Ransomware in kritischen Infrastrukturen
Das Gesundheitswesen im Visier von Cyberkriminellen
Cyberkriminelle nutzen Ransomware branchenübergreifend, um Organisationen zu erpressen.Doch gerade das Gesundheitswesen ist ein besonders attraktives Ziel. Nicht nur aufgrund der sensiblen Daten, denn häufig ist auch die IT-Sicherheit veraltet oder weniger effektiv.
Nicht erst die globale WannaCry-Attacke hat gezeigt, dass Organisationen im Gesundheitswesen wie der britische National Health Service (NHS) ein besonders verletzliches Ziel für Ransomware-Angriffe sind. Erpressungssoftware machte auch früher schon Schlagzeilen. Etwa als vor rund zwei Jahren in Nordrhein-Westfalen mehrere Krankenhäuser lahmgelegt wurden. Operationen mussten verschoben, Notfallpatienten in anderen Kliniken aufgenommen werden. Allein im Fall des Lukaskrankenhauses in Neuss beliefen sich die Kosten für Analyse des Angriffs und Wiederherstellung des IT-Betriebs auf circa eine Million Euro, rechnete seinerzeit das Bundesamts für Sicherheit in der Informationstechnik (BSI) vor.
Cyberkriminelle nutzen Ransomware branchenübergreifend, um Geld von Organisationen aller Größenordnungen zu erpressen, jedoch sind gerade Gesundheitsinstitutionen wie Krankenhäuser besonders attraktive Ziele. Denn sie sind nicht nur mit den persönlichsten und intimsten Informationen betraut, von Finanzdaten, bis hin zu privaten Gesundheits- und Behandlungsgeschichten, sondern häufig ist auch die IT-Sicherheit im Gesundheitswesen im Vergleich zu anderen Branchen veraltet oder weniger effektiv. Viele dieser Einrichtungen sind nicht darauf vorbereitet große Netzwerke zu betreiben, die von Gästen, Patienten oder Personal benutzt werden. Angreifer wissen auch, dass Organisationen im Gesundheitswesen hohe Kosten bei Ausfallzeiten haben, Im schlimmsten Fall ist die Gesundheit der Patienten gefährdet. Daher ist es wahrscheinlicher, dass sie ein Lösegeld für verschlüsselte Daten zahlen. Zudem steht nicht nur die Gesundheit von Patienten, sondern auch der Ruf einer Organisation und das Patientenvertrauen auf dem Spiel.
Das Gesundheitswesen macht Fortschritte, aber es gibt noch viel zu tun
Das deutsche IT-Sicherheitsgesetz (»Verordnung zu kritischen Infrastrukturen«, kurz KRITIS), definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind. Im Sommer 2017 hat die Bundesregierung nun auch für das Gesundheitswesen kritische Infrastrukturen konkret definiert, die besonders gegen Cyber-Angriffe zu schützen sind: Großkliniken, medizinische Labors, Hersteller bestimmter, lebenswichtiger Medizinprodukte und große Arzneihändler.
Von der KRITIS-Verordnung erfasste Einrichtungen müssen bei Cyber-Angriffen unverzüglich Meldung ans BSI machen. Außerdem müssen sie binnen zwei Jahren nachweisen, dass sie wirksame Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern und eine Kontaktstelle für das BSI nennen. Dennoch gibt es noch viel Raum für Verbesserungen, denn Lösegeldangriffe sind nach wie vor eine ernstzunehmende und wachsende Herausforderung. Die wirksame Bekämpfung von Ransomware erfordert eine durchdachte Kombination aus technischen Maßnahmen und Verhaltensregeln.
- Das Gesundheitswesen im Visier von Cyberkriminellen
- Schwachstellen in bestehenden Infrastrukturen aufdecken
