CyberCompare

Cyber-Sicherheit im Gesundheitswesen: Die Gefahr wächst

Die Gefahr eines Angriffs im Gesundheitswesen steigt

Die Bedrohungslage im Gesundheitswesen wächst kontinuierlich. Lt. dem Verizon Threat Report 2020 entfielen bereits ca. 15% der berichteten Cyber-Vorfälle auf diesen Bereich. Betroffen sind dabei alle Spieler entlang der Wertschöpfungskette von Pharmaunternehmen über Labore und Medizingerätehersteller bis hin zu Krankenhausketten oder einzelnen lokalen Krankenhäusern.

Die Sensibilität der gehändelten Daten (Patienten- und Gesundheitsdaten) sowie die Kritikalität des reibungslosen Ablaufs in Laboren, Krankenhäusern und Pharmaunternehmen zum Schutz von Menschenleben, machen diese Organisationen zu besonders attraktiven Angriffszielen. Die Weitläufigkeit der IT-, OT- und IoT-Systeme von Healthcare-Unternehmen (siehe Grafik) sowie – zumindest in Krankenhäusern – schwierig regelbaren physischen Zugangskontrollen macht den effizienten Cyber-Schutz dabei besonders komplex. Insbesondere in Krankenhäusern verkompliziert sich die Situation durch heterogene und häufig in die Jahre gekommene Infrastruktur. (Lesen sie mehr zur Situation für Krankenhäuser und Maßnahmen in unserem Artikel hier)

Der Verizon Report von 2020 zeigt außerdem auf, dass die Gefahr im Gesundheitswesen besonders von kriminellen Organisationen ausgeht, 36% aller Angriffe entfallen auf diese. Wobei es in 55% der Fälle zur Unterbrechung von Systemen oder ganzheitlichen Betriebseinstellungen kommt und bei 31% der Fälle vertrauliche Informationen abfließen.

Im Falle von Pharmaunternehmen kommt es außerdem zu einer verstärkten Bedrohungslage durch APTs (Advanced Persitent Threats, meist staatliche Akteure), nicht zuletzt befördert durch die aktuelle Corona-Lage und die Werthaltigkeit von erbeuteten Impf- oder Medikamenteninformationen. Es drohen der Abfluss kritischer IP (Intellectual Property), Produktionsausfälle und ein massives Image-Risiko. Einen besonders spektakulären Fall stellt hier der NotPetya-Ransomware Angriff auf Merck aus 2017 dar, bei dem es zu einem sechsmonatigen Produktionsausfall und einem Schaden von mehr als 1 Mrd. USD kam. Weitere Vorfälle gab es bei 2018 bei Bayer (Unternehmensspionage) und 2020 bei Gilead (Spionage) sowie Fresenius (Illegale Veröffentlichung sensibler Daten). Verschärft wird die Lage durch die Auffassung krimineller Organisationen, dass die meisten Pharma-Unternehmen in der finanziellen Lage sind hohe Lösegelder zu bezahlen. Eine statistisch weniger relevante Gefahr (2% der Zwischenfälle) geht von „Hacktivisten“ aus, die z.B. mit der Vergabepolitik von Lizenzen nicht einverstanden sind. Trotz geringer Fallzahlen sind diese Fälle meist Öffentlichkeitswirksam und nicht durch die Zahlung von Lösegeldern zu beheben, da die Täter aus idealistischen Motiven handeln.

Für Hersteller von vernetzten Medizingeräten ergibt sich neben den Gefahren des Produktionsausfalls und des Informationsverlust außerdem noch die Verantwortung für die Produktsicherheit – in diesem Fall die Cyber-Sicherheit des Medizingeräts). Betroffen hiervon waren bereits die Firma Abbott, welche Sicherheitsupdates für Herzschrittmacher und Defibrillatoren durchführen musste und der Insulinpumpenhersteller Medtronic, wie die FAZ berichtete.

Wie bereits im Vorigen beschrieben sind auch Krankenhäuser besonders anfällige Ziele für Hackern, wie nicht zuletzt die Angriffe auf das Uniklinikum Düsseldorf – bei dem ein Toter zu beklagen war – und die Corona-Testklinik in Brno (Tschechien) gezeigt haben. Das Sicherheitsunternehmen Limes hat zur tatsächlichen Lage in deutschen Krankenhäusern im Januar dieses Jahrs einen ausführlichen Bericht veröffentlicht, der zeigt, dass gut ein Drittel der Krankenhäuser signifikante Sicherheitslücken aufweisen. Die Autoren sprechen von einem nationalen Sicherheitsrisiko. Erschreckend ist die Situation, dass v.a. größere Krankenhäuser eine höhere Anzahl an kritischen Schwachstellen und Einfallstoren aufweisen, z.B. die weitere Nutzung von Windows 2003 Servern (ohne Sicherheitsupdates). Für Angreifer bieten sich dabei verschiedene Systeme an um schadhaften Einfluss zu nehmen, neben Medizingeräten ohne gesperrte USB-Schnittstellen kann auch die eigentlich Gebäudetechnik (bspw. Klimatisierung) oder das HIS (Health-Information-System) ins Ziel von Angreifern geraten.

Hilfe ist auf dem Weg?

Das Problem des Cyber-Risikos für Healthcare-Unternehmen ist auch am Gesetzgeber nicht vorbeigegangen. Der Gesetzgeber hat in Deutschland mit der KRITIS-Regulierung und dem IT-SiG 2.0 und speziell für Krankenhäuser mit dem Krankenhauszukunftsgesetz (KHZG) bereits regulierend und teils subventionierend eingegriffen.

Dies entbindet die Akteure natürlich nicht davon selbständig aktiv zu werden. Ein guter Start für die meisten Unternehmen ist dabei die Nutzung gängiger Frameworks (Standards) zum Aufbau und der Einführung eines effizienten Cybersecurity-Schutzes sowie der Detailplanung von Maßnahmen. Zu diesen zählen für die „Office IT“ (bspw. NIST CSF & 800-53, ISO 27001 und SANS CIS-20) und im Bereich von Medizin- und Laborequipment (bspw. IEC 80001, MDCG, UL 2900-1 / 2900-2-1, HIMSS/NEMA1)

CyberCompare unterstützt bei der Einschätzung des eigenen Cyber-Risikos, der Ableitung einer pragmatischen und effizienten Cyber-Sicherheits-Strategie sowie der Ausschreibung und der Vermittlung von Anbietern für die Umsetzung der geplanten Maßnahmen. Sprechen Sie uns gerne direkt an.

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.