Dieser Post ist Teil einer fortlaufenden Blog-Reihe, in der „Sichere Fakten“ (mit hoher Wahrscheinlichkeit eintreffende Vorhersagen) und „Vermutungen“ (mit geringerer Wahrscheinlichkeit eintreffende Vorhersagen) hinsichtlich der Cybersicherheit 2017 untersucht werden.  

Ransomware spielte im Bereich der Cybersicherheit 2016 eine große Rolle, was insbesondere im Gesundheitswesen zu spüren war. In diesem Blogpost treffe ich ein paar Vorhersagen zur Art der Bedrohungen, mit denen die Gesundheitsbranche 2017 zu tun haben wird.

Sichere Fakten

1. Das Gesundheitswesen wird weiterhin das Ziel von Ransomware-Angriffen sein.

Ich denke, dies ist offensichtlich. Viele Krankenhäuser waren im vergangenen Jahr Opfer von Ransomware. In den USA wurden insbesondere Krankenhäuser in Kalifornien, Indiana und Kentucky schwer von Ransomware-Varianten getroffen, die es auf Server anstatt auf Benutzer-PCs abgesehen hatten. Ein Krankenhaus in Washington musste sogar Patienten an andere Einrichtungen verweisen, um deren angemessene Gesundheitsversorgung sicherzustellen.

Cyberkriminelle haben Ransomware als bevorzugte Angriffsform für sich entdeckt, da die Bitcoin-Lösegeldzahlungen anonym erfolgen. Dieses Geschäftsmodell eignet sich hervorragend, um illegal und unerkannt an Geld zu gelangen. Das Gesundheitswesen ist ein interessantes Ziel, da als Angriffsvektor für die hocheffektive SAMSA-Ransomware-Variante nicht gepatchte JBOSS-Anwendungsserver in der DMZ (dem mit dem Internet verbundenen Bereich des Unternehmensnetzwerks) genutzt werden.  Krankenhäuser mit einer hohen Anzahl dieser Server werden in zunehmendem Maße erfolgreich angegriffen.

Mit etwas Glück ist dieses Wissen in ausreichendem Umfang zu den Gesundheitseinrichtungen vorgedrungen, sodass diese ihre JBOSS-Sicherheitslücken gepatcht oder zumindest reduziert haben. Der Trend ist jedoch noch nicht passé.  Angreifer werden das Gesundheitswesen auch 2017 nicht mit Ransomware-Angriffen verschonen. Gängige Angriffsbereiche werden weiterhin unbeabsichtigte webbasiert Downloads (Drive-by-Downloads), schädliche E-Mail-Anhänge oder -Links und nicht gepatchte Server in der DMZ sein.

2. Die versehentliche übermäßige Veröffentlichung von Informationen in SaaS-Apps wird zunehmen und zum Verlust von Patientendaten führen.

Medizinische Mitarbeiter verwenden für die Dateifreigabe bevorzugt cloudbasierte SaaS-Apps wie Box, Dropbox und Google Drive, da diese die Lücke der in vielen Gesundheitseinrichtungen fehlenden einfachen Dateifreigabe schließen. Das Problem bei den öffentlichen Versionen dieser Dienste ist jedoch, dass die Steuerung des Dateizugriffs den Benutzern überlassen ist. So kann es leicht vorkommen, dass eine Datei mit vertraulichen Patienteninformationen versehentlich mit der gesamten Internetöffentlichkeit geteilt wird. Enterprise-Versionen von Box bieten Administratoren beispielsweise die Möglichkeit, den öffentlichen Zugriff einzuschränken. Das Problem ist, dass viele Gesundheitseinrichtungen die kostenlosen öffentlichen Versionen nicht blockieren.

Ich habe 2016 einen Blogpost zum Thema SaaS-Sicherheit geschrieben, in dem ich verschiedene Empfehlungen zur Risikoreduzierung gebe. Solange Gesundheitseinrichtungen keine genehmigte Methode für die Dateifreigabe innerhalb und außerhalb ihres Unternehmens bereitstellen und nicht genehmigte Dateifreigabe-Websites nicht blockieren, werden wahrscheinlich weiterhin Patientendaten aufgrund von versehentlichen übermäßigen Veröffentlichungen verloren gehen.

Vermutungen

1. Eine Cyberattacke auf ein medizinisches Gerät wird erstmals nachweislich zu einer Verletzung eines Patienten führen.

Vielen der in Gesundheitseinrichtungen verwendeten medizinischen Geräte fehlt eine entsprechende Grundsicherheit. Medizinische Geräte besitzen häufig keinen Endpunktschutz. Auch werden keine regelmäßigen Patches durchgeführt, um veraltete Betriebssysteme wie Windows XP zu schützen. Dies macht sie zum beliebten Ziel für Malware- und Cyberattacken.

Es gab bisher nur eine einzige bestätigte FDA-Anweisung, ein spezielles medizinisches Gerät aus Krankenhäusern zu verbannen. Dass es nur den einen Fall gab, liegt vermutlich daran, dass das Problem nicht ausreichend erforscht und bewusst ist.  Der Grund für die mangelnde Erforschung ist, dass medizinische Geräte teuer sind und es keinen finanziellen Anreiz gibt, diese Art der Sicherheitsforschung zu betreiben, um deren Sicherheitslücken zu ermitteln und zu beheben.

Angreifer, die darin ein lukratives Geschäft sehen, nutzen Ransomware wegen der schnellen Bezahlung und der Anonymität. Es gibt jedoch auch solche, die einen Angriff einfach starten, „weil sie es können“. Für diese Hacker zählt der Spaßfaktor. Bisher wurden keine Fälle von Körperverletzung bei Patienten aufgrund einer Cyberattacke auf ein medizinisches Gerät bestätigt. Ich denke jedoch, dass es nur eine Frage der Zeit ist, bis ein Cyberkrimineller medizinische Geräte als den anfälligsten Bereich von Krankenhausnetzwerken nutzt, um zu beweisen, dass es möglich ist.

Wie sehen Ihre Prognosen zur Cybersicherheit im Gesundheitswesen aus? Teilen Sie Ihre Meinung mit uns und bleiben Sie auf dem Laufenden. In unserem nächsten Post dieser Reihe geht es um Vorhersagen für den Finanzsektor.