Von ZACHARY AMOS
Cyberangriffe sind im Gesundheitssektor keine Seltenheit. Dennoch reichen große Vorfälle wie der Ransomware-Angriff auf Change Healthcare im Februar 2024 aus, um die Branche aufzurütteln. Nach einem derart massiven Angriff sollten medizinische Organisationen aller Art und Größe die Gelegenheit nutzen, ihre Sicherheitslage zu überprüfen.
Was geschah beim Cyberangriff auf Change Healthcare?
Am 21. Februar wurde Change Healthcare – die größte medizinische Clearingstelle in den USA – Opfer eines Ransomware-Angriffs, der dazu führte, dass über 100 Systeme offline gingen. Viele der elektronischen Dienste blieben wochenlang ausgefallen, und die vollständige Wiederherstellung dauerte bis Anfang April.
Eine Woche nach dem Angriff übernahm die berüchtigte Ransomware-as-a-Service-Bande BlackCat die Verantwortung. BlackCat war auch für die Abschaltung der Colonial Pipeline im Jahr 2021 und mehrere Angriffe auf Gesundheitsorganisationen im Jahr 2023 verantwortlich. Dieser jüngste Akt gegen Change Healthcare ist jedoch einer der bisher störendsten.
Da Change und sein Mutterkonzern UnitedHealth Group (UHG) so wichtige Akteure in der Branche sind, hatte der Hack branchenweite Auswirkungen. Unglaubliche 94 % der US-Krankenhäuser hatten durch den Vorfall finanzielle Folgen und 74 % hatten direkte Auswirkungen auf die Patientenversorgung. Die Dienste von Change betreffen jede dritte Patientenakte, sodass der massive Ausfall einen Schneeballeffekt von Störungen, Verzögerungen und Verlusten auslöste.
Die meisten Apotheken- und elektronischen Zahlungsdienste von Change waren bis zum 15. März wieder online. Seit Anfang April läuft fast alles wieder, aber die finanziellen Folgen für viele auf UHG angewiesene Unternehmen halten aufgrund erheblicher Rückstände an.
Was es für den gesamten Gesundheitssektor bedeutet
Wenn man bedenkt, dass der Cyberangriff auf Change Healthcare fast den gesamten medizinischen Sektor betroffen hat, hat er erhebliche Auswirkungen. Selbst die wenigen medizinischen Gruppen, die von dem Hack unberührt geblieben sind, sollten darüber nachdenken, was dies für die Zukunft der Gesundheitssicherheit bedeutet.
1. Keine Organisation ist eine Insel
Es lässt sich kaum ignorieren, dass ein Angriff auf ein einzelnes Unternehmen fast alle Krankenhäuser in den USA betroffen hat. Dieser massive Welleneffekt zeigt, dass kein Unternehmen in dieser Branche eine in sich geschlossene Einheit ist. Schwachstellen von Drittanbietern betreffen alle, daher sind Sorgfaltspflicht und durchdachte Zugriffsbeschränkungen unerlässlich.
Der Hack von Change Healthcare ist zwar ein extremes Beispiel, aber es ist nicht das erste Mal, dass es im medizinischen Sektor zu großen Sicherheitsverletzungen durch Dritte kommt. Im Jahr 2021 wurden beim Roten Kreuz über 515.000 Patientenakten gestohlen, als Angreifer seinen Datenspeicherpartner ins Visier nahmen.
Gesundheitsunternehmen sind auf zahlreiche externe Dienste angewiesen und jede dieser Verbindungen stellt eine weitere Schwachstelle dar, über die das Unternehmen kaum Kontrolle hat. Angesichts dieses Risikos muss es bei der Auswahl seiner Geschäftspartner wählerischer sein. Selbst bei vertrauenswürdigen Partnern wie UHG müssen Marken die Datenzugriffsrechte so weit wie möglich einschränken und hohe Sicherheitsstandards fordern.
2. Zentralisierung macht die Branche anfällig
In diesem Zusammenhang zeigt dieser Angriff, wie zentralisiert die Branche geworden ist. Abhängigkeiten von Drittanbietern sind nicht nur weit verbreitet, sondern viele Organisationen sind auch von denselben Drittanbietern abhängig. Diese Zentralisierung macht diese Schwachstellen exponentiell gefährlicher, da ein Angriff den gesamten Sektor betreffen kann.
Die Gesundheitsbranche muss diese einzelnen Ausfallpunkte überwinden. Einige externe Abhängigkeiten sind unvermeidlich, aber medizinische Gruppen sollten sie nach Möglichkeit vermeiden. Um die Auswirkungen eines einzelnen Verstoßes zu verringern, kann es notwendig sein, Aufgaben auf mehrere Anbieter aufzuteilen.
Regulatorische Änderungen könnten diesen Wandel unterstützen. Während einer Anhörung im Kongress zu dem Vorfall äußerten einige Abgeordnete ihre Besorgnis über die Konsolidierung im Gesundheitswesen und die damit verbundenen Cyberrisiken. Diese wachsende Stimmung könnte zu einer branchenweiten Umstrukturierung führen, doch in der Zwischenzeit sollten private Unternehmen die Initiative ergreifen und sich von großen zentralisierten Abhängigkeiten lösen, wo sie können.
3. Gesundheitsunternehmen brauchen zuverlässige Reaktionspläne
Gesundheitsorganisationen sollten auch die Länge und die Kosten der Reaktionszeit von UHG berücksichtigen. Es dauerte Wochen, die ausgefallenen Systeme wiederherzustellen, selbst nachdem Berichten zufolge ein Lösegeld von 22 Millionen Dollar gezahlt wurde, um die gestohlenen Daten wiederherzustellen. Das ist viel zu lange.
Angesichts der wachsenden Bedrohung durch Ransomware müssen Unternehmen dieser Branche Notfallpläne erstellen. Dazu gehört die Aufbewahrung sicherer Offline-Backups aller sensiblen Daten und die Gewährleistung der Redundanz des Rechenzentrums für unternehmenskritische Dienste. Detaillierte Kommunikationsprotokolle und eine Schritt-für-Schritt-Anleitung zur Wiederherstellung nach einem Angriff sind ebenfalls von entscheidender Bedeutung.
Ohne einen umfassenden Backup- und Wiederherstellungsplan geraten Unternehmen in eine Situation wie Change Healthcare. Ransomware ist zu weit verbreitet und zu störend, als dass man davon ausgehen könnte, dass das Schlimmste nie passieren wird. Gesundheitsunternehmen benötigen die Pläne A, B und C, um den Schaden bei solchen Angriffen zu minimieren.
4. Die Cybersicherheit im Gesundheitswesen muss proaktiver sein
Der Change Healthcare-Ransomware-Angriff unterstreicht auch die Notwendigkeit proaktiver Sicherheit. Während die genaue Ursache des Angriffs unklar ist, zielt BlackCat normalerweise auf Schwachstellen im Remote Desktop Protocol oder ConnectWise ScreenConnect ab. Für beide sind Patches verfügbar, sodass ein proaktives Schwachstellenmanagement viele Angriffe stoppen könnte.
In vielen Bereichen des Gesundheitswesens können Schwachstellen auftreten. Daher sind detaillierte Penetrationstests und automatisierte Bewertungen erforderlich, um genügend Bereiche abzudecken. Die Automatisierung von Updates ist ebenso wichtig, da Angreifer in diesem Sektor schnell agieren.
Medizinische Gruppen müssen auch die Schulung ihrer Mitarbeiter betonen. Fehler gehören zu den hartnäckigsten Bedrohungen in dieser Branche, wobei 36 % der Datenpannen allein auf Fehllieferungen zurückzuführen sind. Diese Risiken lassen sich durch eine möglichst weitgehende Automatisierung und eine gründliche Schulung aller Mitarbeiter in Sachen Cybersicherheit minimieren.
5. Niemand ist sicher
Wenn der Gesundheitssektor aus diesem Vorfall nichts anderes lernen kann, dann zumindest, dass keine Organisation sicher ist. UHG ist eine der größten Kräfte der Branche und wurde dennoch Opfer eines Angriffs. Ähnliche Vorfälle können sicherlich auch kleinere Unternehmen mit knapperen Sicherheitsbudgets treffen, wenn sie UHG so viel Schaden zufügen können.
Es geht nicht unbedingt um die Ausgaben für Cybersicherheit. In der Vergangenheit entfielen nur 6 % der medizinischen IT-Budgets auf die Sicherheit, aber mehr als die Hälfte der Gesundheitsorganisationen planten, ihre Cybersicherheitsbudgets im Jahr 2023 zu erhöhen. Dieser Trend wird sich wahrscheinlich auch im Jahr 2024 und darüber hinaus fortsetzen. Dieses Wachstum ist wichtig, aber der Change-Datenleck zeigt, dass Geld allein Cyberkriminelle nicht aufhalten wird.
Investitionen in fortschrittliche Sicherheitslösungen sind von entscheidender Bedeutung. Marken dürfen sich jedoch nicht darauf ausruhen, nur weil sie über relativ hohe Budgets für Cybersicherheit verfügen. Ständige Wachsamkeit und Notfallwiederherstellungspläne sind weiterhin erforderlich.
Der Change Healthcare Hack unterstreicht die Notwendigkeit von Veränderungen
Mit der zunehmenden Digitalisierung des Gesundheitswesens werden Krankenhäuser und ihre Partnerorganisationen zu immer beliebteren Zielen für Ransomware-Banden. Dieser jüngste Vorfall sollte als Weckruf für dieses Problem dienen. Die Sicherheitsansätze in diesem Sektor müssen sich ändern.
Der Weg ist lang und schwierig. Doch wer jetzt Verantwortung übernimmt, kann Unternehmen vor erheblichen Verlusten bewahren.
Zac Amos befasst sich als Features Editor bei ReHack und als Autor bei VentureBeat, The Journal of mHealth und Healthcare Weekly mit den Rollen von Cybersicherheit und KI im Gesundheitswesen.
