Gesundheitswesen: Einrichtungen Hauptziel von Ransomware-Angriffen

[English]Einrichtungen des Gesundheitswesens sind 2020 wohl das Hauptziel von Ransomware-Angriffen, wie die Unit 42 des Sicherheitsunternehmens Palo Alto Networks herausgefunden und in einem Thread Report veröffentlicht hat. Es wird vermutet, dass die Cyber-Kriminellen die Einrichtungen verstärkt ins Ziel nahmen, weil Gesundheitseinrichtungen aufgrund des Zustroms von COVID-19-Patienten unter enormem Druck standen. Palo Alto Networks hat daher zehn Ansätze für einen besseren Schutz in diesem Bereich zusammengestellt.

Palo Alto Networks hat mit seiner Unit 42 den 2021 Ransomware Thread Report erstellt und veröffentlicht, der etwas mehr Licht ins Dunkel bringt. Laut diesem Bericht war das Gesundheitswesen im Jahr 2020 die am stärksten von Ransomware betroffene Branche. Der Bericht stellte fest, dass die Betreiber von Ransomware diesen Sektor wahrscheinlich ins Visier genommen haben, weil sie wussten, dass Gesundheitseinrichtungen aufgrund des Zustroms von COVID-19-Patienten unter enormem Druck standen. Das Kalkül dahinter: Sie könnten es sich nicht leisten, von ihren Systemen ausgesperrt zu sein, und wären daher wahrscheinlich bereit, Lösegeld zu zahlen.

Im Mai 2021 gab das FBI eine Warnung heraus, wonach die Ransomware-Gruppe Conti, die kürzlich das irische Gesundheitssystem lahmgelegt hatte, im Jahr zuvor auch mindestens 16 Netzwerke des Gesundheitswesens und von First-Responder-Diensten in den USA angegriffen hatte. Das Forschungsunternehmen Comparitech hat im Jahr 2020 mehr als 92 einzelne Ransomware-Angriffe im US-Gesundheitswesen verfolgt – ein Anstieg von 60 Prozent gegenüber dem Vorjahr. Davon waren mehr als 600 Kliniken, Krankenhäuser und Einrichtungen betroffen, darunter mehr als 18 Millionen Patientendaten. Die geschätzten Kosten dieser Angriffe beliefen sich auf fast 21 Milliarden US-Dollar.

Schlussfolgerungen von Palo Alto Networks

Palo Alto Networks ist zu dem Schluss gekommen, dass Cyberkriminelle Einrichtungen im Gesundheitswesen aufgrund mehrerer Faktoren ins Visier nehmen:

• Der Wert der von den Einrichtungen kontrollierten und gepflegten Daten: Da viele Angreifer vor allem durch monetären Gewinn motiviert sind, haben sie es auf Ziele abgesehen, die über wertvolle Finanz- und/oder Datenwerte verfügen, die sich in Geld umwandeln lassen. Einrichtungen des Gesundheitswesens sammeln eine Vielzahl von Informationen über ihre Patienten, darunter vollständige Kontaktinformationen, Sozialversicherungsnummern, Zahlungskartendaten, sensible Gesundheitsdaten und Krankenversicherungsdaten. Viele Gesundheitsdienstleister betreiben auch Forschung, was diesen riesigen Pool an äußerst wertvollen Daten noch vergrößert. Insgesamt bietet dies Kriminellen Möglichkeiten für Datendiebstahl, betrügerische Insideraktivitäten und kriminelle Machenschaften, wie z. B. Versicherungsbetrug.
• Die wahrgenommene Sicherheitslage der Einrichtung: Zu den Einrichtungen des Gesundheitswesens gehören kleine und große Unternehmen, von Geräteherstellern über Technologielieferanten bis hin zu HDOs, und jede von ihnen hat ein ganz eigenes Engagement für die Sicherheit. Daher ist es wichtig, keine Verallgemeinerungen vorzunehmen. Kriminelle können jedoch sehr wohl genau das tun. Das Gesundheitswesen gilt oft als Branche, in der es an hochqualifizierten IT-Fachkräften und Sicherheitsexperten mangelt. Je weniger sicher ein Sektor zu sein scheint, desto mehr Angriffe werden wahrscheinlich auf ihn verübt.
• Die tatsächliche Sicherheitslage der Einrichtung: Angreifer werden natürlich erfolgreicher sein, wenn die Verteidigungsmaßnahmen Schwachstellen aufweisen. Angesichts der zunehmenden Komplexität der IT-Landschaft haben viele Einrichtungen Mühe, jede Lücke zu schließen. Die Hacker von heute sind sehr geschickt darin, nach jedem offenen Port, jeder ungeschützten Cloud-Fehlkonfiguration und jeder anderen Schwachstelle zu suchen. Die Vorfälle, bei denen Unit 42 zur Hilfe gerufen wird, korrelieren mit einer oder mehreren offenen Schwachstellen.
• Kritischer laufender Betrieb: Bestimmte Taktiken beruhen darauf, dass die Einrichtung ihre Systeme in Betrieb halten muss, um den Kernbetrieb aufrechtzuerhalten. Kliniken können sich keine Unterbrechungen in der Patientenversorgung leisten. Ausfälle (systemweit, teilweise oder lokal) sind inakzeptabel und können dazu führen, dass Systeme, wie z. B. ein Netzwerk-Switch, jahrelang ohne Patching/Reboot oder ordnungsgemäße Wartung auskommen müssen. Wenn die Klinik nicht über einen Plan zur Reaktion auf Zwischenfälle verfügt, um den Betrieb anhand von Backups wiederherzustellen, sieht sie sich möglicherweise eher gezwungen, Angreifer zu bezahlen. Selbst wenn das Unternehmen über einen IR-Plan und Backups verfügt, zahlen einige dennoch das Lösegeld, weil auch die Backup-Systeme betroffen sein können oder die wiederherzustellende Daten- und Systemmenge die Kapazität der Backup-Systeme übersteigt. Angreifern könnte es gelingen, ein einziges wichtiges System zu sperren, das in letzter Zeit gar nicht oder nicht ordnungsgemäß gesichert wurde. Unternehmen könnten dann unabhängig von der Gesamtqualität der Backup-Lösung in die Lage kommen, für den Entschlüsselungsschlüssel zahlen zu müssen.

Warum werden einige Taktiken häufiger gegen das Gesundheitswesen eingesetzt?

Betrachtet man die oben genannten Bedrohungen für das Gesundheitswesen und was dies über die Verteidigungsmaßnahmen dieser Einrichtungen und die Angreifer aussagt, die sie angreifen, kommt Palo Alto Networks zu folgenden Schlüssen:

Erstens ist Ransomware darauf angewiesen, dass die Kernsysteme einer Einrichtung in Betrieb bleiben. Anwendungen wie EMR und PACS sind besonders wichtig, da sie rund um die Uhr für den Zugriff auf Patientenakten genutzt werden, die wichtige Informationen über Krankheiten, Medikamente usw. enthalten. Ein fehlender Zugang zu diesen Anwendungen beeinträchtigt die Patientenversorgung. Der Gesundheitssektor ist nicht der einzige Bereich, in dem ein kontinuierlicher Betrieb unabdingbar ist. Ransomware wird auch in anderen Sektoren, die einen kontinuierlichen Betrieb benötigen, in großem Umfang eingesetzt.

Die Angreifer sind durch die Aussicht auf finanziellen Betrug motiviert. Sie nutzen in der Regel den Rechnungsstellungsprozess aus, übernehmen E-Mail-Konten und geben sich als legitime Führungskräfte oder Mitarbeiter aus, um Zahlungen zu autorisieren und dann Gelder auf ihre eigenen Konten umzuleiten. Einrichtungen des Gesundheitswesens senden und empfangen häufig Rechnungen für teure medizinische Dienstleistungen, Lösungen und Technologien. Cyberkriminelle sehen darin eine Gelegenheit, potenziell beträchtliche Geldbeträge von Einrichtungen und Patienten gleichermaßen zu stehlen.

Schließlich kann die versehentliche Offenlegung von sensiblen Daten, die in einer dem Internet ausgesetzten Cloud-Datenbank oder Internetanwendung gespeichert sind, jede Branche betreffen (und tut es auch). Einrichtungen des Gesundheitswesens setzen zunehmend auf Cloud-Computing und Lösungen von Drittanbietern, um mit den geschäftlichen Anforderungen und medizinischen Innovationen Schritt zu halten. Obwohl diese Lösungen und Anbieter scheinbar ausgelagert sind, erfordern sie eine sorgfältige Anwendung von Sicherheitskontrollen und Überwachung auf Unternehmensseite. Cortex Xpanse stellt in der Regel fest, dass Kunden über mindestens 30 Prozent mehr Assets verfügen, als ihnen bewusst ist. Mit zunehmender Komplexität steigt auch die Angriffsfläche. Da das Gesundheitswesen ein begehrtes Ziel ist, werden diese Gelegenheiten wahrscheinlich entdeckt und ausgenutzt, wenn sie nicht erkannt und angegangen werden.

Was können Einrichtungen im Gesundheitswesen tun, um sich zu schützen?

Es gibt viele Best Practices, um sich gegen diese Bedrohungen zu schützen. Dazu gehört der Einsatz fortschrittlicher, leistungsfähiger Produkte wie Next-Generation Firewalls (NGFW) mit maschinellem Lernen und Extended Detection and Response (XDR)-Plattformen.

Neben der Einrichtung geeigneter Backups und IR-Prozesse sind im Folgenden zehn Empfehlungen zum Schutz vor einer Reihe von Bedrohungen aufgelistet:

1. Zero-Trust-Architektur einsetzen, um die Daten, Assets und Mitarbeiter des Unternehmens zu schützen.
2. Implementierung einer Multi-Faktor-Authentifizierung (MFA) für alle Geräte und Konten mit Internetzugang.
3. Inventarisierung von Geräten und Software.
4. Sichere Konfigurationen für Hardwaregeräte und Software.
5. Kontinuierliches Schwachstellenmanagement durchführen.
6. Beschränkung der Nutzung von Administratorkonten.
7. Verschlüsselung von Laptops und mobilen Geräten.
8. Führen und Überwachen von Prüfprotokollen.
9. Aufklärung der Nutzer über die Gefahren von Phishing und Social Engineering.
10. Backups getrennt und/oder offline vorhalten.

Fazit

Einige Branchen sind stärker von gezielten Angriffen betroffen als andere, und je häufiger die Angreifer erfolgreich sind, desto häufiger werden die Angriffe stattfinden. Ein Teil der Angriffsstrategie von Cyberkriminellen besteht darin, Taktiken zu verwenden, die sich am ehesten finanziell lohnen und erfolgreich sind. Aus diesem Grund trägt das Gesundheitswesen die Hauptlast von Ransomware- und BEC-Angriffen (Business Email Compromise) sowie Angriffen im Zusammenhang mit ungewollter Offenlegung von Daten.

Insbesondere Ransomware ist die größte Bedrohung für Einrichtungen im Gesundheitswesen. Die Betreiber von Ransomware verfolgen jetzt eine doppelte Erpressungstaktik, bei der die Datenexfiltration mit der Verschlüsselung von Daten kombiniert wird. Damit wollen sie die Zahlung von Einrichtungen zu erzwingen, die möglicherweise über angemessene Backup- und IR-Prozesse für eine schnelle Wiederherstellung verfügen. Es ist daher wichtig, dass Kliniken auf ihre End-to-End-Sicherheitsanforderungen achten. In Zeiten von Gesundheitskrisen wie der COVID-19-Pandemie erweist sich dies als zunehmend dringlicher.