinrichtungen vergrößert und sie anfälliger für Angriffe gemacht, die auf den Diebstahl von PHI, Versicherungsinformationen und anderen sensiblen Daten abzielen", sagt Anthony James, Vizepräsident für Produkte bei Infoblox. "Dort werden oft mehrere Cloud-Anbieter und -Dienste mit unterschiedlichen Sicherheitsstandards und -praktiken verwendet, was es schwierig macht, eine einheitliche Richtlinie zum Schutz von Daten in der gesamten Cloud-Umgebung anzuwenden", fügt er hinzu.
53 Prozent der IT-Fachkräfte im Gesundheitswesen, die 2021 von im Auftrag von Infoblox befragt wurden, gaben an, dass ihre Organisationen in den vergangenen 12 Monaten einen Cloud-bezogenen Datenverstoß erlebt haben. PeakTPA, ein Anbieter von Dienstleistungen zur Verwaltung von Krankenversicherungen, gab im März 2021 bekannt, dass auf PHI von etwa 50.000 Kunden des Medicare- und Medicaid-Programms zugegriffen und diese von zwei seiner Cloud-Server exfiltriert worden waren.
In einem weiteren prominenten Fall aus dem Jahr 2020 wurden sensible Daten von über 3,1 Millionen Patienten in einer ungeschützten Cloud-Datenbank gefunden, von der angenommen wurde, dass sie einem Anbieter von Patientenverwaltungssoftware gehörte.
Mehr als ein Drittel (34 Prozent) der Opfer in der Infoblox-Umfrage gaben an, dass sie durch die Sicherheitsverletzungen Kosten in Höhe von 2 Millionen US-Dollar oder mehr erlitten haben. 47 Prozent sagten, dass sie einen Angriff mit Malware auf ein in der Cloud gehostetes Asset erlebt haben. 37 Prozent haben einen Insiderangriff erlebt, bei dem PHI und andere in der Cloud gespeicherte Daten betroffen waren.
Laut einem Bericht des Softwareentwicklers für das Gesundheitswesen KMS Healthcare vom Februar 2024 gaben 61 Prozent der Unternehmen im Gesundheitswesen an, in den letzten 12 Monaten Opfer eines Cyberangriffs auf die Cloud geworden zu sein. Dabei führten 86 Prozent dieser Angriffe zu finanziellen Verlusten oder erheblichen Schäden.
3. Angriffe auf Webanwendungen
Angriffe auf Webanwendungen, die auf Healthcare-Einrichtungen abzielen, haben in den vergangenen Jahren stark zugenommen (hauptsächlich während der COVID-Pandemie). Forscher des Sicherheitsanbieters Imperva haben im Dezember 2020 einen Anstieg der Angriffe auf Webanwendungen auf Krankenhäuser und andere Ziele im Gesundheitswesen um 51 Prozent beobachtet.
Im Durchschnitt waren Einrichtungen des Gesundheitswesens in diesem Jahr 498 Angriffen pro Monat ausgesetzt, wobei Cross-Site-Scripting-Angriffe am häufigsten vorkamen. Darauf folgten SQL-Injection, Protokollmanipulationsangriffe und Angriffe, um Remote-Code auszuführen oder Remote-Dateien einzubinden.
"Technisch gesehen können Angriffe auf Webanwendungen für unterfinanzierte Gesundheitsorganisationen eine enorme Herausforderung darstellen", betont Ray. "Um dieses Problem zu lösen, müssten Gesundheitsorganisationen Kontrollen einführen, die einen besseren Einblick in Drittanbieteranwendungen und API-Verbindungen ermöglichen. Nur dann könne das Sicherheitsteam nachvollziehen, wer versucht, auf kritische Daten zuzugreifen, und ob diese Aktivität zulässig ist".
Laut einer Studie von Verizon wurden Webanwendungen im Jahr 2021 zum häufigsten Vektor für Datenlecks im Gesundheitswesen. Für das Jahr 2024 schätzt SonicWall, dass etwa 60 Prozent der Angriffe auf Gesundheitsorganisationen auf Microsoft Exchange abzielten.
4. Bösartiger Bot-Verkehr
Der Datenverkehr von Bad Bots, die versuchen, Daten von Websites zu sammeln, Spam zu versenden oder unerwünschte Software herunterzuladen, stellt eine weitere große Herausforderung für Gesundheitseinrichtungen dar. Das Problem ist besonders akut geworden, als Regierungen auf der ganzen Welt begannen, neue Websites und andere digitale Infrastrukturen einzurichten, um die Registrierung und Terminvereinbarung für COVID-Impfungen zu unterstützen. Böswillige Akteure bombardierten diese neuen, hastig eingerichteten und weitgehend ungetesteten Websites mit einer enormen Menge an Bad-Bot-Traffic.
Imperva hat nach eigenen Angaben im ersten Jahr der Pandemie einen Anstieg des Bad-Bot-Traffics auf Websites des Gesundheitswesens um 372 Prozent beobachtet.
"Ein erhöhter Traffic führt zu Ausfallzeiten und Störungen für legitime menschliche Benutzer, die versuchen, auf der Website ihrer Gesundheitsdienstleister auf wichtige Dienste zuzugreifen", so Ray. "Dies könnte auch zu höheren Infrastrukturkosten für die Organisation führen, da versucht wird, die Betriebszeit angesichts des anhaltenden, belastenden erhöhten Traffics aufrechtzuerhalten."
Von Januar bis Juni 2023 machten Bad Bots 30 Prozent des Internetverkehrs aus, wie aus einer Studie des Sicherheitsanbieters Barracuda hervorgeht. In der neuesten Ausgabe 2024 von Impervas Bad Bot-Bericht wird geschätzt, dass bösartige Bots fast ein Drittel (32 Prozent) des Internetverkehrs ausmachen.
Imperva berichtet, dass der Gesundheitssektor einen Anstieg des Bad-Bot-Traffics verzeichnet hat. 33,4 Prozent des Website-Traffics stammen von Bad Bots, verglichen mit 31,7 Prozent im Vorjahr. Bad Bots können zu Datenschutzverletzungen im Gesundheitswesen führen, beispielsweise durch Angriffe auf Patientenkonten mit Credential Stuffing und das Abschöpfen sensibler Gesundheitsinformationen.
Cyberkriminelle haben es auf vertrauliche Gesundheitsinformationen wie Patientenakten, Krankengeschichten und Versicherungsdaten abgesehen, da diese gestohlenen Daten im Dark Web gewinnbringend verkauft oder für betrügerische Aktivitäten verwendet werden können, warnt Imperva.
5. Erhöhtes Phishing-Aufkommen
Phishing-Angriffe stellen eine große Bedrohung für das Gesundheitswesen dar, wie in fast allen Branchen. Auch hier bot die Pandemie einen einzigartigen Hintergrund für einen Anstieg des Phishing-Aufkommens gegenüber Gesundheitsorganisationen. Eine Analyse des Unit42-Teams von Palo Alto Networks ergab einen Anstieg der Phishing-Angriffe im Zusammenhang mit oder gegen Apotheken und Krankenhäuser um 189 Prozent zwischen Dezember 2020 und Februar 2021. Die Zahl der Phishing-Angriffe im Zusammenhang mit Impfstoffen stieg im gleichen Zeitraum um 530 Prozent.
Laut dem Anbieter ging es in den frühen Phasen der Pandemie bei vielen Phishing-Ködern um Tests und persönliche Schutzausrüstung (PSA). Danach verlagerte sich der Fokus auf Konjunktur- und staatliche Hilfsprogramme und schließlich auf die Einführung von Impfstoffen.
Eine Umfrage unter 168 Fachleuten für Cybersicherheit im Gesundheitswesen, die von der Healthcare Information and Management Systems Society (HIMSS) durchgeführt wurde, ergab damals, dass Phishing der typische Ausgangspunkt für die meisten Sicherheitsvorfälle war.
"Phishing-Angriffe sind die häufigste Art von schwerwiegenden Sicherheitsvorfällen, die von den Befragten gemeldet wurden", so HIMSS in seinem Bericht. "Phisher waren die häufigste Art von Bedrohungsakteuren, die für schwerwiegende Sicherheitsvorfälle in Gesundheitseinrichtungen verantwortlich waren."
Statistiken des US-Gesundheitsministeriums (HHS) belegen, dass 18 Prozent der 4.419 gemeldeten Verstöße gegen PHI zwischen Oktober 2009 und Ende 2021 entweder Phishing-Angriffe oder das Hacken von E-Mail-Konten betrafen, wie das HIPAA Journal berichtet.
Phishing war der ursprüngliche Vektor bei hochkarätigen Angriffen auf Gesundheitsorganisationen, unter anderem auf Anthem (2015) und Magellan Health (2020).
Eine Studie des BMJ, der medizinischen Fachzeitschrift des Vereinigten Königreichs, ergab, dass etwa 3 Prozent der E-Mails, die über einen Zeitraum von einem Monat an Krankenhauspersonal gesendet wurden, mutmaßliche Bedrohungen waren.
Obwohl viele Mitarbeiter offenbar über Phishing informiert sind und angemessen reagieren, ist eine kontinuierliche Weiterbildung erforderlich. Das gilt insbesondere für das Risiko, dass Informationen, die für Angreifer von Nutzen sein könnten, über soziale Medien durchsickern, so das BMJ.
6. Intelligente Geräte
Tragbare und implantierbare intelligente medizinische Geräte stellen ein erwiesenes Cybersicherheitsrisiko dar. Diese Technologien bieten sicherlich eine bessere Analyse, unterstützen die Diagnose von Erkrankungen und fördern gleichzeitig ein unabhängiges Leben. Fehler bei der Sicherung solcher medizinischen Technologien haben jedoch anfällige Benutzer potenziellen Angriffen ausgesetzt.
Ein entscheidender Moment war der Hack einer Insulinpumpe durch Barnaby Jack im Jahr 2011. Dieser Angriff über Bluetooth hatte eine maximale Reichweite von etwa 300 Metern. Seitdem haben Sicherheitsforscher von Pen Test Partners Daten aus Insulinstudien mit "geschlossenen Kreisläufen" im öffentlichen Internet gefunden.
"In einem Fall hätten wir die Messwerte des am Körper getragenen kontinuierlichen Glukose-Monitors ändern und automatisch aus der Ferne eine tödliche Dosis Insulin an etwa 3.000 Probanden verabreichen können", berichtet Ken Munro, Geschäftsführer von Pen Test Partners, gegenüber CSO. "Glücklicherweise hat der betroffene Anbieter sehr schnell auf unseren Bericht reagiert und das System noch am selben Tag gesichert."
Zu den anderen vernetzten Medizingeräten, bei denen Pen Test Partners Sicherheitsprobleme festgestellt hat, gehören unter anderem Schädelstimulatoren, Dosierpumpen und medizinische Roboter. Glücklicherweise wurde die Bedrohung durch intelligente Geräte erkannt und die Regulierungsbehörden beginnen, Maßnahmen zu ergreifen.
So hat beispielsweise die US-amerikanische Food & Drug Administration (FDA) im vergangenen Jahr FD&C 524b eingeführt, um die Cybersicherheit bei vernetzten Medizingeräten zu verbessern.