Warum Cyberkriminelle Krankenhäuser lieben

Im Top-Ranking deutscher Krankenhäuser (Focus) findet sich kein Satz über den Schutz von IT-Systemen, dafür ist viel von "Hightech-Medizin" die Rede. Die steht nach einem Cyberangriff freilich still. Fakten von Security-Anbieter KnowBe4, die erschreckende Defizite im Gesundheitssektor offenbaren.

Keine Frage: Dank der Fortschritte und Investitionen in Milliardenhöhe in der Pharmabranche und im Gesundheitssektor dürfen sich Menschen über eine gestiegene Lebenserwartung freuen. Doch ist es nicht geradezu grotesk, wenn bei grundlegenden Basisanforderungen wie eine sichere IT geschludert wird und moderne Humanmedizin so einfach zum Stillstand gebracht werden kann? Im Ranking der Top-Kliniken in Deutschland lässt sich das Magazin Focus die Gründe der Häuser für ihren herausragenden Ruf in die Tasten diktieren. Kein einziges der angeblich besten Krankenhäuser Deutschlands nennt eine hochsichere IT als Vorteil für die Patienten.

Es ist bezeichnend, dass dem IT-Security-Aspekt in einer doch längst vernetzten Medizin- und Notfallversorgung offenbar keine oder nur untergeordnete Aufmerksamkeit geschenkt wird. "Wir schützen unsere IT-Systeme mit modernste Security-Plattformen und lassen alle unsere Mitarbeiter regelmäßig schulen, damit die über Cyberrisiken aufgeklärt und vor Hackergefahren sensibilisiert sind". Einen solchen Satz würde man sich von einem Krankenhausmanager wünschen, dessen Haus zu den Top-Kliniken zählen will. Leider ist die Realität erschreckend anders.

"Der Gesundheitssektor stellt nach wie vor ein Hauptziel für Cyberkriminelle dar, die versuchen, aus den lebensbedrohlichen Situationen, mit denen Krankenhäuser konfrontiert sind, Kapital zu schlagen", sagt Stu Sjouwerman, CEO des Security-Anbieters KnowBe4. Patientendaten und kritische Systeme würden "als Geiseln gehalten", mit der Folge, dass erfolgreich von Hackern angegriffene Krankenhäuser gezwungen seien, "exorbitante Lösegelder zu zahlen", so Sjouwerman.

Vorhaltungen und Schuldzuweisungen muss und will der CEO gar nicht erst explizit ins Feld führen. Nur so viel dazu: "Dieser Teufelskreis kann durch die Priorisierung umfassender Schulungen zur Sensibilisierung für Sicherheitsfragen durchbrochen werden. Dadurch werden die Mitarbeiter gestärkt und eine positive Sicherheitskultur etabliert, die als starke Verteidigung gegen Phishing- und Social-Engineering-Angriffe fungiert."

Im Focus-Ranking sind viele Krankenhäuser so stolz auf ihre "Hightech-Medizin". Aber ein falscher Klick auf eine E-Mail reicht und alle Systeme stehen still. 53 Prozent der Cyberangriffe auf dem Kontinent zwischen Januar 2021 und März 2023 zielten laut der international durchgeführten Studie von KnowBe4 auf den Gesundheitssektor. "Ransomware wurde als die größte Bedrohung identifiziert, wobei die Mehrheit dieser Angriffe mit Datenschutzverletzungen oder Datendiebstahl verbunden war. Trotz der Schwere dieses Problems verfügen erschreckenderweise 27 Prozent der Gesundheitsorganisationen nicht über ein spezielles Ransomware-Abwehrprogramm. Nur 40 Prozent der Originalgerätehersteller bieten Sicherheitsschulungen für Nicht-IT-Mitarbeiter an. Dies führt zu einer erheblichen Anfälligkeit für Kompromittierungen."

Im Falle eines Angriffs bestehe die Möglichkeit, dass Cyberkriminelle die Kontrolle über das gesamte Krankenhaussystem erlangen und nicht nur auf die Gesundheitsdaten der Patienten, sondern auch auf deren Finanz- und Versicherungsdaten zugreifen.

Hier einige Fakten aus dem KnowBe4-Bericht "2024 Phishing by Industry Benchmarking Repost", die zeigen, wie krank die IT von Krankenhäusern ist:

• In den ersten drei Quartalen des Jahres 2023 verzeichnete der globale Gesundheitssektor erschreckende 1.613 Cyberangriffe pro Woche, fast viermal so viele wie im weltweiten Durchschnitt, was eine deutliche Zunahme gegenüber dem gleichen Zeitraum des Vorjahres bedeutet.
• Die Kosten für Cyberangriffe im Gesundheitswesen sind in den letzten drei Jahren dramatisch gestiegen. Die durchschnittlichen Kosten für einen Verstoß belaufen sich auf fast 11 Millionen US-Dollar, was mehr als dem Dreifachen des weltweiten Durchschnitts entspricht. Das Gesundheitswesen ist somit der Sektor, der am meisten unter den hohen Kosten von Cyberangriffen leidet.
• Ransomware-Angriffe stellen die häufigste Form von Cyberangriffen auf Gesundheitsorganisationen dar und machten in den letzten zwei Jahren über 70 Prozent der erfolgreichen Angriffe aus.
• Die Mehrheit der Cyberangriffe (zwischen 79 und 91 Prozent) in allen Branchen beginnt mit Phishing- oder Social-Engineering-Taktiken, welche es Cyberkriminellen ermöglichen, Zugriff auf Konten oder Server zu erlangen.
• Laut dem KnowBe4-Bericht sind Organisationen des Gesundheits- und Pharmasektors am anfälligsten für Phishing-Angriffe. Mitarbeiter in großen Organisationen des Sektors werden mit einer Wahrscheinlichkeit von 51,4 Prozent Opfer einer Phishing-E-Mail. Dies impliziert, dass Cyberkriminelle eine Wahrscheinlichkeit von über 50 Prozent haben, einen Mitarbeiter des Sektors erfolgreich zu phishen.