Trace Id is missing

Das Gesundheitswesen in den USA in Gefahr: Ransomware-Angriffen mit höherer Resilienz vorbeugen

Teilen
Mehrere medizinische Fachkräfte schauen auf ein Tablet.

Das Gesundheitswesen sieht sich einer rasant steigenden Menge an Bedrohungen gegen seine Cybersicherheit ausgesetzt, unter welchen Ransomware-Angriffe eine vorrangige Stellung einnehmen. Wertvolle Patientendaten, vernetzte medizinische Geräte und eine oft geringe Anzahl an Fachkräften für IT und Cybersicherheit, die schnell überlastet sein können, lassen in der Kombination Strukturen des Gesundheitswesens zu überaus geeigneten Zielen für Bedrohungsakteure werden. Die digitale Welt hält verstärkt im Gesundheitswesen Einzug, wie etwa durch die elektronische Patientenakte (ePA) oder Telemedizinplattformen und netzwerkfähige medizinische Geräte, wodurch die digitale Angriffsfläche von Krankenhäusern an Komplexität zunimmt und somit die Verletzlichkeit gegenüber Angriffen weiter steigt.

In den folgenden Abschnitten erhalten Sie einen Überblick zu den gegenwärtigen Bewandtnissen in der Cybersicherheit, insbesondere im Hinblick auf den Umstand, dass das Gesundheit­swesen ein vorrangiges Ziel darstellt, die steigende Anzahl an Ransomware-Angriffen sowie die schwerwiegenden Konsequenzen für die Patientenversorgung und die finanzielle Aufrechterhaltung des Betriebs infolge dieser Bedrohungen.

In einer von Sherrod DeGrippo, Director of Threat Intelligence Strategy bei Microsoft, moderierten Online-Diskussion werden diese kritischen Themen eingehender beleuchtet, wobei Experten Informationswerte zu Bedrohungsakteuren, Strategien zur Instandsetzung und Angriffspunkte im Gesundheit­swesen beisteuern.

Der Microsoft Threat Intelligence-Überblick für das Gesundheitswesen

Sherrod DeGrippo, Director of Threat Intelligence Strategy bei Microsoft Threat Intelligence, leitet eine rege Diskussionsrunde mit Experten für Threat Intelligence und IT-Sicherheit im Gesundheitswesen, die zusammen erörtern, warum das Gesundheitswesen so ungleich anfällig für Ransomware-Angriffe ist, mit welchen Taktiken Gruppen von Bedrohungsakteuren vorgehen, wie die eigene Cyberresilienz nicht ins Hintertreffen gerät und weiteres mehr.
  • Nach Informationen von Microsoft Threat Intelligence war das Gesundheitswesen im 2. Quartal 2024 unter den 10 am stärksten betroffenen Branchen und Fachbereichen.1
  • Ransomware-as-a-Service (RaaS) ermöglicht es auch Angreifern mit geringeren technischen Vorkenntnissen, Ransomware zu nutzen, während sich Russland als sicherer Standort für Ransomware-Gruppen anbietet. In der Folge sind Ransomware-Angriffe seit 2015 um 300 % gestiegen.2
  • In diesem Geschäftsjahr wurden in den USA 389 Einrichtungen des Gesundheit­swesens das Ziel von Ransomware, was zu Netzwerkabschaltungen, inaktiven Systemen, Verzögerungen bei kritischen medizinischen Eingriffen und verschobenen Terminen führte.3 Diese Angriffe schlagen finanziell schwer zu Buche. Ein Branchenbericht beziffert den Schaden für Einrichtungen im Gesundheitswesen auf bis zu 900.000 USD pro Tag allein wegen inaktiver Systeme.4
  • Bei den 99 Einrichtungen im Gesundheitswesen, die Erpressungsgeld gezahlt und dies offengelegt haben, war der Median für Zahlungen 1,5 Millionen USD und der Durchschnitt lag bei 4,4 Millionen USD.5

Schwerwiegende Konsequenzen für die Patientenversorgung

Die von Ransomware-Angriffen verursachten Störungen für den ordnungsgemäßen Einrichtungsbetrieb können die Behandlung von Patienten weitreichend einschränken, nicht nur bei direkt betroffenen Krankenhäusern, sondern auch bei weiteren in der Umgebung, welche die verringerten Behandlungskapazitäten in der Notaufnahme abfangen müssen.6

In einer jüngst veröffentlichten Studie wurde aufgezeigt, wie ein Ransomware-Angriff gegen vier Krankenhäuser (zwei als direktes Angriffsziel und zwei in der Folge davon) zu erhöhtem Patientenaufkommen in der Notaufnahme, längeren Wartezeiten sowie zusätzlichem Bedarf an Arbeitsmitteln, insbesondere für zeitlich kritische Behandlungen wie bei Schlaganfällen, in zwei nicht direkt betroffenen Krankenhäusern der näheren Umgebung führte.7
Anstieg bei Schlaganfällen: Ransomware-Angriffe sind besonders belastend für das Gesundheitswesen, weil nicht betroffene Krankenhäuser die Patienten von betroffenen Krankenhäusern auffangen müssen. Die Zahl der vermuteten Schlaganfälle bei Krankenhäusern in der Umgebung hat sich von 59 auf 103 fast verdoppelt, wohingegen bestätigte Schlaganfälle um 113,6 % gestiegen sind, von 22 auf 47 Fälle.
Mehr Herzinfarkte: Der Angriff, wie er sich auf das Gesundheitssystem weiter auswirkte, verursachte eine starke Zunahme bei Herzinfarkten in nicht betroffenen Krankenhäusern von 21 auf 38, also ein Anstieg um 81 %. Dies spiegelt den ausufernden Effekt einer funktionsunfähig gewordenen Einrichtung wider, infolge dessen Krankenhäuser in der Umgebung eine höhere Zahl kritischer Fälle auffangen müssen.
Höhere Mortalität bei Fällen mit geringen bleibenden Gehirnschäden: Die Überlebensrate bei Herzinfarkten außerhalb des Krankenhauses mit geringen bleibenden Gehirnschäden sank deutlich im Hinblick auf nicht betroffene Krankenhäuser während des Angriffs. Im Verlauf dessen fiel sie von 40 % auf 4,5 %.
Mehr Anfahrten von Krankenwägen: Bei den vom Angriff nicht direkt betroffenen Krankenhäusern stieg die Zahl der Anfahrten von Sanitäterfahrzeugen um 35,2 % an, was darauf schließen lässt, dass sich infolge der von Ransomware verursachten Störungen eine Umleitung der Krankenwägen weg von den betroffenen Krankenhäusern ergab.
Höhere Anzahl an Patienten: Da der Angriff vier Krankenhäuser in der Umgebung (zwei als direktes Angriffsziel und zwei in der Folge davon) betraf, waren die Notaufnahmen bei den nicht betroffenen Krankenhäusern einem deutlich höherem Andrang von Patienten ausgesetzt. Das Tagesaufkommen von Patienten bei den nicht betroffenen Krankenhäusern stieg um 15,1 % im Zeitraum während des Angriffs verglichen mit davor.
Zusätzliche Störungen bei der Versorgung: Während des Angriffs wird eine erhöhte Zahl an Patienten, ohne bei einem Arzt vorstellig geworden zu sein, wieder gehen. Die Wartezeiten verlängern sich, ebenso wie die Gesamtdauer des stationären Aufenthalts von Patienten. Beispielsweise ist der Median bei den Wartezeiten von 21 Minuten vor dem Angriff auf 31 Minuten während des Angriffs gestiegen.

Fallstudien zu Ransomware-Angriffen

Ransomware-Angriffe im Gesundheitswesen können verheerende Konsequenzen nach sich ziehen, nicht nur für die betroffenen Einrichtungen, sondern auch die Patientenversorgung und die Stabilität des allgemeinen Betriebs. Die Fallstudien im Folgenden verdeutlichen die weitreichenden Auswirkungen von Ransomware bei verschiedenen Arten von Gesundheits­einrichtungen, wie etwa kleinen ländlichen oder in großen Systemen verbundenen, und stellen hierbei heraus, über welche Wege die Angreifer Netzwerke infiltrieren und wie die verursachten Störungen kritische medizinische Versorgungsleistungen gefährden.
  • Angreifer hatten sich mittels erlangter Anmeldeinformationen Zugang zum Netzwerk über ein anfälliges Remotezugriff-Gateway ohne Multi-Faktor-Authentifizierung verschafft. Sie verschlüsselten die kritische Infrastruktur und extrahierten sensible Daten zum Zwecke eines doppelten Erpressungsplans, wobei sie drohen, die Daten zu veröffentlichen, sollte kein Lösegeld bezahlt werden.

    Auswirkungen:     Infolge des Angriffs und der hierdurch verursachten Störungen konnten 80 % der medizinischen Versorger und Apotheken deshalb keine Ansprüche gegenüber Versicherungen oder Forderungen geltend machen. 
  • Angreifer nutzten eine Schwachstelle in der vom Krankenhaus verwendeten Legacy-Software aus, für die der entsprechend verfügbare Patch nicht eingepflegt wurde, und konnten so über dezentrale Zugriffsbereicherung Patiententermine und medizinische Unterlagen unter ihre Gewalt bringen. Als Teil ihres doppelten Erpressungsplan haben jene sensible Daten extrahiert und damit gedroht, diese zu veröffentlichen, sollte kein Lösegeld gezahlt werden.

    Auswirkungen: Der Angriff störte den Betrieb und bedingte, dass Termine abgesagt, Operationen verschoben und vieles händisch erledigt werden musste, in dessen Folge die Belegschaft als auch die Versorgung merklich belastet ist. 
  • Angreifer verwendeten Phishing-E-Mails, um sich Zugang zum Krankenhausnetzwerk zu beschaffen und nutzten Schwachstellen von nicht aktualisierter Software aus, um Ransomware zu platzieren und ePAn sowie Systeme für die Patientenversorgung zu verschlüsseln. Mit ihrer doppelten Erpressungstaktik haben sie sensible Patienten- und Finanzdaten extrahiert und damit gedroht, diese an die Öffentlichkeit gelangen zu lassen, sollte kein Lösegeld gezahlt werden. 

    Auswirkungen:     Der Angriff störte vier Krankenhäuser und über 30 Kliniken, wobei Behandlungen verschoben und Notaufnahmepatienten weitervermittelt werden mussten. Darüber hinaus bestand die Gefahr, dass private Daten öffentlich einsehbar werden könnten. 
  • Im Februar 2021 zwang ein Ransomware-Angriff die Computersysteme eines Krankenhauses mit 44 Betten im ländlichen Raum zum Stillstand, weshalb drei Monate lang Handarbeit vonnöten war und Versicherungsansprüche außerordentlich verzögerte.

    Auswirkungen:     Da das Krankenhaus kaum dazu in der Lage war, Zahlungen einzufordern, entwickelte sich hieraus eine finanzielle Notlage, aufgrund derer die ansässige Bevölkerung ohne medizinische Versorgung für schwerwiegendere Fälle auskommen musste. 

Das Gesundheitswesen in den USA stellt wegen seiner vielen Angriffsmöglichkeiten mit Legacy-Systemen und uneinheitlichen Sicherheitsprotokollen ein attraktives Ziel für finanziell motivierte Cyberkriminelle dar. Die Abhängigkeit von digitaler Technologie, sensible Daten sowie begrenzt verfügbare Mengen an Ressourcen, oft aufgrund extrem kleiner Margen, haben in der Kombination zur Folge, dass viele Einrichtungen nur in geringem Maße in Cybersicherheit investieren können und deshalb besonders angreifbar sind. Zumal Gesundheits­einrichtungen die Patientenversorgung unter allen Umständen garantieren wollen und demzufolge auch bereit sind, Lösegelder zu bezahlen, um Störungen zu vermeiden.

Mit dem Ruf der Erpressbarkeit

Einer der Gründe, warum Ransomware gerade im Gesundheit­swesen so weit um sich greifen könnte, ist die vielfach feststellbare Tatsache, dass Lösegelder in diesem Bereich bezahlt werden. Gesundheits­einrichtungen stellen die Patientenversorgung allem voran. Selbst wenn sie mehrere Millionen Dollar zahlen müssten, um Störungen zu vermeiden, sind sie auch oft dazu bereit, das zu tun.

Tatsächlich sind laut einem aktuellen Bericht auf Grundlage einer Befragung von 402 Gesundheits­einrichtungen 67 % von einem Ransomware-Angriff im vergangenen Jahr betroffen gewesen. 2023 hatten 42 % der betroffenen Einrichtungen ein Lösegeld gezahlt, 2024 haben es 53 %. Der Bericht stellt auch die finanziellen Einbußen heraus, wonach sich die gezahlten Lösegelder im Durchschnitt auf 4,4 Millionen USD belaufen.12

Begrenzte Mittel und Investitionen zwecks Sicherheit

Eine weitere große Herausforderung sind die knappen Budgets und Mittel für Cybersicherheit im gesamten Gesundheitswesen. Der aktuelle Bericht Healthcare Cybersecurity Needs a Check-Up13 (Vorsorgeuntersuchung für die Cybersicherheit im Gesundheitswesen vonnöten) von CSC 2.0 (eine Gruppe, welche die Arbeiten der vom US-Kongress beauftragten Cyberspace Solarium Commission fortführt) stellt fest, "die Finanzierung der Cybersicherheit von Gesundheits­einrichtungen ist aufgrund knapper Budgets und der Notwendigkeit zur Aufrechterhaltung der wichtigsten Patientendienstleistungen oft unzureichend, wodurch sich jene Einrichtungen besonders als Ziel für einen Angriff eignen und anbieten."

Zudem würden Gesundheits­einrichtungen ungeachtet der Dringlichkeit des Problems nicht genügend in Cybersicherheit investieren. Aufgrund einer Vielzahl komplexer Faktoren, einschließlich eines indirekten Zahlungsmodells, welches häufig bedingt, dass unmittelbarer medizinischer Bedarf eher bedacht wird als weniger augenscheinliche Investitionen wie jene in Cybersicherheit, ist eben diese über den Verlauf der letzten zwei Jahrzehnte sehr gering finanziell unterstützt worden.10

Darüber hinaus hat der Health Insurance Portability and Accountability Act (HIPAA, Gesetz zur Übertragbarkeit und Verantwortlichkeit von Gesundheitsdaten) dazu geführt, dass mehr in Datenvertraulichkeit investiert wurde und weniger in Datenintegrität oder Verfügbarkeit. Diese Veranlagung kann nach sich ziehen, dass die Widerstandsfähigkeit in einer Gesundheitseinrichtung einen niedrigen Stellenwert einnimmt und gerade auch bei den Zielen hinsichtlich der Wiederherstellung in einer gewissen Zeit oder bis zu einem gewissen Punkt deutlich wird.

Legacy-Systeme und anfällige Infrastruktur

Eine Folge von mangelnden Investitionen in Cybersicherheit ist die Abhängigkeit von veralteten, schwer zu aktualisierenden Legacy-Systemen, die sich gerade deshalb gut ausnutzen lassen und demnach zu einem der Hauptziele wurden. Des Weiteren bedingt der Einsatz von inkompatiblen Technologien eine heterogene Infrastruktur, die aufgrund ihrer Uneinheitlichkeit vielerlei Möglichkeit für Angriffe bietet.

Diese Art von Anfälligkeit der Infrastruktur steigert sich in ihrer Komplexität nur noch weiter infolge des jüngst einsetzenden Konsolidierungsbestrebens im Gesundheitswesen. Fusionen von Krankenhausbetrieben, die in den letzten Jahren gehäuft zustande kamen (23 % mehr als 2022 und auf dem höchsten Stand seit 202014), bilden Organisationsgebilde mit vielschichtiger Infrastruktur aus, die sich über mehrere Standorte verteilen. Ohne ausreichende Investitionen in Cybersicherheit kann eben eine solche Infrastruktur leicht und schnell das Ziel von Angriffen werden.

Weitreichende Angriffsmöglichkeiten

Während integrierte Netzwerke bestehend aus Geräten und Medizintechnik die klinische Versorgung bereichern und hierdurch Patientenwohl gesteigert und Menschenleben besser gerettet werden können, ergäben sich ebenso umfassendere Angriffsmöglichkeiten, die Bedrohungsakteure zunehmend für sich gebrauchen.

Krankenhäuser waren nie zuvor dermaßen vernetzt. Kritische medizinische Gerätschaften wie für Computertomografie, Patientenüberwachungssysteme und Infusionspumpen sind über das Internet erreichbar, aber zeichnen sich nicht durch eine entsprechend dahingehende Sichtbarkeit hinsichtlich Anfälligkeit und deren Verringerung aus, wovon letztlich die Patienten die Leidtragenden sein sollten.

Die Doktoren Christian Dameff und Jeff Tully, Leiter und Gründer des Zentrums für Cybersicherheit im Gesundheit­swesen der University of California San Diego stellen fest, dass es sich bei durchschnittlich 70 % der Endpunkte in Krankenhäusern nicht um Computer sondern um Geräte handelt.   
Ein Behandlungsraum in einem Krankenhaus mit medizinischer Ausrüstung, einem fahrbaren Schrank und einem blauen Vorhang

Gesundheits­einrichtungen senden und empfangen auch sehr große Mengen an Daten. Laut den Daten der nationalen Koordinationsstelle für Computertechnik im Gesundheitswesen geben mehr als 88 % der Krankenhäuser an, Gesundheitsdaten von Patienten elektronisch zu übermitteln und zu verarbeiten, und mehr als 60 % speichern und führen diese Informationen als Teil ihrer elektronischen Gesundheitsdatenbestände weiter.15

Große Herausforderungen besonders für kleine, ländliche Einrichtungen

Spezialisierte Krankenhäuser im ländlichen Raum sind besonders anfällig für Ransomware-Angriffe, weil diese häufig nur über sehr begrenzte Mittel verfügen, um Sicherheitsrisiken vorzubeugen oder diesen beizukommen. Dies kann sich verheerend für die örtliche Bevölkerung auswirken, da in den USA diese Krankenhäuser vielfach die einzige Möglichkeit für eine medizinische Behandlung in der näheren Umgebung darstellen.

Laut Dameff und Tully besitzen Krankenhäuser im ländlichen Raum oftmals nicht das gleiche Niveau in der Cybersicherheit und eine solche Infrastruktur oder die Fachkenntnisse, wie es bei größeren Krankenhäusern in Städten der Fall ist. Sie merken außerdem an, dass die betriebswirtschaftliche Handhabung jener Krankenhäuser modernen Cyberbedrohungen wie Ransomware nur unzureichend oder nicht mehr zeitgemäß Rechnung trägt.

Viele kleine oder ländliche Krankenhäuser haben kaum finanziellen Spielraum und wirtschaften mit sehr kleinen Gewinnmargen. Diese finanziellen Umstände erschweren es sehr, in robuste Cybersicherheit zu investieren. Vielfach verlassen sich diese Einrichtungen auf einen einzigen Computertechniker, welcher sich auf die Lösung alltäglicher technischer Probleme verstehen mag, aber dem es an speziellen Kenntnissen in der Cybersicherheit fehlt.

Der Bericht der Arbeitsgruppe für Cybersicherheit im Gesundheit­swesen des amerikanischen Gesundheitsministeriums, welcher als Teil des Cybersicherheitsgesetzes aus dem Jahr 2015 erstellt wurde, macht deutlich, dass in den USA ein erheblicher Teil der spezialisierten Krankenhäuser im ländlichen Raum keinen Vollzeitangestellten für Cybersicherheit hat, was den allgemeinen Mangel an Mitteln bei kleineren Gesundheits­einrichtungen weiter unterstreicht.

„Diese Computertechniker, die sich meist allein auf allgemeine Netzwerk- und Computerprobleme verstehen, beschäftigen sich hauptsächlich mit Angelegenheiten wie ‚Ich kann nicht drucken, ich kann mich nicht anmelden, wie lautet mein Kennwort?‘“, erklärt Dameff. „Das sind keine Experten für Cybersicherheit. Ihnen fehlt es an Personal, am Budget und auch an dem Wissen, wo und womit sie beginnen müssen.“

Der Ablauf eines Angriffs durch Cyberkriminelle erfolgt typischerweise in zwei Schritten: Zunächst wird sich Zugang zum Netzwerk verschafft, oftmals mittels Phishing oder dem Ausnutzen von Schwachstellen, in dessen Folge Ransomware eingesetzt wird, um kritische Systeme und Daten zu verschlüsseln. Im Zuge der Entwicklung solcher Vorgehensweisen einschließlich der Verwendung von legitimen Tools und der weiteren Verbreitung von RaaS sind Angriffe leichter möglich und wurden ebenso häufiger.

Die Anfangsphase eines Ransomware-Angriffs: Zugang verschaffen zum Krankenhausnetzwerk

Jack Mott, ehemals Leiter eines Teams mit Fokus auf Threat Intelligence und Erkennungssoftware für E-Mails in Großunternehmen, weist darauf hin, "E-Mails sind auch weiterhin eines der am häufigsten eingesetzten Vehikel, um durch Phishing oder hierüber platzierte Schadsoftware Ransomware-Angriffe vorzubereiten“.16

Eine von Microsoft Threat Intelligence durchgeführte Analyse von 13 Krankenhaussystemen aus verschiedenen Bereichen, darunter auch im ländlichen Raum, ergab, dass 93 % der beobachteten cyberkriminellen Aktivitäten im Zusammenhang mit Phishing-Kampagnen und Ransomware standen und der Hauptteil hierbei auf Bedrohungen per E-Mail fiel.17
"E-Mails sind auch weiterhin eines der am häufigsten eingesetzten Vehikel, um durch Phishing oder hierüber platzierte Schadsoftware Ransomware-Angriffe vorzubereiten."
Jack Mott 
Microsoft Threat Intelligence

Kampagnen, die auf Gesundheits­einrichtungen abzielen, verwenden häufig sehr spezielle Köder. Mott zeigt beispielsweise auf, wie Bedrohungsakteure E-Mails mit klinischer Fachsprache entwerfen und sich etwa auf Autopsieberichte beziehen, um damit Glaubwürdigkeit zu erwirken und erfolgreich medizinische Fachleute zu täuschen. 

Derlei Social Engineering-Methoden machen sich eben jene Dringlichkeit, wie sie in Einrichtungen des Gesundheit­swesens oftmals herrscht und von Beschäftigten dort wahrgenommen wird, zunutze und führt so zu möglichen Fehlern in der Handhabung, was einer erhöhten Gefahr für die Sicherheit gleichkommt. 

Mott merkt ebenfalls an, dass Angreifer auf immer raffiniertere Taktiken zurückgreifen und häufig "echte Namen, legitime Dienste und Tools, wie sie oft in IT-Abteilungen verwendet werden (z. B. Fernwartungssoftware)" einsetzen, um nicht erkannt zu werden. Diese Verfahrensweisen machen es Sicherheitssystemen schwer, zwischen schädlicher und legitimer Aktivität zu unterscheiden. 

Daten von Microsoft Threat Intelligence zeigen auch, dass Angreifer des Öfteren bekannte Schwachstellen in der Software oder den Systemen von Einrichtungen ausnutzen, welche bereits seit Längerem bekannt sind. Diese häufigen Schwachstellen und Risiken sind gut dokumentiert, haben verfügbare Patches oder Reparaturmöglichkeiten und Angreifer zielen speziell auf diese Schwachstellen ab, weil sie wissen, dass sie von vielen Einrichtungen noch nicht berücksichtigt wurden.18

Nachdem sich die Angreifer Zugang zum Netzwerk verschafft haben, spionieren sie es aus, was sich durch ungewöhnliche Sondierungsaktivitäten feststellen lässt. Hierdurch bekommen Bedrohungsakteure einen Überblick von dem Netzwerk, identifizieren kritische Systeme und bereiten die nächste Phase des Angriffs vor: das Platzieren von Ransomware.

Die Endphase eines Ransomware-Angriffs: Ransomware platzieren zum Verschlüsseln kritischer Systeme

Nachdem sie das Netzwerk infiltriert haben, typischerweise mittels Phishing oder Malware per E-Mail, gehen Bedrohungsakteure zur zweiten Phase über: dem Platzieren von Ransomware.

Jack Mott erläutert, dass der Anstieg bei RaaS-Modellen einen entscheidenden Beitrag zum erhöhten Aufkommen von Ransomware-Angriffen im Gesundheitswesen geleistet hat. "RaaS-Plattformen haben die komplizierten Ransomware-Tools für jedermann zugänglich gemacht, weshalb selbst jene mit geringstem technischen Verstand höchst effektive Angriffe starten können", konstatiert Mott. Diese Modelle senken die Hürden für den Einstieg, wodurch Ransomware-Angriffe noch attraktiver und effizienter werden.
"RaaS-Plattformen haben die komplizierten Ransomware-Tools für jedermann zugänglich gemacht, weshalb selbst jene mit geringstem technischen Verstand höchst effektive Angriffe starten können.“ 
Jack Mott 
Microsoft Threat Intelligence

Mott führt weiter aus, wie RaaS funktioniert, und meint: "Diese Plattformen bieten häufig eine große Bandbreite an Tools einschließlich Verschlüsselungssoftware, Zahlungsverarbeitung und sogar Kundenservice für das Aushandeln von Lösegeldzahlungen. Infolge dieser einfachen unmittelbaren Nutzbarkeit stehen sehr viel mehr Bedrohungsakteuren Ransomware für Kampagnen zur Verfügung, was sich in der steigenden Anzahl und Gefährlichkeit der Angriffe widerspiegelt."

Weiterhin macht Mott deutlich, wie koordiniert diese Angriffe ablaufen und betont: "Sobald die Ransomware platziert ist, beginnen Angreifer für gewöhnlich sehr schnell damit, kritische Systeme und Daten zu verschlüsseln, häufig innerhalb weniger Stunden. Sie haben es dabei auf die essentielle Infrastruktur abgesehen, darunter Patientendaten, diagnostische Systeme und sogar die Buchhaltung, um maximalen Nutzen aus dieser Gelegenheit zu schlagen und einen möglichst hohen Druck auf die Gesundheitseinrichtung auszuüben, sodass diese das Lösegeld bezahlt."

Ransomware-Angriffe im Gesundheit­swesen: Die Hauptakteurgruppen in der Übersicht

Ransomware-Angriffe im Gesundheit­swesen werden häufig von bestens organisierten und spezialisierten Gruppen von Bedrohungsakteuren ausgeführt. Diese Gruppen, welche sowohl finanziell motivierte Cyberkriminelle als auch verschlagene, staatlich alliierte Bedrohungsakteure umfassen, treten mit fortschrittlichen Tools und Strategien in Aktion, um Netzwerke zu infiltrieren, Daten zu verschlüsseln und von den Einrichtungen Erpressungsgeld zu verlangen.

Unter diesen Bedrohungsakteuren hätten Berichten zufolge auch Hacker, die Unterstützung von der Regierung autoritär geführter Nationen erhalten, Ransomware eingesetzt und sogar mit Ransomware-Gruppen zum Zwecke der Spionage zusammengearbeitet. Beispielsweise wird vermutet, dass mit der chinesischen Regierung alliierte Bedrohungsakteure zunehmend Ransomware als Deckmantel für Spionageaktivitäten gebrauchen.19

2024 sind es dem Anschein nach vor allem iranische Bedrohungsakteure gewesen, die Gesundheits­einrichtungen ins Ziel nehmen.20 Tatsächlich hat im August 2024 die US-Regierung wegen eines vom Iran aus operierenden Bedrohungsakteurs, bekannt als Lemon Sandstorm, eine Warnung an das Gesundheitswesen herausgegeben. Diese Gruppe hat sich „unautorisierten Netzwerkzugriff zu amerikanischen Organisationen einschließlich Gesundheits­einrichtungen verschafft, um hierdurch die Möglichkeit, die Durchführung sowie die Abschöpfung von Gewinnen infolge zukünftiger Ransomware-Angriffe vorzubereiten, welche mutmaßlich von mit Russland alliierten Ransomware-Gruppen erledigt werden.“21

Die folgenden Profile bieten Informationswerte über einige der berüchtigtsten, finanziell motivierten Ransomware-Gruppen, die es auf Gesundheits­einrichtungen abgesehen haben, sowie deren Methoden, Ambitionen und die Auswirkungen ihrer Machenschaften auf das Gesundheit­swesen.
  • Lace Tempest ist eine sehr aktive Ransomware-Gruppe, deren Hauptziel das Gesundheitswesen ist. Über ein RaaS-Modell ermöglichen sie es ihren Nutzern, ohne große Mühen Ransomware zu platzieren. Die Gruppe wird mit folgenschweren Angriffen auf Krankenhaussysteme in Verbindung gebracht, wobei kritische Patientendaten verschlüsselt und Lösegelder gefordert werden. Als Teil ihres doppelten Erpressungsplans verschlüsseln sie nicht nur Daten, sondern extrahieren diese auch, um mit der Veröffentlichung von sensiblen Informationen zu drohen, sollte das Lösegeld nicht bezahlt werden.
  • Sangria Tempest hat den Ruf, mit komplexen Ransomware-Angriffen Gesundheits­einrichtungen ins Ziel zu nehmen. Durch eine komplizierte Verschlüsselung machen sie es nahezu unmöglich, die Daten wiederherzustellen, ohne ein Lösegeld zu bezahlen. Sie wenden auch doppelte Erpressung an, wobei sie Patientendaten extrahieren und damit drohen, diese zu veröffentlichen. Ihre Angriffe sorgen für weitreichende Betriebsstörungen, wodurch Gesundheits­einrichtungen dazu gezwungen sind, Mittel abzuzweigen, was sich in verminderten Versorgungsleistungen für Patienten äußert.
  • Cadenza Tempest ist für seine DDoS-Angriffe bekannt, konzentriert sich aber mittlerweile verstärkt auf Ransomware-Aktionen gegen Gesundheits­einrichtungen. Die Gruppe wird als Russland alliierter Hackerverbund eingeschätzt, da sie Gesundheitssysteme in Ländern angreift, die russischen Interessen feindlich gegenüber eingestellt sind. Ihre Angriffe überlasten Krankenhaussysteme, wodurch sie wichtige Operationen stören und Chaos verursachen, insbesondere in Kombination mit Ransomware-Kampagnen.
  • Die finanziell motivierte Gruppe Vanilla Tempest ist seit Juli 2022 aktiv und in letzter Zeit dazu übergegangen, die bei RaaS-Anbietern beschaffte INC Ransomware gegen Gesundheits­einrichtungen in den USA einzusetzen. Sie nutzen Schwachstellen aus, verwenden eigens erstellte Skripte und die Standardtools von Windows, um Anmeldeinformationen zu stehlen und über dezentrale Zugriffsbereicherung Ransomware zu platzieren. Die Gruppe wendet ebenfalls doppelte Erpressung an und fordert Lösegelder für die Entsperrung von Systemen und den Verzicht auf Veröffentlichung von gestohlenen Daten.

Angesichts zunehmend komplexerer Ransomware-Angriffe müssen Gesundheits­einrichtungen im Hinblick auf ihre Cybersicherheit in vielerlei Zusammenhängen vorbereitet sein. Sie müssen dazu in der Lage sein, sich gegen Angriffe über das Internet behaupten zu können, darauf zu reagieren ebenso wie sich infolge dessen zu rehabilitieren, ohne dass hierbei die Patientenversorgung darunter leidet.

Der folgende Leitfaden bietet umfassende Hilfestellungen für höhere Resilienz, schnellere Rehabilitation, sicherheitsbestimmtes Handeln bei Beschäftigten und verstärkte Kooperation im Gesundheitswesen.

Governance: Prävention und Resilienz gewährleisten

Ein Gebäude mit vielen Fenstern unter einem blauen Himmel mit Wolken

Effektive Governance in der Cybersicherheit ist unentbehrlich für Gesundheits­einrichtungen, um auf Ransomware-Angriffe vorbereitet zu sein und darauf reagieren zu können. Dameff und Tully vom Zentrum für Cybersicherheit im Gesundheit­swesen der University of California San Diego empfehlen, solide Maßgaben für Governance mit klaren Rollen, regelmäßigen Schulungen und interdisziplinärer Zusammenarbeit einzuführen. Hierdurch unterstützen Gesundheits­einrichtungen ihre Resilienz gegen Ransomware-Angriffe und gewährleisten die fortwährende Patientenversorgung, selbst wenn es zu erheblichen Störungen kommt.

Einer der Kernpunkte jener Maßgaben ist es, die klinische Belegschaft, IT-Sicherheitsteams und Notfalleinsatzleiter auf eine Linie zu bringen, um stimmige Aktionspläne dafür zu entwickeln, wie auf Ereignisse reagiert werden soll. Diese fachbereichsübergreifende Zusammenarbeit ist von entscheidender Bedeutung für die Aufrechterhaltung der Patientensicherheit und Versorgungsqualität, wenn technische Systeme nicht mehr zur Verfügung stehen.

Dameff und Tully machen ebenso deutlich, wie wichtig es ist, dass ein speziell für Governance zuständiger Ausschuss oder Beirat eingerichtet wird, der sich regelmäßig trifft, um die Aktionspläne zu überprüfen und zu aktualisieren. Sie empfehlen, diese Beiräte mit den Befugnissen auszustatten, Aktionspläne durch realistische Simulationen und Übungen testen zu können, sodass die ganze Belegschaft – darunter auch die Jüngeren, die es womöglich nicht gewohnt sind, Aufzeichnungen zu Papier zu bringen – vorbereitet ist, ohne digitale Hilfsmittel voll einsatzfähig zu sein.

Zudem betonen Dameff und Tully die Bedeutsamkeit von externer Zusammenarbeit. Sie befürworten regionale und nationale Maßgaben, mit Hilfe derer sich Krankenhäuser während weitreichenden Vorfällen gegenseitig unterstützen können, was auch die Notwendigkeit einer "strategischen nationalen Reserve" an technischen Gerätschaften wiedergibt, mit der zwischenzeitlich ausgefallene Systeme ersetzt werden können.

Resilienz und Reaktion mit Strategie

Resilienz in der Cybersicherheit für das Gesundheit­swesen kann nicht nur vom Schutz von Daten handeln. Es ist ebenso erforderlich, dass sich ganze Systeme gegen Angriffe behaupten können und dass diese auch das Vermögen besitzen, sich selbst infolge solcher Angriffe zu rehabilitieren. Ein umfassender Ansatz für Resilienz ist unabdingbar und kann sich nicht allein auf den Schutz von Patientendaten beschränken, sondern muss sich gleichermaßen mit der Befestigung und der Verstärkung der gesamten Infrastruktur befassen, die eine Gesundheitseinrichtung am Laufen hält. Hierbei ist das vollständige System zu berücksichtigen und damit die Funktionalität des Netzwerks, der Lieferkette, medizinischer Geräte und weiteres mehr.

Eine multimodale Abfangsicherheitsstrategie ist für die Ausbildung einer mehrschichtigen Sicherheitskonstitution unerlässlich, sodass Ransomware-Angriffe effektiv unterbunden werden können.

Eine multimodale Abfangsicherheitsstrategie ist für die Ausbildung einer mehrschichtigen Sicherheitskonstitution unerlässlich, sodass Ransomware-Angriffe effektiv unterbunden werden können. Diese Strategie umfasst, dass jede Ebene der Infrastruktur einer Gesundheitseinrichtung gesichert werden muss und demzufolge alles vom Netzwerk bis zu den Endpunkten und auch in die Cloud mit einschließt. Indem mehrere Ebenen für die Verteidigung geschaffen werden, lässt sich so das Risiko für einen erfolgreichen Ransomware-Angriff in Gesundheits­einrichtungen verringern.

Als Teil dieses mehrschichtigen Ansatzes wird für Kunden von Microsoft das Verhalten feindseliger Akteure durch die Teams von Microsoft Threat Intelligence aktiv überwacht. Sollte eine derartige Aktivität festgestellt werden, wird eine direkte Benachrichtigung übermittelt.

Hierbei handelt es sich nicht um eine bezahlte oder abgestufte Dienstleistung. Unternehmen jeder Größe erhalten dieselbe Aufmerksamkeit. Ziel ist es, umgehend eine Warnung auszugeben, wenn mögliche Bedrohungen wie etwa Ransomware bemerkt werden, und Hilfestellungen anzubieten, welche Schritte unternommen werden sollten, um die Organisation zu schützen.

Abgesehen davon, dass solche Verteidigungsebenen geschaffen werden, ist es auch immens wichtig, über einen effektiven Aktions- und Erkennungsplan zu verfügen. Doch nur einen Plan zu haben, ist nicht genug. Gesundheits­einrichtungen müssen imstande sein, diesen auch effizient während eines tatsächlichen Angriffs in die Tat umzusetzen, sodass Schaden nur minimal und eine schnelle Rehabilitation möglich ist.

Schließlich sind fortdauernde Überwachung und Mechanismen zur Echtzeiterkennung unentbehrlich für ein leistungsfähiges System, das derart Vorfälle handhaben können soll und auf mögliche Bedrohungen dank umgehender Erkennung und Bewältigungsmaßnahmen sicher reagiert.

Weitere Informationen zur Cyberresilienz im Gesundheit­swesen wurden vom amerikanischen Gesundheitsministerium in Form von freiwilligen Leistungszielen für Cybersicherheit im Gesundheit­swesen veröffentlicht, um Gesundheits­einrichtungen bei der Umsetzung von Cybersicherheitsmaßnahmen für folgenschwere Vorfälle zu unterstützen.

Diese Leistungsziele sind das Ergebnis der Zusammenarbeit von öffentlichen und privaten Partnern, die auf branchenüblichen Cybersicherheitsmaßgaben und -richtlinien, bewährten Vorgehensweisen und Strategien fußen, und von Gesundheits­einrichtungen als Anteil für ihre eigenen Verfahren zwecks Cybersicherheit übernommen werden können, um kraft Cyberprävention zu größerer Cyberresilienz zu gelangen und hierdurch besser die Sicherheit und Gesundheitsdaten von Patienten schützen zu können.

Schritte für eine zügige Wiederherstellung und verstärkte Sicherheit nach dem Angriff

Für die Rehabilitation infolge eines Ransomware-Angriffs braucht es einen systematischen Ansatz, um eine zügige Rückkehr zum normalen Betrieb zu gewährleisten und zukünftigen Vorfällen vorzubeugen. Im Folgenden finden sich direkt umsetzbare Schritte, die bei der Einschätzung des Schadens helfen, wie betroffene Systeme wiederhergestellt werden können und wie sich Sicherheitsmaßnahmen verstärken lassen. Bei Verwendung dieser Hilfestellungen können Gesundheits­einrichtungen die Auswirkungen von Angriffen einschränken und ihre Verteidigung gegen zukünftige Bedrohungen verstärken.
Auswirkungen abklären und Angriff eindämmen

Isolieren Sie unverzüglich die betroffenen Systeme, um eine Ausweitung zu verhindern.
Wiederherstellung mit unbelasteten Sicherungen durchführen

Vergewissern Sie sich, dass saubere Sicherungen verfügbar und als solche bestätigt sind, bevor Sie diese für die Wiederherstellung einsetzen. Legen Sie Sicherungen ohne dauerhafte Verbindung zum System an, um eine Verschlüsselung durch Ransomware zu unterbinden.
Systeme neu aufsetzen

Erwägen Sie, infizierte Systeme komplett neu aufzusetzen, anstatt diese mit Patches zu reparieren, um möglicherweise noch immer verbleibende Schadsoftware zu beseitigen. Nutzen Sie den Leitfaden vom Microsoft Incident Response Team, um Ihre Systeme wieder sicher zu installieren. 
Sicherheitskontrollen nach dem Angriff verstärken

Stärken Sie Ihre Sicherheitskonstitution nach dem Angriff, indem Sie die Schwachstellen ermitteln, Systeme patchen und Tools für die Erkennung an Endpunkten aufrüsten.
Nachprüfung des Vorfalls durchführen

Unter Zuhilfenahme eines externen Sicherheitsspezialisten sollten Sie den Angriff analysieren, um Schwachstellen auszumachen und sich für zukünftige Vorfälle besser zu wappnen.

Sicherheitsbestimmtes Handeln bei Beschäftigten erwirken

Ein Mann und eine Frau, die an einem medizinischen Lehrrequisit üben

Sicherheitsbestimmtes Handeln bei Beschäftigten zu erwirken, bedarf der fortdauernden Zusammenarbeit aller Bereiche.

Sicherheitsbestimmtes Handeln bei Beschäftigten zu erwirken, bedarf der fortdauernden Zusammenarbeit aller Bereiche. Es ist sehr wichtig, dass IT-Sicherheitsteams, Notfalleinsatzleiter und die klinische Belegschaft an einem Strang ziehen und ein mit allen abgestimmter Aktionsplan entwickelt wird. Ohne dieses gemeinsame Vorgehen wäre der übrige Teil des Krankenhauses womöglich nicht angemessen vorbereitet, um im Falle eines Angriffs effektiv reagieren zu können.

Aufklärung und Sensibilisierung

Gute Schulungen und hohe Meldebereitschaft sind dringend erforderlich für Gesundheits­einrichtungen, um sich gegen Ransomware zu verteidigen. Da das Hauptaugenmerk der medizinischen Fachkräfte meist auf der Versorgung der Patienten liegt, geht ihnen absehbar bisweilen die Aufmerksamkeit für Cybersicherheit abhanden, weshalb sie anfälliger für Cyberbedrohungen sind.

Um dem Rechnung zu tragen, müssen Grundlagen der Cybersicherheit Teil der regelmäßigen Schulung sein und somit beispielsweise wie sich Phishing-E-Mails erkennen lassen, dass es vermieden werden sollte, auf verdächtige Links zu klicken, und wie übliche Social Engineering-Taktiken zu durchschauen sind.

Die Ressourcen von Microsoft zu Cybersicherheit verstehen können dabei helfen.

"Es geht vornehmlich darum, der Belegschaft zu vermitteln, dass sie ohne jede Furcht wegen Schuldvorwürfe Sicherheitsprobleme melden sollen", erklärt Mott von Microsoft. "Je früher man etwas melden, umso besser. Wenn es sich dabei um keine tatsächliche Bedrohung handelt, wäre das ein Best-Case-Szenario."

Regelmäßige Übungen und Simulationen sollten auch die Bedingungen eines realistischen Angriffs mit Phishing oder Ransomware nachbilden, damit die Belegschaft ihre Reaktion in einer kontrollierten Umgebung üben kann.

Teilen von Informationen sowie gemeinschaftliches Handeln und Verteidigen

Da Ransomware-Angriffe grundsätzlich häufiger werden (Microsoft beobachtet eine 2,75-fache Steigerung pro Jahr bei unseren Kunden16), ist eine gemeinschaftlich getragene Verteidigungsstrategie außerordentlich wichtig. Die Zusammenarbeit von internen Teams, Partnern in der Region und weitreichenderen nationalen oder globalen Netzwerken ist von immenser Bedeutung für die Aufrechterhaltung eines funktionierenden Gesundheit­swesens und der Patientensicherheit.

Diese Gruppen müssen vereint, einen umfassenden Aktionsplan entwerfen und umsetzen können, sodass dem Chaos im Realfall Einhalt geboten sein wird.

Dameff und Tully betonen, wie wichtig es ist, dass interne Teams wie Ärzte, Notfalleinsatzleiter und IT-Sicherheitsteams, die häufig auf sich allein gestellt arbeiten, zusammengeführt werden. Diese Gruppen müssen vereint, einen umfassenden Aktionsplan entwerfen und umsetzen können, sodass dem Chaos im Realfall Einhalt geboten sein wird.

Auf regionaler Ebene sollten Gesundheits­einrichtungen Partnerschaften eingehen, dank derer sie leichter Kapazitäten und Ressourcen teilen können, sodass die Patientenversorgung auch gewährleistet ist, wenn manche Krankenhäuser von Ransomware betroffen sind. Diese Art der gemeinschaftlichen Verteidigung schafft auch Abhilfe, indem der Andrang durch zu viele Patienten an einem Standort stattdessen auf mehrere Einrichtungen verteilt von diesen aufgefangen wird.

Nicht nur die Zusammenarbeit in der Region, auch nationale und globale Netzwerke zum Teilen von Informationen sind entscheidend. Zentren für Informationsvermittlung und -analyse wie beispielsweise Health-ISAC bieten sich als Plattformen an, mittels derer Gesundheits­einrichtungen kritische Informationen über Bedrohungen austauschen können. Errol Weiss, Chief Security Officer bei Health-ISAC, vergleicht diese Organisationen mit "virtuellen Nachbarschaftswachen", bei denen Mitglieder in kurzer Zeit Einzelheiten über Angriffe weitergeben und verifizierte Lösungsansätze mitteilen können. Dieses Teilen von Informationen hilft anderen, sich auf ähnliche Bedrohungen vorzubereiten oder diese bewältigen zu können, wodurch die gemeinschaftliche Verteidigung auf einer größeren Ebene gleichsam verstärkt ist.

  1. [1]
    Interne Daten von Microsoft Threat Intelligence, 2. Quartal 2024
  2. [2]
    (Kurzfassung für CISOs: Aktuelle und künftige Cyberbedrohungsarten im Gesundheitswesen. Health-ISAC sowie der amerikanische Krankenhausverband)  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    Niederschrift der Anhörung durch den Ausschuss des Repräsentantenhauses zwecks Einschätzung der Mängel bei Microsofts Cybersicherheit“, Tech Policy Press, 15. Juni 2024
  4. [4]
    Durchschnittlich erleiden Gesundheits­einrichtungen einen finanziellen Schaden in Höhe von 900.000 USD wegen inaktiver Systeme infolge von Ransomware-Angriffen“, Comparitech, 6. März 2024
  5. [5]
    Ransomware-Angriffe im Gesundheitswesen nehmen in ihrer Zahl und Schwere weiter zu“, The HIPAA Journal, September 2024
  6. [6]
    In Stücke zerteilt? Die Auswirkungen von Ransomware-Angriffe auf Krankenhäuser und Patienten. https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware-Angriffe als mutmaßliche Ursache für Störungen in angrenzenden Notaufnahmen in den USA. Ransomware-Angriffe als mutmaßliche Ursache für Störungen in angrenzenden Notaufnahmen in den USA | Notfallmedizin | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ransomware-Angriff bei Ascension beeinträchtigt finanzielle Erholung“, The HIPAA Journal, 20. September 2024
  10. [10]
    Patientendaten öffentlich einsehbar nach Phishing-Angriff auf UC San Diego Health“, The HIPAA Journal, 13. März 2024
  11. [11]
    Ransomware-Angriff entscheidend für die Schließung eines Krankenhauses im ländlichen Illinois“, The HIPAA Journal, 14. Juni 2023
  12. [12]
    Ransomware-Angriffe im Gesundheitswesen nehmen in ihrer Zahl und Schwere weiter zu“, The HIPAA Journal, September 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    2023 gab es mehr Fusionen von Krankenhäusern und finanzielle Schwierigkeiten beschleunigen, dass es weitere gibt (chiefhealthcareexecutive.com)
  15. [15]
    Interoperabilität und Methoden für den Austausch zwischen Krankenhäusern im Jahr 2021 | HealthIT.gov
  16. [16]
    Microsoft-Bericht über digitale Abwehr 2024,Microsoft, S. 27
  17. [17]
    Telemetriedaten von Microsoft Threat Intelligence, 2024
  18. [18]
    Katalog der bekannten und ausgenutzten Schwachstellen“, CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Daten von Microsoft Threat Intelligence über Cyberbedrohungen im Gesundheitswesen, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Cyberverbrechen

Mehr aus der Security Insider-Reihe

Leitfaden für Cyberresilienz und -hygiene

Grundlegende Cyberhygiene ist nach wie vor das beste Mittel, um die Identitäten, Geräte, Daten, Apps, die Infrastruktur und Netzwerke einer Organisation vor 98 % aller Cyberbedrohungen zu schützen. Lesen Sie nützliche Tipps in einem umfassenden Leitfaden.
Mehr erfahren

Einblicke in den Kampf gegen Hacker, die Krankenhäuser in Aufruhr versetzt und Leben gefährdet haben

Erfahren sie mehr über die neuesten Entwicklungen in der Cybersicherheit anhand Recherchen und Analysen der Aktivitäten von Bedrohungsakteuren durch Microsoft. Nutzen Sie die bereitgestellten Informationswerte und praktischen Hilfestellungen zu aktuellen Entwicklungen, um Ihre Verteidigungsfähigkeit bereits von erster Warte an zu verstärken.
Mehr erfahren

Gespeist aus Vertrauen: Social-Engineering-Betrug

Erkunden Sie eine digitale Landschaft im Wandel, in der Vertrauen gleichzeitig eine Währung und ein Sicherheitsrisiko ist. Untersuchen Sie die bei Cyberangriffen am häufigsten genutzten Social Engineering-Betrugsmaschen, und prüfen Sie Strategien, mit denen Sie Social Engineering-Bedrohungen identifizieren und neutralisieren können, die auf die Manipulation der menschlichen Natur abzielen.
Mehr erfahren

Microsoft Security folgen