Organisationen im Gesundheitswesen werden mit Phishing-Angriffen geradezu bombardiert. Eine kürzlich durchgeführte Studie des GDV hat gezeigt, dass E-Mails und Phishing immer noch die häufigsten Ursachen für erfolgreiche Angriffe sind. Besonders im Zuge der aktuellen Corona-Krise ist laut einigen Berichten ein verstärktes Aufkommen von Phishing-Mails zu beobachten.

Wenn sich Gesundheitsorganisationen mit Phishing befassen, sollten sie verschiedene Methoden anwenden, die die Wahrscheinlichkeit von Phishing-Angriffen zu verringern und den potenziellen Schaden zu minimieren. Die Frage ist jedoch, wie effizient diese Maßnahmen sind und welchen Ansatz Gesundheitsdienstleister verfolgen sollten, um eine Gefährdung sensibler Daten durch Phishing-Angriffe zu vermeiden.

Warum gibt es so viele Phishing-Angriffe auf Gesundheitsorganisationen?

Es gibt mehrere Gründe, warum Phishing-Angriffe auf Gesundheitsorganisationen so häufig vorkommen. Erstens haben sie eine hohe Erfolgsquote. Schließlich ist nur ein einziger Fehler erforderlich – ein Mitarbeiter, der dazu verleitet wird, einen schädlichen Link anzuklicken – damit der Täter in das Organisationsnetzwerk gelangen kann. Außerdem werden einige Phishing-Angriffe, die als Spear-Phishing bezeichnet werden, sorgfältig auf bestimmte Benutzer ausgerichtet. Dies erhöht die Wahrscheinlichkeit, dass sie die E-Mail öffnen und die darin enthaltenen schädlichen Links anklicken.

Schließlich ist die Motivation für Hacker, sich an Gesundheitsorganisationen zu wenden, sehr hoch, da die von ihnen gespeicherten persönlichen Gesundheitsinformationen sehr wertvoll sind. Laut dem Center for Internet Security (CIS) kann eine Krankenakte auf dem Schwarzmarkt für bis zu 335 Euro verkauft werden, personenbezogene Daten hingegen für nur 1 bis 2 Euro. Der Grund für diesen Kostenunterschied ist einfach: Kriminelle können Gesundheitsakten leicht für Betrug, Identitätsdiebstahl oder Erpressung verwenden, und die Opfer können diese Aufzeichnungen nicht annähernd so leicht unbrauchbar machen, wie sie eine Kreditkartennummer stornieren oder ein Bankkonto schließen können.

Wie können Gesundheitsdienstleister die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs verringern?

Der erste Schritt zur Abwehr von Phishing-Angriffen besteht darin, umfassende Mitarbeiterschulungen durchzuführen und regelmäßig zu testen, wie gut alle die Lektionen verinnerlicht haben. Viele Gesundheitsorganisationen verstärken ihre Bemühungen in diesem Bereich. In vielen Krankenhäusern ist es bereits üblich, Mitarbeitern die Gefahren von Phishing-Mails näherzubringen und ihnen Leitfäden für den richtigen Umgang mit solchen Nachrichten an die Hand zu geben. Im weiteren Sinne stellte der Bericht von Netwrix zu den IT-Trends 2020 fest, dass 56 % der Gesundheitsorganisationen ein besseres Cybersicherheitsbewusstsein zu einer ihrer obersten Prioritäten für 2020 machen.

Der zweite wichtige Schritt ist die Implementierung strengerer Sicherheitsrichtlinien, insbesondere in Bezug auf E-Mail-Sicherheit und Kennwortkomplexität. Erfolgreiche Phishing-Angriffe wie auf das Krankenhaus in Fürstenfeldbruck haben dazu geführt, dass Kliniken und andere Gesundheitsbetriebe ein größeres Augenmerk auf die Sicherheit ihrer E-Mails und Passwörter legen. Organisationen sollten mit der Überprüfung und Aktualisierung ihrer Richtlinien zweifelsohne nicht erst bis nach einem Datenleck warten. Vielmehr gilt es, schnellstmöglich dafür zu sorgen, dass Passwort- und E-Mail-Richtlinien dem Stand der Zeit entsprechen.

Diese Schritte verringern zwar die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs, können jedoch keinen 100-prozentigen Datenschutz garantieren. Es besteht immer die Gefahr, dass ein Mitarbeiter einen Moment lang unaufmerksam ist und auf einen Link in einer Phishing-E-Mail klickt - insbesondere, wenn es sich um eine besonders überzeugende Spear-Phishing-Nachricht handelt.

Darüber hinaus ist Phishing nicht die einzige Bedrohung für Gesundheitsdaten. Ein weiterer wichtiger Faktor sind verdächtige Benutzeraktivitäten in der gesamten IT-Umgebung der Organisation, ob on premis, in der Cloud oder in Hybrid-Umgebungen. Der Netwrix 2019 Cloud Data Security Report stellte fest, dass 49 Prozent der Gesundheitsorganisationen Patientendaten jetzt in der Cloud speichern. Daher ist es für Unternehmen von entscheidender Bedeutung, zu wissen, wo welche Daten gespeichert sind und welchen Grad an Vertraulichkeit sie besitzen. So lässt sich vermeiden, dass hochsensible Informationen wie Krankenakten, Röntgenbilder etc. an unbekannten Speicherorten verschwinden und somit Gefahr laufen, kompromittiert zu werden.

Was sind die besten Methoden, um Patientendaten vor Phishing-Angriffen und anderen Bedrohungen zu schützen?

Organisationen müssen umfassende Benutzerschulungen einleiten und ihre Sicherheitsrichtlinien stärken, um möglichst viele Angriffe zu blockieren. Genauso wichtig ist es allerdings, Maßnahmen zu ergreifen, mit denen sie erfolgreiche Phishing-Angriffe und verdächtiges Benutzerverhalten schnell erkennen und untersuchen können. Wenn sichergestellt ist, dass Hacker aufgehalten werden können, bevor sie große Mengen Patientendaten gefährden, minimieren sich finanziellen Verluste, Compliance-Verstöße und schlechte Reputation. Hier die wichtigsten Best Practices, die Gesundheitsbetriebe implementieren sollten:

• Überwachung von Nutzeraktivitäten. Es ist von großer Wichtigkeit, ein besseres Bewusstsein dafür zu erlangen, was in IT-Umgebungen vor sich geht. Dazu gehört auch die Frage, wer welche Daten ändert oder kopiert. Wenn IT-Verantwortliche ungewöhnliche Aktivitäten erkennen, die Patientendaten gefährden könnten und diese unverzüglich untersuchen, können sie Maßnahmen in die Wege leiten, bevor es zu einem Datenleck kommt. Im Idealfall werden die für die IT-Sicherheit zuständigen Mitarbeiter bei verdächtigen Ereignissen gewarnt, zum Beispiel bei mehreren fehlgeschlagenen Anmeldeversuchen oder wenn jemand auf medizinische Informationen zugreift, auf die er zuvor noch nie einen Blick geworfen hat.

• Regelmäßige Überprüfung von Privilegien. Ein Hacker, der die Anmeldedaten eines Mitarbeiters kompromittiert, kann auf alle vertraulichen Daten zugreifen, zu denen das Konto Zugang hat. Sicherzustellen, dass jeder Benutzer nur über die absoluten Mindestberechtigungen verfügt, die er für seine Arbeit benötigt, gehört daher zu den grundlegenden Best Practices. Ein Praktikant sollte beispielsweise keinen Zugriff auf vertrauliche Patientendaten haben. Durch die konsequente Durchsetzung des Prinzips der geringsten Privilegien bei regelmäßiger Überprüfung der Berechtigungen lässt sich die Angriffsfläche erheblich reduzieren. Privilegierte Nutzer sollten unter genauerer Beobachtung stehen, da Hacker häufig versuchen, ihre Anmeldedaten zu erlangen. Besonders wichtig ist, dass privilegierte Nutzer keinen universellen Zugriff auf alle Systeme und Datenspeicher haben (beispielsweise sollte ein SQL-Administratorkonto kein Mitglied der Domänenadministratorgruppe sein).

• Klassifizierung von Daten. Wenn bekannt ist, welche Daten abgespeichert sind, wo sich diese befinden und wer Zugriff auf sie hat, kann eruiert werden, welche Daten die größte Aufmerksamkeit erfordern. Danach kann man Kontrollen zu ihrem Schutz auswählen. IT-Verantwortliche können eine Datenklassifizierung nutzen, um die Risiken für Gesundheitsdaten zu bewerten und die wertvollsten Daten (etwa Testergebnisse und Diagnosen) nur an sicheren Orten zu speichern. Zugleich ist die Einhaltung von Datenschutzverordnungen wie der EU-DSGVO sichergestellt.

• Sonstige Anti-Phishing-Techniken.  Um das Risiko eines Datenlecks weiter zu verringern, müssen Gesundheitsorganisationen ihre allgemeine IT-Sicherheit im Auge behalten und gegebenenfalls verbessern. Hierunter fallen zum Beispiel, Software-Patches immer auf dem neuesten Stand zu halten, vertrauliche Daten zu verschlüsseln und Antivirensoftware einzusetzen.

Um Phishing-Bedrohungen effektiv zu bekämpfen und Daten zu schützen, bedarf es einer detaillierten Abwehrstrategie. Zu den Schlüsselelementen gehören regelmäßige Cybersicherheitsschulungen, die Durchsetzung des Grundsatzes der geringsten Privilegien für reguläre Benutzer und Administratoren sowie die Klassifizierung von Daten. Nur so können Betriebe ihre Datenschutzbemühungen priorisieren und gesetzliche Vorgaben einhalten.

Von Jürgen Venhorst, Country Manager DACH bei Netwrix