Von einer Pandemie zur nächsten: Wie Organisationen im Gesundheitswesen mit Ransomware zu kämpfen haben

Kurz gesagt, Gesundheitsorganisationen sind von einer Pandemie zur nächsten geschlittert. Neue Untersuchungen zeigen, dass mehr als die Hälfte in den letzten drei Jahren durch Ransomware kompromittiert wurde, und 86 % dieser Organisationen mussten infolgedessen Betriebsausfälle hinnehmen. Doch so wie wir einen Weg gefunden haben, die Gesundheitsrisiken von COVID-19 zu mindern, können Gesundheitsorganisationen auch viel tun, um ihre Widerstandsfähigkeit gegenüber Ransomware zu verbessern.

Digitale Attacken haben kinetische Auswirkungen

Von den 54 % der Gesundheitsorganisationen weltweit, die von Ransomware-Akteuren heimgesucht wurden, berichten 25 %, dass sie ihren Betrieb vollständig einstellen mussten, während weitere 60 % angeben, dass einige Geschäftsprozesse unterbrochen wurden. Diese Arten von Serviceausfällen sind für jede Organisation von Bedeutung. Doch im Gesundheitswesen könnte es theoretisch um Leben und Tod gehen, wie es in der Vergangenheit tragischerweise der Fall gewesen zu sein scheint. Im Durchschnitt dauert es bei den meisten Organisationen des Gesundheitswesens Tage oder Wochen, bis der IT-Betrieb nach einem solchen Einbruch wieder vollständig hergestellt ist. In der Zwischenzeit können wichtige Dienste nicht verfügbar sein, Patienten müssen möglicherweise in nahegelegene Einrichtungen umgelenkt werden, und die Patientensicherheit könnte beeinträchtigt sein.

Das ist nicht die einzige Gefahr, die von Ransomware ausgeht, so groß sie auch ist. Die meisten Angriffe beinhalten heute auch ein doppeltes Erpressungselement. Tatsächlich geben 60 % der durch Ransomware kompromittierten Gesundheitsorganisationen an, dass ihr Angreifer auch Daten weitergegeben hat. Dies kann die Kosten für Forensik, Sanierung und Bereinigung in die Höhe treiben und die Organisation einem zusätzlichen finanziellen Risiko und Reputationsrisiko aussetzen, das sich aus dem streng regulierten Charakter von Patientendaten ergibt.

Die meisten Ransomware-Angreifer dringen über einen der drei Hauptvektoren ein: Phishing, Ausnutzung von Sicherheitslücken oder RDP-Kompromittierung. Aber CISOs, die in diesem Sektor arbeiten, müssen nicht nur an ihre eigene Umgebung denken. Zunehmend stellt auch die Lieferkette ein Risiko dar. Untersuchungen zeigen, dass 43 % der Gesundheitsorganisationen glauben, dass ihre Partner sie zu einem attraktiveren Ziel für Angriffe gemacht haben. Erschwerend kommt hinzu, dass es sich bei durchschnittlich 52 % dieser Lieferanten um kleine und mittlere Unternehmen handelt, die oft weniger Ressourcen für die Sicherheit aufwenden können.

Risikobewältigung durch verbesserte Sichtbarkeit

Diese Partner können von ausgelagerten IT-Anbietern bis hin zu Logistikunternehmen und Reinigungsfirmen reichen. Viele von ihnen benötigen Zugang zu den Netzen des Gesundheitswesens, werden aber nicht unbedingt so streng oder häufig auf die Einhaltung der Sicherheitsstandards überprüft, wie es eigentlich erforderlich wäre. Das sollte sich ändern. Ein guter Anfang zur Verbesserung der Sicherheit in der Lieferkette wäre, wenn die Gesundheitsdienstleister ihre Partner über Bedrohungen informieren würden. Die Untersuchung zeigt jedoch, dass viele dies weder mit ihren Partnern (30 %) noch mit ihren Zulieferern (46 %) noch mit ihrem gesamten Ökosystem (46 %) tun.

Ein Teil der Gründe könnte darin liegen, dass die Gesundheitseinrichtung selbst nicht genügend Einblick in ihre IT-Umgebung hat. Zu den Hauptgründen, die Gesundheitsorganisationen weltweit für Ransomware-Kompromittierungen nennen, gehören mangelnde Transparenz in der gesamten Ransomware-Angriffskette (43 %) und mangelnde Transparenz der Angriffsflächen (36 %). Weniger als die Hälfte ist in der Lage, wichtige Aktivitäten in der Angriffskette zu erkennen, wie z. B. seitliche Bewegungen, Erstzugriffe und die Verwendung von Tools wie Mimikatz und PsExec.

Hier können erweiterte Erkennungs- und Reaktionstools (Extended Detection and Response, XDR) eine große Wirkung entfalten, indem sie Bedrohungsdaten sammeln, Signale nach Prioritäten ordnen und sie in Informationen umwandeln, auf die Analysten schnell reagieren können. Dies kann den Unterschied ausmachen, ob ein Ransomware-Angriff eingedämmt wird, bevor er sich auf das Unternehmen auswirken kann, oder ob die Dienste für Wochen oder Monate ausfallen. Diese Informationen könnten auch mit wichtigen Partnern in der Lieferkette ausgetauscht werden.

Eine sicherere Zukunft

Es ist eine Schande, dass nur 43 % der Gesundheitsorganisationen derzeit XDR verwenden. Und es ist auch besorgniserregend, dass fast ein Fünftel der Unternehmen keine Sicherheitskontrollen zum Schutz von Remote-Desktop-Protokollen (RDP) einsetzt, obwohl dies einer der Hauptvektoren für den ersten Zugriff ist. Positiv zu vermerken ist, dass die überwiegende Mehrheit der Unternehmen, mit denen wir gesprochen haben, angibt, ihre Systeme regelmäßig zu patchen, und viele von ihnen schränken sogar E-Mail-Anhänge ein, um die Risiken durch Phishing zu verringern. Doch wie arzneimittelresistente Bakterien entwickeln auch Angreifer immer neue Wege, um die Abwehrmaßnahmen zu umgehen.

Da die Verantwortlichen im Gesundheitswesen damit zu kämpfen haben, die Rückstände bei den Patienten aufzuarbeiten und die langfristige Belastung der Dienste durch die alternde Bevölkerung zu bewältigen, wird die digitale Technologie zunehmend als Mittel zur Steigerung der Effizienz eingesetzt. Die Kehrseite der Medaille ist jedoch, dass dieselben Organisationen ihre Sicherheitsmaßnahmen verdoppeln müssen, um die erweiterte Angriffsfläche zu schützen, die solche Investitionen schaffen. Da sich die Ransomware-Verstöße im Gesundheitswesen häufen, ist wirklich keine Zeit zu verlieren.