Letzte Woche warnte die US-Regierung vor Krankenhäusern in den USA wurden ins Visier genommen durch eine aggressive Ransomware-Kampagne, die seit 2021 aus Nordkorea stammt.
Ransomware-Hacks, bei denen Angreifer Computernetzwerke verschlüsseln und eine Zahlung verlangen, um sie wieder funktionsfähig zu machen, sind seit den 90er Jahren sowohl für den privaten als auch für den öffentlichen Sektor ein wachsendes Problem. Aber sie können in der Gesundheitsbranche besonders verheerend sein, wo selbst minutenlange Ausfallzeiten tödliche Folgen haben können und bedrohlich häufig geworden sind.
Laut einem Bericht des Cybersicherheitsunternehmens Sophos stieg die Zahl der Ransomware-Angriffe auf Gesundheitsorganisationen von 2021 auf 2022 um 94 %. Mehr als zwei Drittel der Gesundheitsorganisationen in den USA gaben an, im Jahr 2021 einen Ransomware-Angriff erlebt zu haben, heißt es in der Studie, gegenüber 34 % im Jahr 2020.
Ransomware-Angriffe auf das Gesundheitswesen sind in den USA besonders verbreitet, wobei 41 % dieser Angriffe weltweit im Jahr 2021 gegen in den USA ansässige Unternehmen verübt wurden.
„Die aktuellen Aussichten sind schrecklich“, sagte er Israel Barack, CISO von Cybereason. „Wir sehen, dass die Branche sowohl in der Quantität als auch in der Komplexität dieser Angriffe einen extrem starken Anstieg erlebt.“
Ransomware-Hacks haben zu erheblichen Störungen im Gesundheitswesen geführt, darunter verspätet Chemotherapiebehandlungen und Krankenwagen umgeleitet werden aus einer Notaufnahme in San Diego, nachdem Computersysteme eingefroren wurden. Im Jahr 2021 reichte eine Klage der Mutter eines Babys ein, das in Alabama starb angeblich der erste „Tod durch Ransomware“, der einen Hackerangriff auf ein Krankenhaus im Jahr 2019 für tödliche Hirnschäden des Neugeborenen verantwortlich machte, nachdem Herzfrequenzmesser ausgefallen waren.
Die möglicherweise verheerenden Folgen für medizinische Einrichtungen könnten einer der Gründe dafür sein, dass Hacker sie als hochkarätiges Ziel identifiziert haben. „Die staatlich geförderten Cyber-Akteure Nordkoreas gehen wahrscheinlich davon aus, dass Gesundheitsorganisationen bereit sind, Lösegeld zu zahlen, weil diese Organisationen Dienstleistungen erbringen, die für das Leben und die Gesundheit von Menschen von entscheidender Bedeutung sind“, heißt es in dem Gutachten der Cybersecurity and Infrastructure Security Agency (CISA).
CISA und andere raten Krankenhäusern davon ab, Lösegeld zu zahlen, aber die Anbieter haben oft das Gefühl, keine Wahl zu haben, sagte Barak. Im Jahr 2021 zahlten 61 % der Gesundheitsorganisationen, die einen Ransomware-Angriff erlitten, das Lösegeld – der höchste Prozentsatz aller Branchen.
„Wenn Leben auf dem Spiel stehen, macht das die Entscheidung sehr einfach“, sagte Barak. „Diese Angreifer haben medizinische Organisationen als sehr, sehr gute Ziele identifiziert, weil sie eher zahlen.“
Angriffe werden in der Regel von privaten Gruppen von Kriminellen durchgeführt, sagen Experten: Im dritten Quartal 2021 wurden laut einem Branchenbericht 30 % der Ransomware-Angriffe auf Gesundheitseinrichtungen von Conti durchgeführt, einem Verbrecherkonsortium, das vermutlich in Russland ansässig ist von der Cybersicherheitsfirma BreachQuest.
Aber der Nordkorea-Vorfall, der letzte Woche aufgedeckt wurde, ist nur der jüngste staatliche Akteur, der nach dem FBI Ransomware-Angriffe auf Gesundheitsorganisationen orchestriert aufgedeckt im Juni hatte sie einen Angriff aus dem Iran auf ein Bostoner Kinderkrankenhaus vereitelt.
Unterfinanzierte Krankenhäuser von Covid Squeeze betroffen
Die Gesundheitsbranche wurde von einem perfekten Sturm von Faktoren getroffen, die das Ransomware-Problem eskalieren ließen, sagen Experten: Patienteninformationen werden zunehmend digitalisiert, da Krankenhäuser mit kleinen Internet-Sicherheitsbudgets zu kämpfen haben.
Im Jahr 2009 verabschiedete die Obama-Regierung ein Gesetz, das alle öffentlichen und privaten Gesundheitsdienstleister verpflichtet, bis 2014 elektronische Patientenakten einzuführen, was zu einer massiven Migration von Patientenakten in Papierform zu Online-Systemen führte. Aber heute konzentrieren sich nur 4-7 % des jährlichen IT-Budgets eines durchschnittlichen Gesundheitsdienstleisters auf Cybersicherheit, so die BreachQuest-Studie.
„Gesundheitsdienstleister haben in sehr kurzer Zeit eine massive digitale Transformation durchlaufen“, sagte Hank Schless, Senior Security Expert bei der Cybersecurity-Firma Achtung.
Der Schritt wurde durch die Pandemie beschleunigt, fügte er hinzu, da immer mehr Anbieter auf Telemedizin umstellten, um während der Sperrung mit Patienten in Kontakt zu treten, und das Krankenhauspersonal durch den Zustrom kranker und sterbender Patienten ausgedünnt wurde.
CISA hat Gesundheitseinrichtungen einen „3-2-1-Backup-Ansatz“ empfohlen, einschließlich der Speicherung von drei Kopien jedes Datentyps in zwei verschiedenen Formaten, darunter eine Offline-Kopie. Aber die Beratung der Agentur für Krankenhäuser ist „etwas wenig hilfreich“, sagte Vincent Berk, Chief Security Officer bei der Cybersicherheitsfirma Quantum Xchange, und gab allgemeine Empfehlungen zur Sicherung von Daten mit wenig klarem Weg dahin ab.
„Das Problem bei diesem Angriff und jedem anderen Ransomware-Angriff ist, dass es kein Gegenmittel gibt“, sagte er. „Mit anderen Worten, wenn es passiert, ist es bereits zu spät.“
Der Gesetzgeber versucht, diese Lücken zu schließen. Im Mai leitete Senatorin Patty Murray aus Washington eine Anhörung zur Stärkung der Cybersicherheit im Gesundheits- und Bildungssektor und sagte, dass die USA „Cybersicherheitsangriffe angehen und sicherstellen müssen, dass sie wie die nationale Sicherheitsbedrohung behandelt werden, die sie sind“.
„Diese Art von Herausforderungen verursachen nicht nur große Kopfschmerzen, Gerichtsverfahren und Ausgaben für Krankenhäuser“, sagte sie. „Sie bringen Patienten in Gefahr. Sie untergraben unsere nationale Sicherheit. Und in manchen Fällen kosten sie sogar Menschenleben.“
Im März 2022 der Senat eingeführt ein überparteilicher Gesetzentwurf mit dem Namen Healthcare Cybersecurity Act, der die CISA und das Department of Health and Human Services (HHS) anweisen würde, an einem Plan zur Stärkung der Cybersicherheitsmaßnahmen bei Organisationen des Gesundheitswesens und des öffentlichen Gesundheitswesens zusammenzuarbeiten.
Diese Maßnahmen würden Cybersicherheitsschulungen für Mitarbeiter von Gesundheitsorganisationen umfassen und Studien von CISA genehmigen, um Risiken in der Branche zu identifizieren. Es ist unklar, wann über das Gesetz abgestimmt werden soll, aber Experten sagen, dass eine solche Gesetzgebung dringender denn je ist.
„Im Moment gibt es keine Abschreckung“, sagte Barak. „Bis wir einen effektiveren Weg finden, dieses Problem anzugehen, fürchte ich, sehen die Aussichten nicht gut aus.“