Ransomware-Attacken auf Gesundheitseinrichtungen

In den letzten Wochen wurde vermehrt über Ransomware-Angriffe auf Gesundheitseinrichtungen berichtet, die gravierende Folgen hatten. So wurden zum Teil bei den Angriffen auf Systeme alle gespeicherten Daten verschlüsselt, um die Verantwortlichen zu hohen Lösegeldforderungen – meist in Bitcoin – zu drängen. Gerade bei Krankenhäusern kann eine Lahmlegung der Systeme fatale Folgen haben – bis hin zur Gefährdung von Menschenleben. Darüber hinaus werden Daten häufig aus den Systemen ausgeleitet, um zusätzlichen Druck mit der drohenden Veröffentlichung oder dem Verkauf der Daten zu erzeugen.

Zudem handelt es sich bei einem solchen Angriff auf Grund der Nicht-Verfügbarkeit der Daten und des möglichen Vertraulichkeitsverlustes, um eine Datenschutzverletzung, die innerhalb von 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde gemeldet werden muss. Meist gehen solche Attacken auch mit einem hohen Risiko für die Betroffenen einher, sodass diese ebenfalls über den Vorfall benachrichtigt werden müssen.

Gezielte Prüfungen durch das BayLDA

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führt derzeit gezielte Prüfungen hinsichtlich grundlegender Sicherheitsanforderungen nach Art. 32 DSGVO durch, welche mitunter entscheidend dafür sind, ob eine solche Cyberattacke letztendlich erfolgreich abgewehrt und der Schaden begrenzt werden kann.

Die erste Ransomware-Prüfung fand bereits im Zeitraum ab 30.11.2021 und über das gesamte Jahr 2022 statt. Momentan führt das BayLDA eine Ransomware-FollowUp-Prüfung durch. Ziel der Untersuchungen sind Unternehmen, die entweder in der Vergangenheit Opfer eines Ransomware-Angriffs wurden oder bei denen hohe Risiken für eine Cyberattacke bestehen – wie Gesundheitseinrichtungen. Die Stabstelle Prüfverfahren des BayLDA wurde einerseits gegründet, um solche anlasslosen, fokussierten Kontrollen durchzuführen und insgesamt die datenschutzrechtlichen Kontrollen für nicht-öffentliche Stellen in Bayern auszuweiten. Andererseits sollen die betrieblichen Datenschutzbeauftragten durch die begleitende Bereitstellung von Informationen auf die Thematiken der Prüfungen aufmerksam gemacht werden. Zwar handelt es sich um präventive Maßnahmen zur Cybersicherheit, dennoch kann das BayLDA bei (gravierenden) Verstößen gegen Art. 32 DSGVO auch Geldbußen verhängen.

Frühzeitige Cyberprävention

Auch wenn Ihr Unternehmen nicht zur Beantwortung eines solchen Prüfbogens durch die Aufsichtsbehörde aufgefordert worden ist, empfehlen wir dennoch – insbesondere, wenn Ihr Unternehmen im Gesundheitsbereich tätig ist – die Prüfung als interne Kontrolle durchzuführen. Die Prüfunterlagen stehen auf der Internetseite des BayLDA zur Verfügung.

Der aktuelle Sicherheitsstand sollte, sofern erforderlich, angepasst werden.

Diese gezielten Schutzmaßnahmen können sowohl Datendiebstahl und -verschlüsselung verhindern, als auch das Vordringen der Hacker bis tief in die Netzwerke. Die frühzeitige Cyberprävention bestimmt damit wesentlich, ob ein Schaden eintritt bzw. wie hoch der Schaden ist. Als Minimum sollte hier ein Basisschutz zur Cyberprävention eingerichtet werden, sofern man nicht sowieso gesetzlich hierzu verpflichtet ist (Stichwort NIS-2 und Kritis).

Generell gilt jedoch, wie überall: Je höher die Schutzmaßnahmen, desto schwerer hat es ein Angreifer und desto besser sind die Daten der Betroffenen geschützt. Nichtsdestotrotz müssen jedoch nicht alle abgefragten Prüfpunkte zwingend erfüllt werden, sofern die Verantwortlichen selbstständig festgestellt haben, welche Maßnahmen für die eigene Organisation erforderlich sind.

Zu den gezielten Schutzmaßnahmen zählen laut BayLDA insbesondere:

• die Netzwerksegmentierung zur Verhinderung der raschen Ausbreitung auf das gesamte Netzwerk,
• die Begrenzung der Windows PowerShell, um die missbräuchliche Nutzung im System vorhandener Werkzeuge zu verhindern,
• die Begrenzung von Programmausführungen, sodass Schadcode nicht installiert oder ausgeführt werden kann,
• die Unterbindung fremder Office-Macros, mit denen Schadsoftware heruntergeladen werden könnte,
• die Variierung administrativer Passwörter bei Clients, sodass bei Kompromittierung eines Clients nicht sogleich alle Clients betroffen sind,
• die Protokollierung und Filterung von Internetübergangspunkten zwischen externem und internem Netz zur Blockierung externer Angriffe,
• der Einsatz von Air-Gap-Backups um Backups vor Verschlüsselung zu schützen und
• die Netzwerkkomponenten up-to-date zu halten, um durch das Patch-Management Sicherheitslücken zu vermeiden.

Fazit

Cyberangriffe können jedes Unternehmen treffen! Aus diesem Grund ist es wichtig, entsprechend vorbereitet zu sein, denn sollten die Daten erst einmal verschlüsselt oder abgeflossen sein, ist es hierfür zu spät. Es empfiehlt sich deshalb, die aktuellen technischen und organisatorischen Maßnahmen auf den Prüfstand zu stellen. Oft sind jedoch auch ausgelagerte IT-Dienstleister die Einfallstore solcher Angriffe, deshalb sollte auch bei diesen geprüft werden, ob die getroffenen Maßnahmen tatsächlich ausreichend sind, da die Sicherheitsverantwortung beim Verantwortlichen verbleibt. Wie überall im Leben gilt: Vorsicht ist besser als Nachsicht.

Ein weiterer Schutz vor Ransomware-Angriffen ist die Sensibilisierung von Mitarbeitenden für die Gefahr von Cyberattacken. Lesen Sie hierzu auch unseren Beitrag „Security-Awareness-Maßnahmen werden im Gesundheitswesen zur Pflicht“ im Blog von DSN train – unserer eLearning-Lösung.