Cyber-Kriminalität
Gesundheitseinrichtungen wecken Begehrlichkeiten
Gesundheitseinrichtungen sind ein hoch lukratives Angriffsziel, zählen doch Gesundheitsdaten zu den teuersten Datensätzen im digitalen Untergrund. Datenabflüsse sind aber auch gerade für politische Täter interessant. Eine Analyse der Lage.
Save to Folio
Vor allem Regierungseinrichtungen und Behörden befanden sich 2023 im Fokus der Cyberkriminellen. Das zeigt der jährliche Cybersecurity Report von Trend Micro. Dabei steht das Gesundheitswesen mit rund 228.000 blockierten Malware-Kampagnen weltweit an zweiter Stelle. Auch in Deutschland nimmt der kritische Sektor Gesundheitswesen einen Spitzenplatz in der Malware-Statistik ein.
Entsprechend ist auch beim Thema Ransomware die Gefahr für diese Einrichtungen in Deutschland erhöht. Rund 450 Angriffe wurden hier gestoppt. Weltweit ist zwar die Anzahl der Angriffe zurückgegangen bei uns aber massiv gestiegen. Es waren sogar deutlich mehr als in den Rekordjahren 2020 und 2021.
Warum Deutschland?
Regionale und auch branchenspezifische Schwankungen sind in der Cyberkriminalität üblich. Die genauen Gründe lassen sich nicht immer eindeutig erkennen. Regionale Schwankungen haben oft mit politischer Motivation zu tun, die Ziele definiert oder auch ausschließt. So ist keine der in Europa oder Nordamerika aktiven Gruppen in Ländern der Gemeinschaft unabhängiger Staaten (GUS) aktiv. Darüber hinaus gibt es Täter, die sich auf bestimmte Branchen fokussieren. Diese haben oft persönliche Erfahrungen mit dem Setup oder auch der Fachsprache und können dadurch gezielter vorgehen.
Was speziell deutsche Gesundheitseinrichtungen in den Fokus der Kriminellen gerückt hat, kann man nicht direkt nachvollziehen. Branchenunabhängig haben Angriffe auf die Bundesrepublik zugenommen, und das schlägt sich auch in höheren Zahlen im Gesundheitsbereich nieder. Es lässt sich nicht ganz ausschließen, dass dies auch in Zusammenhang mit der Position der Bundesrepublik zum Krieg in der Ukraine steht -- Allerdings sollte man solche Schlüsse nicht voreilig ziehen.
Oft sind es weitaus einfachere Dinge, die den Appetit der Kriminellen wecken. Deutschland ist groß und wirtschaftlich interessant genug, so dass sich Täter mit individuellen Angriffsmethoden beschäftigen. Ein Feiertag, eine nationale Diskussion oder auch ein wichtiges Ereignis, alles kann als Eintrittsvektor verwendet werden um Angriffe zu starten.
Die gesetzliche Notwendigkeit, auch sehr persönliche Daten mit den Banken zu teilen, versetzte beispielsweise Cyberakteure in die Lage, glaubwürdige Phishing Attacken zu erstellen. Man stelle sich etwa einen übermüdeten Mitarbeiter in der Nachtschicht vor, der die Nachricht erhält, dass am nächsten Tag seine Bankkonten eingefroren werden, wenn er nicht endlich seine Daten berichtigt. Kommt diese Mail unerwartet, ohne dass er vorher bereits postalisch eine ähnliche Ankündigung von seiner Bank erhalten hatte, ist es ihm hoch anzurechnen, wenn er dann die richtige Entscheidung trifft und die Mail meldet...
Gesundheitseinrichtungen aus Sicht von Cyberkriminellen
Das Thema Gesundheit wurde zuletzt hochpolitisch diskutiert. Nicht nur im Rahmen der Covid19-Problematik zeigten sich Herausforderungen vor allem bezüglich des Fachkräftemangels und Budgets. IT-Teams in Krankenhäusern geben ihr Bestes, um ihre Organisation zu schützen. In vielen Fällen scheitern sie jedoch an den strukturellen Bedingungen. Oft fehlt schlichtweg das Budget, um in moderne Security-Lösungen zu investieren. Viele der kleineren Häuser stehen finanziell mit dem Rücken zur Wand. Wenn dann zur Wahl steht, entweder ein neues MRT oder ein System zur Angriffserkennung anzuschaffen, hat das Security-Projekt das Nachsehen. Und selbst wenn es Security-Verantwortlichen gelingt, ihre Wünsche durchzusetzen, fehlt es häufig an Zeit und Personal, um die Technologie einzuführen und zu betreiben. Das ist auch Kriminellen nicht entgangen. Gerade Einrichtungen der Humanmedizin, bei denen es um Leben und Tod geht, sind oft deutlich schlechter finanziert (als solche, in privater Hand). Sie leiden gerade aus Sicht der Cybersicherheit oft unter Budgetmangel und haben deshalb auch Personalschwierigkeiten. Daher zählen humanmedizinische Einrichtungen zu den eher leichteren Zielen. Die meisten dieser Institute arbeiten durchgängig - 24x7, obwohl ihr IT-Fachpersonal aber nur auf normale Bürozeiten ausgelegt ist.
Zudem geht es um Gesundheitsdaten, die in der Cyberkriminalität zu den teuersten Datensätzen zählen. Das alles macht diese Einrichtungen zu interessanten und im Verhältnis dazu leicht zu attackierenden Zielen. Weil jedoch in diesen Einrichtungen Menschenleben akut gefährdet sind, schrecken einige Angreifer davor zurück, die Daten zu verschlüsseln. Leider gibt es immer wieder Beispiele, wo das nicht so ist.
Die Ransomware-Landschaft im Wandel
Allgemein lässt sich auch zunehmend eine politische Einflussnahme auf das Vorgehen der größeren Ransomware-Gruppen beobachten. Was ansonsten eine schlechte Nachricht ist, klingt für Krankenhäuser eher positiv – Stichwort Genfer Konvention, ein Vertrag zum Schutz von Verwundeten, Kranken sowie medizinischem Personal. Fakt ist auch, dass Angriffe auf Krankenhäuser im digitalen Untergrund eher geächtet werden, und Accounts, die es tun „verlieren“ an Glaubwürdigkeit. Vermutlich lassen staatliche Akteure Angriffe auf solche Einrichtungen (außer Datendiebstahl) nicht zu. Möglich, dass die Täter dadurch die Rückendeckung verlieren. Nimmt der Einfluss durch Staaten zu, dürften Verschlüsselungsangriffe auf Krankenhäuser nachlassen.
Es ist über ein Jahr her, da veröffentlichten Sicherheitsforscher Einblicke in das Vorgehen von Lockbit, einer der berüchtigten und damals stärksten Ransomware-as-a-Service Gruppen. Die aus Russland stammenden Täter hatten so etwas wie Allgemeine Geschäftsbedingungen für ihre „Affiliates“ veröffentlicht. Darin wurden ihnen Angriffe auf bestimmte Organisationen, etwa im Bereich der Gesundheitseinrichtungen, untersagt. Gegen andere wurde das Vorgehen geradezu ermutigt.
Es ging zum einen um solche, die lebensrettende Maßnahmen durchführen, etwa Geburtskliniken, Neurologie oder ähnliche. Hier erlaubte die RaaS Gruppe lediglich den Diebstahl der Daten, nicht jedoch die Verschlüsselung. Auf der anderen Seite waren es Einrichtungen, die sich eher mit nicht überlebenswichtigen Fragen beschäftigen wie beispielsweise Schönheitschirurgie. Angriffe auf diese Einrichtungen ermutigten die Täter explizit. Ob diese „AGBs“ mehr waren als Marketing, darf in Frage gestellt werden. Unbestritten ist die Tatsache, dass Unternehmungen des Gesundheitswesens zu den bevorzugten Angriffszielen der Gruppe zählten und vor allem auf ihren Leak-Seiten auftauchten. Diese enthalten die Namen derjenigen Einrichtungen, deren Daten entwendet wurden und die nun damit erpresst werden.
Der einstige Marktführer Lockbit verlor bereits 2023 an Bedeutung. Im Februar dieses Jahres legte dann die Polizei deren Infrastruktur lahm und auch das neue Softwaremodul, dass sich gerade in Entwicklung befand, wurde durch die Sicherheitsindustrie (in diesem Falle Trend Micro) analysiert und damit weitestgehend unbrauchbar gemacht. Längst schon haben ihre Konkurrenten das Ruder übernommen. Für Gesundheitseinrichtungen ganz besonders in Deutschland gibt es deshalb keine Entwarnung – eigentlich eher im Gegenteil.
Fazit
Gesundheitseinrichtungen sind aus Sicht von Cyberkriminellen ein hoch lukratives Angriffsziel. Zum einen zählen Gesundheitsdaten zu den teuersten Datensätzen im digitalen Untergrund. Alleine der Datendiebstahl lohnt deshalb schon. Wenn die Täter darüber hinaus kein Problem mit Menschenleben gefährdender Schwerstkriminalität haben, ist eine Verschlüsslung oft lukrativ, weil der psychologische Druck auf Seiten der Verteidiger enorm ist. Hinzu kommt, dass viele Einrichtungen der Gesundheitsbranche aus IT-Sicht so genannte „weiche“ Ziele sind. Sie werden oft zufällig im Rahmen von Massenangriffen infiziert und können dann von innen heraus übernommen werden. Nur größere Einrichtungen leisten sich dabei 24x7-Schutz, auch wenn Mitarbeitende durchgängig Zugriff auf Daten haben.
Andererseits ist die Gefährdung von Menschenleben noch immer ein Argument, dass viele Kriminelle abschreckt. Disruptive Aktivitäten in medizinischen Einrichtungen gehören unter anderem auch deshalb noch zu den eher selteneren Fällen.
Datenabflüsse sind allerdings gerade auch für politische Täter spannend, weshalb es keine Entwarnung geben kann. Auch sollte man sich nicht zu sehr in Sicherheit wiegen, wenn keine Möglichkeiten der Angriffserkennung gegeben sind. Verschlüsselung ist gerade im Gesundheitsbereich nicht immer das Ziel der Täter.