Die meisten Cyberattacken beginnen damit, dass Hacker verschiedene Arten von Schwachstellen in der Krankenhaus-IT oder Medizintechnik ausnutzen. Eine der wichtigsten präventiven Maßnahmen besteht daher darin, die eigenen Schwachstellen zu erkennen und zu schließen. So lässt sich die Angriffsfläche verringern und die Angriffswahrscheinlichkeit reduzieren. Während Ransomware für Unternehmen in jeder Branche finanzielle Verluste in Millionenhöhe verursacht, kann ein Angriff im Gesundheitswesen buchstäblich lebensbedrohlich sein.
Das Gesundheitswesen ist an Herausforderungen gewöhnt. Kaum eine andere Branche ist derzeit so stark von Cyberangriffen betroffen – denn Krankhaus-IT ist sehr vielfältig und umfasst eine Mischung aus Office-IT und Medizintechnik, die mitunter schwer zu überblicken ist. Risiken gehen in der Krankenhaus-IT von zahlreichen Faktoren aus, darunter Digitale Identitäten, Fehlkonfigurationen, die Cloud, das User-Verhalten sowie Software-Schwachstellen. Die Dynamik und Komplexität heutiger Krankenhaus-IT erfordert neue Schutzkonzepte. Da man es nie schaffen wird, alle Risiken zu beseitigen, ist es entscheidend, richtig zu priorisieren und Ressourcen gezielt dort einzusetzen, wo die größte Gefahr droht. Zum Beispiel orientieren sich viele Krankenhäuser bei einer Software-Schwachstelle an der CVSS-Bewertung (Common Vulnerability Scoring System). Diese reicht von 0 bis 10, wobei ein Wert ab 9 als kritisch gilt. Tatsächlich sagt die CVSS-Skala allein aber wenig darüber aus, wie gefährlich eine Schwachstelle für das individuelle Unternehmen wirklich ist. In der Praxis kann eine als niedrig eingestufte Verwundbarkeit besonders dringlich sein, wenn sie gerade häufig von Hackergruppen ausgenutzt wird und das Unternehmen zur bevorzugten Zielgruppe zählt. Um zum Beispiel das Risiko einer Software-Schwachstelle zu bewerten und richtig zu priorisieren, muss man daher immer externe Informationen zur aktuellen Bedrohungssituation einbeziehen und diese mit internen Informationen korrelieren. Dazu gehört etwa, wie stark eine Schwachstelle exponiert ist und welchen Schaden sie im Unternehmen anrichten könnte.
Was gehört zu einer Cyber-Defense-Strategie?
Eine ganzheitliche Cyber-Defense-Strategie umfasst die Risikobewertung, Bedrohungserkennung und Bewältigung von Cyber-Vorfällen. Im ersten Schritt ist es entscheidend, klare Einblicke in die IT-Landschaft zu gewinnen, da nur das, was bekannt ist, auch wirkungsvoll geschützt werden kann. Anschließend gilt es, Risiken zu identifizieren, zu priorisieren und zu mindern, um die Angriffsfläche zu minimieren und die Wahrscheinlichkeit von Angriffen zu verringern. Auf der nächsten Ebene ist eine leistungsstarke Detection and Response erforderlich, die sämtliche Vektoren der IT-Umgebung abdeckt und Bedrohungsinformationen miteinander verknüpft. Extended Detection & Response, kurz XDR, spielt hierbei eine Schlüsselrolle, da diese Technologie eine schnelle, umfassende Bedrohungserkennung ermöglicht und in einer zentralen Konsole einen Überblick über das Geschehen bietet. Abschließend ist ein Incident Response Service als integraler Bestandteil eines umfassenden Cyber-Defense-Konzepts erforderlich, um im Ernstfall einen Cyberangriff rasch einzudämmen und Systeme wiederherzustellen.
So läuft eine Ransomware-Attacke ab
Um zu verstehen, wie sich Ransomware auf Krankenhäuser auswirkt, ist es hilfreich, zunächst zu verstehen, wie Ransomware im Allgemeinen funktioniert. Wenn es Cyberkriminellen gelingt, eine Schwachstelle auszunutzen, können sie ins Netzwerk eindringen. Meist verhalten sich die Eindringlinge zunächst möglichst unauffällig und versuchen die Security-Systeme auszutricksen. Sie bewegen sich lateral im Netzwerk, erobern immer mehr Rechte und spionieren aus, wo die lukrativste Beute liegt. Außerdem versuchen sie, Backup-Systeme zu kompromittieren. Zuletzt aktivieren sie dann die eigentliche Ransomware und stehlen oder verschlüsseln Daten. Ein solcher Angriff kann sich über mehrere Monate erstrecken. In vielen Fällen wird der Vorfall erst entdeckt, wenn es bereits zu spät ist. Umso wichtiger ist eine leistungsfähige Security-Technologie wie XDR, die Bedrohungsindikatoren über alle Vektoren der IT-Umgebung hinweg sammelt und KI-gestützt korreliert. Sie ermöglicht es, Cyberangriffe schon in einer frühen Phase aufzudecken und zu stoppen. Im Falle eines Angriffs bieten die gesammelten Daten außerdem eine wichtige Grundlage für das Incident Response-Team, um den Vorfall im Detail nachvollziehen zu können.
Ransomware als lukratives Geschäftsmodell
Ransomware-Attacken sind nach wie vor die größte Cyberbedrohung. Das wird auch so bleiben, solange das Geschäftsmodell funktioniert. Denn Cyberkriminelle verfolgen vorwiegend ein Ziel: möglichst viel Geld zu verdienen. Kommuniziert wird dann über ein eigens angelegtes „Kundenportal“, wo die Betroffenen sogar mit den Hackern über die Lösegeldsumme verhandeln können. Um ihren Forderungen Nachdruck zu verleihen, verschlüsseln die Cyberkriminellen häufig nicht nur Daten, sondern drohen auch mit Veröffentlichung. Es gibt mittlerweile Incident-Response-Anbieter, die sich auf Verhandlungen mit Cyberkriminellen spezialisiert haben. Einige Dienstleister unterstützen auch gezielt dabei, Lösegeld in sanktionierte Länder zu transferieren, was selbst bei Cyberwährungen äußerst komplex ist. Grundsätzlich ist vom Bezahlen eines Lösegelds immer abzuraten.
Die Zukunft von Ransomware
Eine Studie der Krypto-Analysten von Chainalysis zeigt, dass im Jahr 2022 deutlich weniger Unternehmen Lösegeld gezahlt haben als zuvor. Während das Geschäft für Ransomware-Akteure in den Jahren 2020 und 2021 boomte, ging ihr Einkommen 2022 um rund 40 Prozent zurück. Es wäre jedoch ein Trugschluss zu glauben, die Gefahr sei gebannt. Vielmehr sehen Sicherheitsforscher von Trend Micro bereits erste Anzeichen dafür, dass Cyberkriminelle ihr Geschäftsmodell weiterentwickeln. Voraussichtlich werden die Hacker zum Beispiel künftig mehr auf die Monetarisierung der erbeuteten Daten setzen und diese verkaufen. Außerdem könnten sie weitere Erpressungshebel ansetzen, indem sie etwa eine DDOS-Attacke in den Ransomware-Angriff integrieren. Zu erwarten ist außerdem, dass die Akteure künftig verstärkt Cloud- und IoT-Infrastrukturen ins Visier nehmen.
Fazit
In Anbetracht der anhaltenden Bedrohungen durch Cyberangriffe im Gesundheitswesen, wird die Implementierung einer umfassenden Cyber-Defense-Strategie dringend empfohlen. Die Priorisierung von Risiken, die Minimierung der Angriffsfläche und die effektive Bedrohungserkennung mittels Technologien wie XDR sind entscheidend, um sich vor Ransomware-Attacken zu schützen. Trotz eines Rückgangs der Lösegeldzahlungen an Cyberkriminelle im Jahr 2022 warnen Sicherheitsforscher vor einer weiteren Entwicklung des Geschäftsmodells, einschließlich neuer Erpressungsstrategien. Für IT-Security-Teams in Krankenhäusern heißt es also wachsam bleiben und die Cyber-Defense-Strategie kontinuierlich optimieren.
Autor:
Robert Wortmann, Principle Security Strategist bei Trend Micro