BSI-Report: Mehr Schwachstellen im Gesundheitssektor

In Krankenhäusern, Arztpraxen, Labors und beim Konsumenten finden sich für Angreifer attraktive Gesundheitsdaten. Der aktuelle Sicherheitsbericht des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zeigt, dass es Angreifer immer attraktiver finden, diese abzuschöpfen.

Seit mehreren Jahren verpflichten die „Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS) und die KRITIS-Gesetzgebungen Institutionen in elf Sektoren dazu, stärkere und präzisere Sicherheitsmaßnahmen anzuwenden – inklusive Meldepflichten, Risikoanalysen und Resilienz-Pläne. Das zeigt im Gesundheitssektor bereits Wirkung: Laut einer aktuellen BSI-Studie landet Healthcare im Jahr 2024 auf Platz zwei bei der Anzahl gemeldeter Datenlecks. Spätestens jetzt ist auch hier Zeit zum Handeln.

Jeder fünfte Vorfall kommt aus dem Healthcare-Sektor

Von den 726 im letzten Jahr beim BSI gemeldeten Vorfällen stammen gut ein Viertel aus dem Transport- und Verkehrssektor, über 19,5 % aber bereits aus der Gesundheitsbranche. Knapp dahinter: Energie (18,8 %) und Finanz- und Versicherungswesen mit 16,5 %. Die Bedrohungslage ist hoch, erst recht in Krankenhäusern und Einrichtungen des Healthcare-Sektors – auch wenn die Meldezahlen mit Vorsicht zu genießen sind. Ob beispielsweise Banken eine ebenso hohe Motivation bei der Meldung von Einbrüchen haben wie Krankenhäuser, erscheint da fraglich.

Dass Gesundheitsdaten im BSI-Report nur auf Platz acht der geleakten Daten landen, darf von der Gefährdung dagegen nicht ablenken. Zum einen sind dort die geleakten Daten der Statistik anhand der Häufigkeit sortiert, und fast alle häufiger geleakten Informationen kommen auch in anderen Kontexten vor (ausgenommen vielleicht die Sozialversicherungsnummer). Doch Bezahldaten, Namen und Adressen sind Daten, die für Angreifer prinzipiell viel attraktiver sein dürften, als die „nackten“ Gesundheitsdaten es sind.

Vorschriften des KRITIS-Dachgesetz

Derweil hat das Kabinett kurz vor Ende der Ampelkoalition noch das KRITIS-Dachgesetz auf den Weg gebracht. Anfang November einigte man sich auf die Details des Gesetzes, das als analoges Komplementär zu NIS2 eine Art schützendes Dach über verschiedene Sektoren spannen soll. Wann der Bundestag das Gesetz noch verabschiedet, ist derweil nicht klar.

Auch der Gesundheitssektor muss ein betriebliches Resilienzmanagement einführen, und dazu gehören die Einrichtung eines betrieblichen Risiko- und Krisenmanagements, die Durchführung von Risikoanalysen und -bewertungen, die Erstellung von Resilienzplänen und die Umsetzung geeigneter Maßnahmen (technisch, personell und organisatorisch) – alles gemessen und organsiert mit Hilfe von „Business Continuity Management“-Systemen (BCMS) und „Information Security Management“-Systemen (ISMS).

Gemessen werden BCMS und ISMS anhand von Reifegraden (von 1 bis 5; je höher, desto besser). Im angesprochenen BSI-Report zeigt sich deren Implementierung noch durchwachsen. Institutionen des Gesundheitswesens liegen im Mittelfeld. Die meisten haben ISMS und BCMS implementiert, aber nur wenige prüfen sie regelmäßig auf Effektivität oder verbessern sie.

Bei den vorgeschriebenen Systemen zur Angriffserkennung haben die meisten Akteure bereits mit der Umsetzung begonnen und die Muss-Bedingungen umgesetzt, nur ein kleiner Teil jedoch hat auch die Soll-Anforderungen etabliert. Einen kontinuierlichen Verbesserungsprozess haben hier nur die wenigsten.

Besondere Bedrohungen im Gesundheitssektor

Auch für Krankenhäuser, Arztpraxen und andere Institutionen gelten die gleichen Regeln und Erfahrungen: Das IT-Sicherheitsmagazin CSO online berichtet von 81 % mehr Ransomware-Angriffen in den letzten Jahren, wobei über 91 Prozent der „Malware-bezogenen Sicherheitsverletzungen“ 2024 mit Ransomware zu tun hatten. Dagegen, so CSO, schützen nur „Multi-Faktor-Authentifizierung und Erkennungs- und Reaktionstechnologien“, wie sie Greenbone mit seinem Schwachstellenmanagement anbietet. Davor sind auch Clouds nicht gefeit: 53 % der Administratoren im Gesundheitswesen geben gegenüber CSO an, „im letzten Jahr einen Cloud-bezogenen Datenverstoß erlebt“ zu haben. Zudem richten Angreifer ihren Fokus zunehmend auf Webseiten, Bot-Netze, Phishing-Aktivitäten und die wachsende Anzahl anfälliger IoT-Geräte, sowohl im Consumer-Bereich als auch an der Netzwerk-Peripherie (Edge).