Cyberangriffe durch Advanced Persistent Threats (APTs) stellen eine enorme Gefahr für das Gesundheitswesen dar und sind aus mehreren Gründen schwer abzuwehren.
Laut einer Studie von Sophos erreichten Ransomware-Angriffe auf Gesundheitseinrichtungen 2024 ein Vier-Jahres-Hoch, wobei 67% der befragten Organisationen betroffen waren[4]. Die Komplexität und Schwere der Angriffe nehmen zu, was sich in längeren Wiederherstellungszeiten widerspiegelt. Nur 22% der Opfer konnten sich 2024 innerhalb einer Woche erholen, verglichen mit 47% im Vorjahr[4].
Ein Hauptgrund für die Verwundbarkeit des Gesundheitssektors ist die zunehmende Digitalisierung und Vernetzung medizinischer Geräte und Systeme. Moderne Herzimplantate beispielsweise übertragen kabellos Informationen, was zwar die Patientenversorgung verbessert, aber auch neue Angriffsvektoren schafft[1]. Ein erfolgreicher Hack könnte im schlimmsten Fall zum Tod eines Patienten führen.
Die Abhängigkeit von digitalen Systemen macht Krankenhäuser zu attraktiven Zielen für Cyberkriminelle. Bei einem Ausfall netzwerkgesteuerter Infusionspumpen oder digitaler Patientenakten steht die Patientenversorgung unmittelbar auf dem Spiel[2]. Dies erhöht den Druck auf Einrichtungen, Lösegeldforderungen nachzugeben.
Die finanziellen Auswirkungen sind ebenfalls erheblich. Die durchschnittlichen Wiederherstellungskosten nach einem Ransomware-Angriff im Gesundheitswesen stiegen 2024 auf 2,57 Millionen US-Dollar, verglichen mit 2,2 Millionen US-Dollar im Vorjahr[4].
Besonders besorgniserregend ist, dass Cyberangriffe direkte Auswirkungen auf die Patientenversorgung haben. Eine Studie von Proofpoint ergab, dass 28% der befragten Gesundheitseinrichtungen nach Cyberangriffen einen Anstieg der Sterberate bei Patienten verzeichneten[1]. Ein konkretes Beispiel hierfür ist der Angriff auf das Universitätsklinikum Düsseldorf im September 2020, bei dem eine Patientin aufgrund der blockierten Notfallversorgung in ein weiter entferntes Krankenhaus verlegt werden musste und später verstarb[2].
Die Abwehr von APT-Angriffen wird zusätzlich erschwert durch den Mangel an IT-Sicherheitsressourcen und -expertise in vielen Gesundheitseinrichtungen. Eine Studie des BSI zeigte, dass nur ein Drittel der befragten Arztpraxen alle vorgegebenen IT-Sicherheitsmaßnahmen vollständig umgesetzt hatte[8]. Zudem wurden in allen untersuchten Praxen schwerwiegende Sicherheitsmängel festgestellt, wie unzureichender Schutz vor Schadsoftware und fehlende Datenverschlüsselung[8].
Ein weiterer Faktor ist die Zunahme von Supply-Chain-Angriffen, bei denen Cyberkriminelle Dienstleister oder Zulieferer von Gesundheitseinrichtungen ins Visier nehmen. Das BSI berichtet, dass bei rund 20% der gemeldeten Vorfälle im Gesundheitswesen solche indirekten Angriffe eine Rolle spielten[6].
Die steigende Zahl und Komplexität der Angriffe, kombiniert mit der kritischen Natur der betroffenen Systeme und Daten sowie den oft unzureichenden Sicherheitsmaßnahmen, machen APT-Angriffe im Gesundheitswesen zu einer besonders gefährlichen und schwer abzuwehrenden Bedrohung.
Quellen:
[1] Cyberangriffe auf das Gesundheitswesen bedrohen Leben der … https://medlabportal.de/cyberangriffe-auf-das-gesundheitswesen-bedrohen-leben-der-patienten/
[2] Warum Krankenhäuser zunehmend ins Visier von Cyberkriminellen … https://www.secion.de/de/blog/blog-details/steigende-risiken-auf-dem-op-tisch-warum-krankenhaeuser-zunehmend-ins-visier-von-cyberkriminellen-ruecken
[3] Sophos-Ransomware-Studie – Vier-Jahres-Hoch im … – Netzpalaver https://netzpalaver.de/2024/09/25/sophos-ransomware-studie-vier-jahres-hoch-im-gesundheitswesen/
[4] Ransomware-Angriffe im Gesundheitswesen auf Vier-Jahres-Hoch https://www.connect-professional.de/security/ransomware-angriffe-im-gesundheitswesen-auf-vier-jahres-hoch.331419.html
[5] Zahlreiche Cyberattacken auf Krankenhäuser – Deutscher Bundestag https://www.bundestag.de/presse/hib/kurzmeldungen-997350
[6] Gefahr von Cyberattacken im Gesundheitswesen steigt https://www.aerzteblatt.de/nachrichten/147043/Gefahr-von-Cyberattacken-im-Gesundheitswesen-steigt
[7] Cyberangriffe im Gesundheitswesen: Gefahren und … https://www.aerzteblatt.de/archiv/235298/Cyberangriffe-im-Gesundheitswesen-Gefahren-und-Gegenmassnahmen
[8] Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden … https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240322_Projekte-Arztpraxen.html
