E-Mail-Sicherheitsbedrohungen im Gesundheitswesen

Ransomware-Angriffe auf Organisationen im Gesundheitswesen haben sich seit 2022 mehr als verdoppelt, so das Ergebnis des aktuellen Barracuda Ransomware-Jahresberichts. Betrachtet man das Gesundheitswesen jedoch im Vergleich zu anderen Branchen, ergibt sich ein komplexeres Bild. In vielen Fällen kommt es in diesem Sektor zu weniger größeren Cybervorfällen als in anderen Branchen – die Angriffe machen jedoch aufgrund des Risikos für Patienten und der Sensibilität der personenbezogenen Daten Schlagzeilen. Und in einigen Fällen sind die Auswirkungen zwar begrenzt, aber schwerwiegend.

Gesundheitswesen ständiges Ziel von Cyberangriffen

Im März legte ein Ransomware-Angriff auf eines der wichtigsten Krankenhäuser Barcelonas das Computersystem des Zentrums lahm und erzwang die Streichung nicht dringender Operationen und Patientenuntersuchungen. Die Angreifer verbrachten die nächsten Monate damit, die angeblich gestohlenen Daten ins Internet zu stellen, nachdem sich das Krankenhaus geweigert hatte, das Lösegeld zu zahlen.

Einige Monate später, im August, legte ein Cyberangriff auf Prospect Medical Holdings in den USA die Computersysteme von Krankenhäusern im ganzen Land lahm, so dass Notaufnahmen in mehreren Bundesstaaten geschlossen und Krankenwagen umgeleitet werden mussten.

Es ist entscheidend, die Cyberrisiken, mit denen Organisationen im Gesundheitswesen konfrontiert sind, zu verstehen und ihnen zu begegnen. Ein guter Ansatzpunkt ist das E-Mail-basierte Risiko. E-Mail ist nach wie vor ein primärer Angriffsvektor mit einer hohen Erfolgsquote für Cyberkriminelle und ein gängiger Einstiegspunkt für viele andere Angriffe. Darüber hinaus hat die Pandemie die Digitalisierung im Gesundheitswesen beschleunigt, was die Angriffsfläche zusätzlich vergrößert.

77 Prozent von einer E-Mail-Sicherheitsverletzung betroffen

Eine kürzlich in Auftrag von Barracuda durchgeführte internationale Studie unter mittelständischen Unternehmen ergab, dass 77 Prozent der Befragten aus dem Gesundheitswesen im Jahr 2022 eine E-Mail-Sicherheitsverletzung erlitten haben. Die Zahl in allen Branchen lag im Vergleich bei 75 Prozent.

Trotzdem waren die Befragten aus dem Gesundheitswesen zuversichtlich, dass sie in der Lage sind, einen Cyber-Sicherheitsvorfall zu überstehen. 45 Prozent sagten, sie fühlten sich „sehr viel" sicherer als im letzten Jahr, verglichen mit 34 Prozent in allen anderen Branchen. Dies hat möglicherweise mehr mit Praktiken, Richtlinien und Bewusstsein zu tun als mit Investitionen in die Cybersicherheit, denn nur 10 Prozent gaben an, dass sie mehr investieren wollten, der zweitniedrigste Wert insgesamt.

Dennoch hat die Gesundheitsbranche mehr Vertrauen in ihre Fähigkeit, E-Mail-basierte Bedrohungen zu bekämpfen, als viele andere Branchen. Barracuda hat 13 Arten von E-Mail-Bedrohungen identifiziert, von einfachem Phishing und bösartigen Links oder Anhängen bis hin zu ausgefeilten Social-Engineering-Techniken wie Business Email Compromise (BEC), Conversation Hijacking und Account-Takeover. Unternehmen des Gesundheitswesens geben seltener als viele andere Branchen an, dass sie sich auf diese Arten von E-Mail-Bedrohungen nicht ausreichend vorbereitet fühlen.

Gesundheitswesen kämpft am meisten mit den Wiederherstellungskosten

Knapp die Hälfte (44 Prozent) der befragten Organisationen im Gesundheitswesen nannte Wiederherstellungskosten, als sie nach den Auswirkungen eines erfolgreichen E-Mail-Sicherheitsangriffs gefragt wurden – im Vergleich zu 31 Prozent insgesamt – wobei sich die durchschnittlichen Kosten des teuersten Angriffs auf 975.000 US-Dollar beliefen.

Die Budgets des Gesundheitswesens sind oft überstrapaziert, und die Kombination aus begrenzten Ressourcen, komplexen und oft kritischen Technologiesystemen sowie dem Druck, alles so schnell wie möglich wieder zum Laufen zu bringen, trägt wahrscheinlich dazu bei, dass die Wiederherstellungskosten, die am häufigsten genannten Auswirkungen sind.

Der Verlust sensibler, vertraulicher oder geschäftskritischer Daten lag jedoch unter dem Durchschnitt: 29 Prozent im Vergleich zu 43 Prozent insgesamt. Dies könnte daran liegen, dass Gesundheitseinrichtungen nach so vielen Jahren, in denen sie Ziel von Cyberangriffen waren, nun besonders strenge Richtlinien für die Weitergabe, Speicherung und Sicherung medizinischer Daten und anderer geschützter Gesundheitsinformationen haben.

Ransomware: Gesundheitswesen am wenigsten betroffene Branche

Die Umfrage ergab, dass 60 Prozent der befragten Organisationen im Gesundheitswesen von einem Ransomware-Angriff betroffen waren – der zweitniedrigste Anteil nach den Verbraucherdiensten (50 Prozent) und unter dem Branchendurchschnitt von 73 Prozent. Diese Zahl spiegelt sich auch in anderen Studien wider, obwohl die öffentliche Wahrnehmung ein deutlich höheres Ergebnis erwarten ließe.

29 Prozent der Organisationen im Gesundheitswesen meldeten zwei oder mehr erfolgreiche Ransomware-Vorfälle, verglichen mit einer Gesamtzahl von 38 Prozent. Dies deutet darauf hin, dass Angriffe nicht immer vollständig neutralisiert werden oder dass Sicherheitslücken nach dem ersten Vorfall nicht immer erkannt und behoben werden.

Die gute Nachricht ist, dass mehr als die Hälfte (59 Prozent) die verschlüsselten Daten mit Hilfe von Backups wiederherstellen konnten (52 Prozent insgesamt) und dass nur 22 Prozent das Lösegeld für die Wiederherstellung ihrer Daten bezahlt haben (34 Prozent insgesamt).

Spear-Phishing-Angriffe haben erhebliche Auswirkungen

Nur 8 Prozent der befragten Unternehmen des Gesundheitswesens fühlten sich nicht ausreichend auf einen Spear-Phishing-Angriff vorbereitet. Bis zu einem gewissen Grad ist diese Zuversicht gerechtfertigt, da nur 32 Prozent der befragten Unternehmen des Gesundheitswesens im Jahr 2022 von einem solchen Angriff betroffen waren, im Vergleich zu 50 Prozent insgesamt. Für diejenigen, die betroffen waren, hatte der Angriff jedoch oft schwerwiegende Folgen.

60 Prozent der Betroffenen gaben an, dass Computer oder andere Geräte mit Malware oder Viren infiziert wurden, verglichen mit 55 Prozent insgesamt, während 60 Prozent angaben, dass vertrauliche oder sensible Daten gestohlen wurden, verglichen mit 49 Prozent insgesamt. 70 Prozent berichteten über gestohlene Anmeldeinformationen oder die Übernahme von Konten, verglichen mit 48 Prozent insgesamt, und 40 Prozent berichteten über direkte finanzielle Verluste.

Circa 3,5 Tage zur Erkennung und Behebung eines E-Mail-Sicherheitsvorfalls

Die Untersuchung ergab, dass Unternehmen des Gesundheitswesens weniger Zeit als viele andere Branchen benötigen, um einen E-Mail-Sicherheitsvorfall zu erkennen – im Durchschnitt 29 Stunden im Vergleich zu 43 Stunden insgesamt -, aber sie liegen im Mittelfeld, wenn es um die Reaktion auf einen Vorfall und dessen Behebung geht (im Durchschnitt 51 Stunden im Vergleich zu 56 Stunden insgesamt).

Als größtes Hindernis für eine schnelle Reaktion und Schadensbegrenzung nannten 40 Prozent der Befragten die fehlende Automatisierung (im Vergleich zu 38 Prozent insgesamt) und 34 Prozent das fehlende Budget (im Vergleich zu 28 Prozent insgesamt).

Schutzmaßnahmen gegen E-Mail-basierte Angriffe

E-Mail-basierte Cyberangriffe sind nach wie vor weit verbreitet und entwickeln sich ständig weiter. Unternehmen im Gesundheitswesen müssen daher über eine robuste E-Mail-Sicherheit verfügen. Diese sollte starke Authentifizierungskontrollen - mindestens Multifaktor-Authentifizierung, idealerweise aber in Richtung Zero-Trust-Maßnahmen - sowie eingeschränkten Zugriffsrechte, automatisierte Reaktion auf Vorfälle und KI-basierte Bedrohungserkennung und -überwachung beinhalten.

All dies sollte von einer kontinuierlichen Schulung und Sensibilisierung der Mitarbeiter begleitet werden, damit diese wissen, wie sie verdächtige Nachrichten erkennen und melden können.Idealerweise sollten diese E-Mail-Schutzmaßnahmen Teil einer integrierten Sicherheitsplattform sein, die dem IT-Team einen vollständigen Überblick über die gesamte IT-Umgebung verschafft und die Möglichkeit bietet, Vorfälle oder abnormale Verhaltensmuster, die auf unerwünschte Eindringlinge hinweisen könnten, zu erkennen, zu untersuchen und darauf zu reagieren.

Von Dr. Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks

Die Umfrage wurde im Auftrag von Barracuda von dem unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt. Befragt wurden IT-Fachleute von der ersten bis zur höchsten Führungsebene in Unternehmen mit 100 bis 2.500 Mitarbeitern aus verschiedenen Branchen in den USA sowie in EMEA- und APAC-Ländern. Die Stichprobe umfasste 62 Organisationen des Gesundheitswesens.