Die Welt des Gesundheitswesens im Angesicht von Cyberangriffen

Der Gesundheitssektor ist in letzter Zeit mehrfachen Angriffen ausgesetzt. Diese Anfälligkeit lässt sich durch eine beispiellose Modernisierung erklären. Bei diesem rasanten Umbruch müssen die Integration digitaler Technologien, vernetzter Objekte, die Einführung von 5G, Robotik usw. berücksichtigt werden. Meist erfolgte diese Integration jedoch überstürzt und ohne Sicherheitsvorkehrungen. Cyberkriminelle sahen darin einen Königsweg zu wertvollen Daten : medizinische Informationen, Sozialversicherungsnummern, Adressen, Krankengeschichten von Patienten und Angehörigen der Gesundheitsberufe…

Der Gesundheitssektor war bislang das Stiefkind der Digitalisierung, dieser Sektor befindet sich heute mitten in der digitalen Transformation. Die Digitalisierung der Patientenreise und die Pandemie haben nicht dazu beigetragen, diese Transformation reibungslos zu gewährleisten, und Cyberkriminelle haben die Dringlichkeit der Situation ausgenutzt, um diese leichte Beute anzugreifen.

Lassen Sie uns einen Blick auf die Herausforderungen und Bedrohungen werfen, denen dieser Sektor ausgesetzt ist.

Inhaltsverzeichnis

Was sind die prioritäten

Seit 2021 wird jede Woche eine Gesundheitseinrichtung Opfer eines Cyberangriffs

Olivier Véran - Ministerin für Gesundheit

Warum wird das Gesundheitswesen häufig von Cyberangriffen heimgesucht? Die Anfälligkeit der IT-Systeme in diesem Sektor, geringe Budgets, mangelndes Bewusstsein und Zeitmangel können Gründe für diesen wachsenden kriminellen Markt sein.

Budgetäre priorisierung

Die jüngsten sozialen Bewegungen und die Pandemie haben den offensichtlichen Mangel an Finanzmitteln im Gesundheitssektor aufgezeigt. Die Budgets, die allgemein und insbesondere für die Cybersicherheit bereitgestellt werden, sind nach wie vor unzureichend.

Ein Cyberangriff würde die bereits komplexe Situation in einigen Krankenhäusern nur noch verschlimmern. Diese Einrichtungen haben kein Recht auf Stillstand, jede Sekunde kann für einen Patienten lebenswichtig sein. Die Cyberkriminellen sind sich dessen bewusst und wissen, dass dies einen zusätzlichen Druck auf die Krankenhäuser ausüben wird, Lösegeld zu zahlen.

Darüber hinaus verwaltet jedes Krankenhaus seine Cybersicherheit auf nicht einheitliche Weise von einer Struktur zur anderen. Die Mittel unterscheiden sich ebenso wie die verfolgte Sicherheitspolitik. Es besteht ein echter Bedarf an Harmonisierung. Die französische Regierung will dabei helfen, indem sie ein Budget von 2 Milliarden Euro für die digitale Wirtschaft bereitstellt, um das Defizit zu beheben. Der Hauptschwerpunkt ist „die Unterstützung der Einführung von Cybersicherheit durch kleine und mittlere Strukturen, darunter Krankenhäuser und Gebietskörperschaften, die Stärkung der Ausbildung und die Verdoppelung der Zahl der Arbeitsplätze in diesem Sektor bis 2025“ (E. MACRON).

Zu diesem Defizit kommt hinzu, dass kein oder nur ein unzureichendes Budget für Humanressourcen und insbesondere für die sogenannten „Supportfunktionen“ zur Verfügung steht. Dabei ist es wichtig, Profile zu haben, die Experten sind und sich dem Beruf der Cybersicherheit widmen. Aber Talente sind teuer und der Mangel an solchen Profilen ist nicht hilfreich.

Notwendigkeit, die Ausbildung zu beschleunigen

Cyberangreifer zielen vor allem auf menschliche Schwachstellen ab, und auch das Gesundheitswesen ist davon nicht ausgenommen. Laut einer Umfrage unseres Partners Proofpoint[1] „sehen 58% der CISOs den menschlichen Faktor als ihre größte Cyber-Schwachstelle an.

Die berühmten VAPs, „Very Attacked People“, die in diesem Sektor als Zielpersonen in Frage kommen, sind: ehemalige Studenten, Professoren an Universitätskliniken, Finanzabteilungen von Krankenversicherern, klinisches Personal, Führungskräfte und Direktoren. Es ist wichtig, dass diese Zielgruppe die Rolle erkennt, die sie beim Datenschutz spielt, und das geht nur über eine Sensibilisierung, auf die wir später eingehen werden.

Zeitbedarf

Zweifellos ist der Notfall eine Konstante in diesem Sektor. Die Covid-Krise hat diesen Ausnahmezustand, die Arbeit unter Druck und den Zeitmangel verdeutlicht. Die Mitarbeiter müssen schnell und gut reagieren. Auch Cyberkriminelle wissen das, und das medizinische Personal wird ein Opfer davon.

Technologische Transformation Notwendig

Das Gesundheitswesen befindet sich in einem technologischen Wandel. Technologie bedeutet auch Sicherheit. Die IT-Strukturen dieser Organisationen sind jedoch meist veraltet, nicht an die Standards und die Sicherheit angepasst und werden so zu einem Eldorado für Sicherheitslücken und Kriminelle, die sich darin verfangen.

Was IOTs betrifft, „machen IV-Pumpen (intravenöse Infusionen) 38% des IoT-Fußabdrucks eines Krankenhauses aus und (…) 73% dieser Pumpen weisen mindestens eine Schwachstelle auf“. Die Aktualisierung der Geräte ist entscheidend und alle müssen sich in einem isolierten Netzwerk befinden. Laut einer Studie von Cynerio[2] , stellen 53% der IOTs ein Cybersicherheitsrisiko dar, da sie auf veralteten Versionen von Windows oder Linux laufen, die keine Updates erhalten haben. Diese vernetzten medizinischen Geräte bedürfen erhöhter Aufmerksamkeit. Es stellt sich natürlich die Frage, was passieren würde, wenn morgen ein Operationsroboter unter der Kontrolle eines Angreifers stünde.

Die Ausweitung der Angriffsfläche spielt ebenfalls eine wichtige Rolle bei der Vervielfachung der Risiken. Wir haben gerade die Auswirkungen von IOT gesehen, aber auch die gesundheitsbezogenen Dienstleistungen haben sich vervielfacht: die Entwicklung von Telehealth, Telemedizin, medizinischer Fernüberwachung, Terminvereinbarungsplattformen oder Chatbots… und nicht zu vergessen, die Leistungen von Drittdiensten.

Die Komplexität der Lieferkette in diesem Sektor schafft neue Perspektiven für Cyberkriminelle auf der Suche nach Schwachstellen. Denn externe Organisationen, medizinische Analysepraxen, soziale Einrichtungen, die Rechnungs- und Versicherungsabteilung, all dieses Ökosystem ist miteinander verbunden und schafft eine Vergrößerung des Angriffsperimeters. Die gesamte Kette muss von Anfang bis Ende gesichert werden, und das ist eine echte Herausforderung.

Die Komplexität der Infrastruktur spielt ebenfalls eine Rolle, denn bei mancher Software für das Gesundheitswesen verlangen die Hersteller, dass kein Antivirenprogramm eingesetzt wird oder dass es deaktiviert wird, da sonst die Wartung nicht gewährleistet werden kann.

Die Schwierigkeit, alle angeschlossenen Geräte zu erfassen, stellt eine weitere Schwierigkeit dar, die TEHTRIS sehr wohl kennt. Aus diesem Grund bieten unsere Lösungen den CIOs eine neue Sichtbarkeit und ermöglichen es, die Ausstellungsfläche zu reduzieren.

Die Anhäufung dieser Mängel, zusammen mit all den neuen Technologien und Umgebungen, macht die IT-Infrastruktur komplexer und schwächt die Sicherheit in diesem Sektor.

Gesundheit und Cyberangriffe: Was sind die Bedrohungen?

Phishing

Angriffe durch phishing sind sehr häufig und besonders im Gesundheitssektor anzutreffen, und die Pandemie hat nicht geholfen. Im Mai 2020 entdeckten Sicherheitsforscher „über 300 Kampagnen zum Thema COVID-19, die online verbreitet wurden“[3] . Ziel ist es, den Betrieb von Einrichtungen zu stören und Daten zu stehlen. Cyberkriminelle passen sich den aktuellen Ereignissen an. So wurden zahlreiche Websites von Gesundheitsorganisationen nachgeahmt, wie etwa von Nichtregierungsorganisationen (NGOs), der Weltgesundheitsorganisation (WHO), dem Internal Revenue Service (IRS), Centers for Disease Control (CDC)…

Example of Phishing with a fraudulent email impersonating the British government
Beispiel für Phishing mit einer betrügerischen E-Mail, die die Identität der britischen Regierung vortäuscht
Example of Phishing with an email impersonating the World Health Organization
Beispiel für Phishing mit einer E-Mail, die die Identität der World Health Organization vortäuscht

Diese Angriffe sind äußerst effektiv und besonders in diesem Umfeld, in dem Notfälle herrschen und Manipulationen leicht möglich sind. Diese Angriffe über Social Engineering zielen darauf ab, die Benutzer (Krankenschwestern, Ärzte, vertrauenswürdige Dritte usw.), die immer mehr unter Druck stehen und weniger aufmerksam sind, zu täuschen, um an Informationen, Geld oder Zugang zum IS zu gelangen.

Das Universitätsklinikum Montpellier, wurde im März 2019 Opfer von Phishing, insgesamt waren mehr als 649 Computer betroffen, glücklicherweise wurde das WLAN-Netzwerk nicht infiziert und ermöglichte es dem Pflegepersonal, die medizinischen Handlungen fortzusetzen.

Die Art des DNS-Angriffs (Domain Name System) wie Phishing ist der häufigste Angriff in diesem Bereich. TEHTRIS, unsere DNS FW ist eine Sicherheitslösung, die DNS-Auflösungsanfragen sammelt und analysiert, um Anfragen, die mit verdächtigen oder bösartigen Domains in Verbindung stehen, zu löschen oder umzuleiten.

So schützt er Sie vor externen und internen Bedrohungen.

Ransomware

Einige Zahlen zu Ransomware und ihrem Bezug zum Gesundheitswesen

Eine der häufigsten Bedrohungen für Organisationen des Gesundheitswesens wie Krankenhäuser ist Ransomware.

Im Falle eines Angriffs werden alle lebenswichtigen Systeme kompromittiert: vom IS, über das Kommunikationssystem, aber auch die Hardware, wie Scanner, MRTs, Infusionspumpen etc. Das gesamte System wird innerhalb von Sekunden lahmgelegt und das Leben der Patienten steht auf dem Spiel. Dies war insbesondere in Deutschland der Fall, wo eine Patientin im September 2020 starb, weil eine Notoperation aufgrund von Ransomware nicht durchgeführt werden konnte.

Wir alle erinnern uns an den Wannacry-Angriff, der das öffentliche Gesundheitssystem in Großbritannien schwer getroffen hat. Auch Frankreich ist ein Opfer, wie die Krankenhäuser in Villefranche-sur-Saône und Dax, die im Februar 2021 durch einen Cyberangriff lahmgelegt wurden. Das Krankenhaus in Saint-Gaudens musste seine IT-Abteilung im April 2021 nach einer Ransomware schließen.

Nicht nur Krankenhäuser sind Opfer, sondern auch Patienten, wie ein Fall in Finnland zeigt. Im Oktober 2020 wurde das Unternehmen Vastaamo, das 25 Psychotherapiezentren betreibt, Opfer eines erpresserischen Diebstahls von Patientenakten, die veröffentlicht wurden. Die Patienten hatten nämlich E-Mails erhalten, in denen sie 200 Euro in Bitcoin verlangten, um die Veröffentlichung der Daten zu verhindern.

Datenklau

Die schwache IS-Infrastruktur erklärt die Zunahme von Angriffen, aber man darf einen anderen Faktor nicht vergessen, der für Kriminelle interessant ist: die Fülle an Daten. Krankenhäuser verwalten Informationen, die für Angreifer interessant sind. Sie verfügen über sensible Informationen wie persönliche Daten, Sozialversicherungsnummern, Informationen über geistiges Eigentum, Forschungsunterlagen, Login-Daten usw. Cyberkriminelle sind scharf auf diese Daten, nähren damit die Industriespionage, ermöglichen den Weiterverkauf an Versicherungsgesellschaften, auf dem Darkweb-Markt usw. Die Daten werden auch von den Behörden genutzt.

Eine Krankenakte kann auf dem Schwarzmarkt bis zu 350 $ wert sein - 50 Mal mehr als eine Bankakte, 2,5 Mal mehr als der weltweite Durchschnitt für andere Dokumente[4]

Im März 2020 wurde die Assistance Publique Hôpitaux de Paris (APHP) angegriffen. Die Daten von 1,4 Millionen Personen, die einen Covid-19-Test durchführen wollten, wurden kompromittiert. Zu den Daten gehörten: Vor- und Nachname, Geburtsdatum, Geschlecht, Sozialversicherungsnummer, Postanschrift, E-Mail-Adresse oder Telefonnummer und das Testergebnis.

DDOS

Denial-of-Service-Angriffe sind ebenso verheerend wie Ransomware. Ein Ausfall des Dienstes, selbst wenn er nur für eine begrenzte Zeit erfolgt, kann besonders in chirurgischen Abteilungen verheerende Folgen haben. Einige Krankenhäuser, die von einem solchen Angriff betroffen waren, mussten ihre Patienten notfallmäßig verlegen. Dies war im Jahr 2020 im Universitätskrankenhaus Brno in der Tschechischen Republik der Fall. Das Krankenhaus war gezwungen, während des Vorfalls sein gesamtes Computernetzwerk abzuschalten.

DDOS-Angriffe in diesem Umfeld sind in der Regel gezielt und sollen einen zweiten Angriff vertuschen. Es gilt also, wachsam zu bleiben. Auch wenn die Computer eines Anbieters kompromittiert werden, können sie Teil eines Botnets sein. Auch hier ist Wachsamkeit geboten, da die Leistung des Dienstes im lokalen Netzwerk verlangsamt wird.

TEHTRIS Angebot

Sowohl der Gesundheitssektor als auch industrielle Systeme benötigen spezielle Cybersicherheitslösungen. Wie wir gesehen haben, ist das Einspielen von Patches bei IoT-Geräten aus verschiedenen Gründen kompliziert: zum einen wegen ihrer Herkunft – es kann sich um proprietäre Software handeln oder um Software von verschiedenen Anbietern – und zum anderen wegen der „Imperative“ der Produktion, bei der Leben auf dem Spiel stehen. Eine Unterbrechung der Produktion zum Patchen ist nicht denkbar. Die Technologie muss sich an diese Netzwerke anpassen.

TEHTRIS hat das verstanden und bietet angepasste Sicherheitslösungen an. Wir gewährleisten die Sicherheit von Krankenhäusern in Europa sowie von öffentlichen Verwaltungen im Gesundheitssektor. Darüber hinaus haben wir seit der Gründung des Unternehmens Erfahrung in der Industrie und im OT-Bereich und sind daher in der Lage, die Erwartungen dieses speziellen Sektors zu erfüllen.

 Die XDR-Lösung von TEHTRIS ermöglicht diese Anpassung.

  • ist EDR eine ideale Lösung, da diese Technologie entweder allein zur Erkennung oder zur Behebung von Problemen eingesetzt werden kann. Die Lösung kann je nach der Kritikalität der Geräte wie Server, Computer, Drucker oder Telefone konfiguriert werden. Sie ermöglicht es, alle möglichen Bedrohungen im Blick zu haben: Ransomware kann automatisch behoben, Eindringlinge erkannt werden. Angesichts einer bestimmten Bedrohung sind wir in der Lage, den Schutz auf IoC, …. zu verstärken. Darüber hinaus ermöglichen alle EDR-Module eine Verwaltung entlang der gesamten Kette (Aktualisierung mit dem Audit-Modul, Erkennung von Schatten-IT…).

  • unser SIEM überwacht die betrieblichen Aktivitäten und hilft, alles Ungewöhnliche zu erkennen. Unsere hyperautomatisierten Lösungen ohne menschliches Eingreifen sind eine Garantie für die Effizienz von Teams, die bereits unter Stress stehen. Unser Angebot bietet Schutz auf Asset-Ebene und Remediation mithilfe von maschinellem Lernen – und das alles ohne Beeinträchtigung des Gesundheitswesens, des Empfangs und der Patientenversorgung. Es ist unsere Lösung, die sich an Ihre Infrastruktur anpasst.

  • TEHTRIS Deceptive Response, unser Honeypot, ermöglicht es, bösartige Aktivitäten in einem Subnetz vom Typ Netzwerk-Scan zu erkennen. Wenn also ein Rechner infiziert ist, besteht der erste Reflex des Angreifers darin, das Netzwerk zu scannen und sich um dieses herum anzumelden (um dann zu schwenken und den Angriff fortzusetzen). Dank des Honeypots wissen die Verteidigerteams jedoch sofort, ob ein Rechner versucht hat, das Netzwerk zu scannen oder anzugreifen. Der Angriff kann sofort verhindert werden.
  •  

[1] Proofpoint, Bedrohungslandschaft im Gesundheitswesen.2020

[2] Cynerio stellt IoT-Systeme für das Gesundheitswesen her und hat über 10 Millionen medizinische Geräte analysiert.

[3] https://www.proofpoint.com/uk/blog/threat-insight/ready-made-covid-19-themed-phishing-templates-copy-government-websites-worldwide

[4] Umfrage von Eurogroup Consulting. August 2021.

Cyber or not Cyber ?

Abonnieren Sie den TEHTRIS-Newsletter.

Abonnieren Sie den TEHTRIS-Newsletter, um einmal im Monat über die neuesten Entwicklungen im Internet informiert zu werden.

To explore the subject

Similar publications

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.