Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat ihren ersten Bericht zu Cyberbedrohungen im Gesundheitssektor veröffentlicht. Dafür wurden 215 öffentlich gemeldeten Vorfällen in der EU und den Nachbarländern Norwegen, Schweiz und UK im Zeitraum Januar 2021 bis März 2023 untersucht. Wobei die ENISA angemerkt, dass die Datengrundlage nur die medial bekannt gewordenen Vorfälle umfasst. Generell sind Gesundheitsorganisationen in der EU nach der NIS-Richtlinie verpflichtet, Cybersicherheitsvorfälle mit erheblichen Auswirkungen an die nationalen Behörden zu melden.

ENISA Die ENISA (European Union Agency for Cybersecurity) wurde 2004 als Agentur der EU gegründet, sie setzt sich für einen gemeinsamen hohen Level an Cybersecurity in ganz Europa, das Ziel ist eine hochgradige Netz- und Informationssicherheit in der EU zu schaffen. Im Bereich der NIS-2-Richtlinie soll die ENISA zum Beispiel ein EU-weites Register aller unter die Richtlinie fallender Einrichtungen im Bereich digitale Infrastruktur führen.

Von den 215 Fällen waren 208 Cyberattacken, dazu kommen fünf Berichte zu gefundenen Schwachstellen und zwei Warnungen zu potenziellen Aktivitäten mit Auswirkungen auf den Gesundheitssektor.

Karte mit beobachteten Vorfällen in der EU: Je größer der Kreis, desto mehr Zwischenfälle gab es in dem jeweiligen Land. (Bild: ENISA)

Hauptangriffsziele waren auf Platz 1 Krankenhäuser, gefolgt von Gesundheitsbehörden-/organisationen/-agenturen, der pharmazeutischen Industrie, Gesundheitsforschung und Gesundheitsdienstleistern und -zulieferern.

Angriffe nach Art der medizinischen Einrichtung (Bild: ENISA)

Die Zahl der jährlichen Ransomware-Vorfälle steigt seit 2021 stetig an. Diese Steigerung betrifft nicht nur den Gesundheitsbereich, sondern auch andere Sektoren – Ransomware ist überall auf dem Vormarsch, der Trend zeigt nach oben (ENISA Threat Landscape 2022).

Ein Vorfall kann in mehr als eine Bedrohungskategorie kategorisiert werden. Beispielsweise kann der Angriffsvektor für den Erstzugriff eine Phishing-E-Mai sein (Social Engineering), gefolgt von einer Kompromittierung mit Ransomware, bei der im Nachgang gestohlene Daten geleakt werden. (Bild: ENISA)

Bedrohungen gegen Daten umfassen nicht nur vorsätzliche Angriffe, um Daten zu erlangen (Data Breach), sondern auch Datenlecks. Ein Datenleck kann zum Beispiel durch eine Fehlkonfiguration oder Schwachstelle oder menschliche Fehler dazu führen, dass unbeabsichtigt Daten freigegeben werden oder in Umlauf geraten. Neben Ransomware erhöhte sich im Berichtszeitraum auch die Zahl der DDoS-Angriffe gegen Gesundheitsorganisationen. Der Großteil dieser DDoS-Angriffe ereignete sich im Jahr 2023.

Aufteilung der Täter und ihre Motive (Bild: ENISA)

Die meisten Angriffe gehen von finanziell motivierten Cyberkriminellen aus. Gesundheitsdaten sind als höchst sensible persönliche Daten eine wertvolle Beute für die Täter. Oft drohen sie mit der Veröffentlichung der Daten bei Nichtzahlung eines Lösegelds und erpressen damit nicht nur Gesundheitsorganisationen, sondern auch Patienten. Der ENISA-Bericht stellt einige der Tätergruppen kurz dar, vergisst jedoch relevante Ransomware-Gruppen, die sich auf den Gesundheitsbereich spezialisiert haben und vor deren Gefahr für Gesundheitseinrichtungen öffentlich eindringlich im Berichtszeitraum gewarnt wurde – etwa die Warnung des US-Gesundheitsministeriums vor der Gruppe Royal.

Herausforderung IT-Sicherheit bei Medizinprodukten

Als Herausforderung für die Zukunft nennt der Bericht den Umgang mit Schwachstellen in Medizinprodukten und ihre potenziellen Auswirkungen auf die Patientensicherheit und den Datenschutz. Gerade im Gesundheitswesen werden öfter noch proprietäre Software und nicht gepatchte Systeme eingesetzt, die Krankenhaus-IT muss auf den Prüfstand. Der Bericht weist auf bestehende gesetzliche Regelungen zur IT-Sicherheit hin und schließt mit einigen Schlüsselempfehlungen für die Gesundheitsbranche in Form von "Cyber-Hygienepraktiken":

Aufklärung und Schulung des Personals

regelmäßige Schwachstellen-Scans

die Systeme und Programme auf dem aktuellen Stand halten (Update und Patches einspielen, eine Backup-Strategie umsetzen)

geeignete sichere Authentifikation bei Fernzugriffen einsetzen

Notfallpläne für verschiedene Situationen vorhalten und weiterentwickeln

das richtige Verhalten in Notfällen üben.

Das Engagement von Führungskräften beziehungsweise der Geschäftsleitung in Sachen Cybersicherheit sei dem Bericht zufolge "ein Schlüsselelement": Das Wissen um die Lage und Entwicklungen der Cyberbedrohungen, die (rechtlichen) Anforderungen und notwendigen Maßnahmen sind von entscheidender Bedeutung, um Angriffe abzuwehren oder zu überstehen.

Im Juli haben die neue BSI-Präsidentin Claudia Plattner und der BKA-Präsident Holger Münch jeweils auf die Gefahr von Cyber-Angriffen auf das Gesundheitswesen hingewiesen. Laut Münch zielen Cyberkriminelle häufiger als früher auf öffentliche Verwaltungen, Hochschulen und Arztpraxen – was "massive Auswirkungen" haben könnte. Claudia Plattner erklärte anlässlich ihres Amtsantritts: "Wir sind angewiesen auf funktionierende kritische Infrastrukturen wie im Bereich der Energie- oder Gesundheitsversorgung und dem Finanzsystem oder aber auch der öffentlichen Verwaltung". Auch ihr Vorgänger, Arne Schönbohm, hatte schon 2021 vor Cyberangriffen auf Krankenhäuser und die medizinische Infrastruktur gewarnt.

Wie dringlich eine Verbesserung der Sicherheitslage im digitalisierten Gesundheitswesen weltweit ist, zeigen verschiedene Beispiele aus der jüngsten Vergangenheit. Am 5. Juli 2023 wurde bekannt, dass beim HCA Healthcare eine Datenbank gestohlen wurde, die "möglicherweise" Informationen zu ungefähr 11 Millionen Patienten in den USA enthält. HCA Healthcare ist dort einer der größten Betreiber von Gesundheitseinrichtungen (Krankenhäuser und Pflegeeinrichtungen). Für die 14 GB große Datenbank zeigten sich in speziellen Foren bereits Kaufinteressenten, wie Bleeping Computer berichtet.

Angriff auf britisches Gesundheitssystem

Am 30. Juni 2023 hatte sich eine Ransomware-Gruppe mit einem Angriff auf den Barts Health NHS Trust Fund in England gebrüstet. Ein NHS Trust ist eine Organisationseinheit innerhalb des Gesundheitssystems von England und Wales, die im Allgemeinen entweder einem geografischen Gebiet oder einer spezialisierten Funktion (wie einem Rettungsdienst) dient. In einer bestimmten Region können mehrere Trusts an den verschiedenen Aspekten der Gesundheitsversorgung der lokalen Bevölkerung beteiligt sein. Der National Health Service in England und Wales verfügt über mehr als 200 Trusts, die medizinischen Dienstleistungen verwalten und bereitstellen und als gemeinnützige Organisationen im britischen Gesundheitssystem fungieren. Der Barts Trust verwaltet fünf Krankenhäuser in London, die über 2,5 Millionen Menschen betreuen. Derzeit überprüft der Barts Health NHS Trust die Behauptungen der Kriminellen – die strafrechtlichen Ermittlungen der Behörden und Untersuchungen der IT-Systeme zu den beiden genannten Vorfällen laufen.

Die Täter behaupten, diverse interne Dokumente von Mitarbeitern erbeutet zu haben. Sie drohen mit der Veröffentlichung der gestohlenen Daten im Umfang von 7 TB. Im März 2023 hatte die Ransomware-Gruppe, die hinter dem Barts-Health-NHS-Trust-Vorfall steckt, skrupellos gestohlene Nacktbilder von Krebspatientinnen aus einem Gesundheitsnetzwerk veröffentlicht. Und auch, wenn keine Daten gestohlen werden, kann ein Cyber-Angriff an einer neuralgischen Stelle zu einem wochenlangen Ausfall und Störungen im Gesundheitssystem sorgen, wie unlängst in Deutschland bei einem wichtigen IT-Dienstleister für Krankenhäuser. Erst kürzlich kam es infolge eines Cyberangriffs zu einer endgültigen Schließung von Gesundheitseinrichtungen und damit dem vorübergehenden Ende von medizinischen Dienstleistungen.

(mack)