Fehlende Zuständigkeiten: Was das IoMT wirklich bedroht

Die alarmierende Zahl von Cyberangriffen auf Unternehmen im Gesundheitswesen weltweit hat in letzter Zeit für Schlagzeilen gesorgt. Tatsächlich waren auch andere Branchen Ziel groß angelegter Angriffe – darunter insbesondere kritische Infrastrukturen. Allerdings bergen Sicherheitsverletzungen in Krankenhäusern und Kliniken ein ungleich höheres Risiko: Sie können zu Todesfällen und nicht nur zu finanziellen Verlusten führen.

Dabei sind die Probleme bereits bekannt: Denn in diesem Wirtschaftszweig herrscht generell ein geringes Schutzniveau für Systeme, Netzwerke oder das Internet der Dinge (IoT) – und neuerdings auch für Geräte im Internet der medizinischen Dinge (IoMT). Einen Überblick gibt ein gemeinsamer Bericht des Ponemon Institute und Cynerio, der auf den Daten von 517 Gesundheitsexperten in Führungspositionen in Krankenhäusern und gesundheitlichen Einrichtungen aus den Vereinigten Staaten basiert. Dieser stellt die häufigsten Risiken dar, denen Gesundheitseinrichtungen und ihre Mitarbeiter ausgesetzt sind.

Mehr als die Hälfte der befragten Organisationen (56 %) hatten in den letzten 24 Monaten einen oder mehrere Cyberangriffe auf IoMT/IoT-Geräte erlebt – mit einem Durchschnittswert von 12,5 Angriffen. Aufgrund der Attacken berichteten 45 % der Befragten über nachteilige Auswirkungen auf die Patientenversorgung. 53 % der Betroffenen (also 24 % der Gesamtbefragten) meldeten zudem Folgen, die zu einer erhöhten Sterblichkeitsrate führten.

Und es kommt noch schlimmer: Die Studie hat festgestellt, dass zahlreiche Angreifer langfristige Operationen mit wiederholten Attacken durchführen. Von den oben genannten 56 % der Befragten, die in den letzten 24 Monaten mindestens einen Cyberangriff erlitten haben, waren 82 % Opfer in diesem Zeitraum von durchschnittlich vier oder mehr Attacken betroffen. Insbesondere bei Ransomware-Angriffen waren die Raten ähnlich hoch: 43 % der Befragten erlebten einen Angriff, 76 % davon durchschnittlich drei oder mehr.

Apropos Ransomware: Krankenhäuser betrachten Lösegeldzahlungen zunehmend als praktikable Option, um die Datenwiederherstellung zu beschleunigen. 47 % derjenigen, die von den Angriffen betroffen waren, zahlten schließlich das Lösegeld. Dabei zahlten die Betroffenen in 32 % der der Fälle Beträge zwischen 250.000 und 500.000 US-Dollar. Diejenigen, die nicht für die Zahlung aufkamen, begründeten ihre Entscheidung mit einer effektiven Backup-Strategie (53 %) und den Unternehmensrichtlinien (49 %).

Der Weiterverkauf von Patientendaten ist dabei nach wie vor wertvoll. Das zeigt sich allein daran, dass 43 % der Befragten angaben, in den letzten 24 Monaten mindestens eine Datenschutzverletzung erlebt zu haben; 65 % davon sogar fünf Mal oder öfter. In 88 % der Fälle waren dabei IoT/IoMT-Geräte betroffen. Die durchschnittlichen Kosten für die größten Datenschutzverletzungen, bei denen IoT/IoMT-Geräte involviert waren, wurden für die Unternehmen in der Studie auf 13 Millionen US-Dollar geschätzt – einschließlich direkter Ausgaben, indirekter Kosten und entgangener Geschäftsmöglichkeiten.

Die Hauptursache

Ein Grund für die Unsicherheiten innerhalb der Unternehmen ist der Mangel an klar definierten Verantwortlichkeiten. Auf die Frage, welcher Bereich in erster Linie für die Gewährleistung der Sicherheit gefährdeter Geräte verantwortlich ist, erhielt keine definierte Position mehr als 18 % der Antworten. Selbst bei den häufigsten Nennungen gab es große Unterschiede: CIOs/CTOs (18 %), operative Leiter (14 %), CISOs/CSOs (14 %) und Netzwerkleiter (11 %).

Was das Ausmaß der von IoT/IoMT-Geräten ausgehenden Sicherheitsrisiken betrifft, so stuften 71 % der Befragten dieses als hoch oder sehr hoch ein. Allerdings gaben nur 21 % an, in Bezug auf eine proaktive Cybersicherheitsstrategie bereits ein ausgereiftes Stadium erreicht zu haben. In etwa der Hälfte der Fälle (46 %) findet eine grundlegende Überprüfung der Geräte statt – zwei Drittel der Befragten (67 %) verfolgen den daraus resultierenden Bericht allerdings gar nicht.

Die gute Nachricht ist, dass die Budgetverantwortlichen für mehr Ressourcen zum Schutz ihrer Umgebungen kämpfen. Die üblichen Investitionen in die IT werden auf etwa 145 Millionen US-Dollar pro Steuerjahr geschätzt, wobei 17 % davon auf die Sicherheit entfallen. Von diesen Sicherheitsausgaben erhalten die Geräte im IoT oder IoMT durchschnittlich 20 % den zugeteilt.

Sowohl im Gesundheitswesen als auch in anderen Sektoren nutzen die Angreifer gezielt Schwachstellen wie Personalmangel und fehlende Kenntnisse in Bezug auf die Sicherheit von IoT/IoMT-Geräten aus. Laut Einschätzung der Befragten gehören dabei die mangelnde Transparenz von IoT-Netzwerken (45 %), Phishing (45 %), Zero-Day-Angriffe (41 %) und Ransomware (39 %) zu den größten Bedrohungen für IoT-Devices und andere vernetzte Geräte.