Sicherheitslücken: Vor allem das Gesundheitswesen ist gefährdet

Sicherheitsverletzungen durch Dritte treffen vor allem den Gesundheitssektor: 2022 fielen fast 35 % der Vorfälle in diesen Bereich, gefolgt vom Finanzsektor (14 %) und der Regierung (14 %). Weitere Einblicke dazu bietet die jährliche Thrid-Party-Breach-Studie von Black Kite. Demnach nutzten Hacker im vergangenen Jahr die destruktive Kraft von Schwachstellen in den Ökosystem von globalen Unternehmen aus. Die Zahl der Sicherheitsverletzungen ging zwar leicht zurück, doch das Ausmaß der Angriffe hat stark zugenommen. Die Einschätzung der Studie: Bis 2023 „wollen Cyberkriminelle sicherlich mehr Fliegen mit einer Klappe schlagen“. Denn aufgrund der Covid-19-Pandemie hat sich der Datenverkehr zwischen Gesundheitseinrichtungen in den letzten Jahren erheblich gesteigert, was die Aufmerksamkeit von Hackern auf sich zieht.

Auch geschützte Informationen zum Gesundheitszustand einzelner Patienten zogen die Aufmerksamkeit von Cyberkriminellen auf sich – genauer gesagt die strengen Sanktionen, die weltweit beim Verstoß gegen dieses Datenschutzrecht verhängt wurden. Weitere Risikofaktoren sind unzureichende Budgets, veraltete Software und persönliche Daten, die zwischen Patienten und telemedizinischen Systemen ausgetauscht werden. All diese Aspekte bieten Hackern mehr Möglichkeiten, in Netzwerke einzudringen und Zugriff auf wichtige Daten zu erhalten. So war das Gesundheitswesen auch im Jahr 2022 das bevorzugte Ziel für Cyberangriffe.

Was nicht überrascht: Vor allem die Anbieter von Technologielösungen gehören zu den „Drittparteien“, die das größte Risiko für derartige Sicherheitsverletzungen aufweisen. Hacker können Schwachstellen in deren Software finden oder Code bearbeiten, um Kettenangriffe zu erleichtern. Außerdem vertrauen die Anwenderunternehmen auf die Sicherheit der von ihnen verwendeten Lösungen. Deshalb prüfen sie nicht, ob Sicherheitslücken vorhanden sind, wodurch die Bedrohungen entlang der digitalen Ketten fortbestehen.

„Die globalen Ökosysteme von Unternehmen werden immer komplexer. Dadurch sind die einzelnen Betriebe zunehmend auch von der Cybersicherheits-Aufstellung ihrer Partner, deren Partner und so weiter abhängig. In der Realität sind die Angriffsflächen so groß, dass wir sie nicht mehr kontrollieren können. Die gute Nachricht: Wir können das erweiterte Ökosystem bewerten und überwachen. So lassen sich Schwachstellen erkennen, was wiederum zu einem schnelleren Handeln und der Vermeidung einer Katastrophe führt“, so Jeffrey Wheatman, Cyber Risk Evangelist bei Black Kite – dem Unternehmen, das die jährliche Studie zu Sicherheitsverletzungen durch Dritte durchgeführt hat.

Insgesamt ist die Zahl der Sicherheitsverletzungen auf Third-Party-Ebene in allen untersuchten Branchen im Vergleich zu 2021 zurückgegangen. Die individuellen Auswirkungen der einzelnen Fälle haben sich jedoch fast verdoppelt. Zum Vergleich: Im Jahr 2021 lag die durchschnittliche Anzahl der von einer einzelnen Sicherheitsverletzung betroffenen Unternehmen bei 2,46 (ohne den Anbieter selbst) – diese Zahl stieg im Jahr 2022 auf 4,73. Die Werte beziehen sich dabei auf Unternehmen, die öffentlich bekannt sind. Es existieren aber auch Massenzahlen, bei denen die Namen der Unternehmen nicht bekannt gegeben wurden. Mit dieser Dunkelziffer ist also die Gesamtzahl also viel höher.

Eine mögliche Schlussfolgerung ist, dass Hacker intelligentere Angriffe durchführen und mehr Opfer pro Angriff ins Visier nehmen. Aufgrund der größeren Auswirkungen jeder Sicherheitsverletzung durch Dritte ist es daher wichtig, die Cyberlage der Lieferanten zu verstehen. So lassen sich laut der Studie sogenannte Kaskadenrisiken vermeiden: Dieser Dominoeffekt tritt auf, wenn ein Lieferant in der digitalen Lieferkette sich selbst Risiken aussetzt – und damit die anderen Partner, die durch das Ökosystem miteinander verbunden sind, gefährdet.

Zusätzlich hat die Studie von Black Kite die Hauptursachen für Datenschutzverletzungen durch Dritte im Jahr 2022 ermittelt. Ein wichtiger Vorgang, schließlich sollten Anwender den ursprünglichen Vektor des Sicherheitsproblems kennen, um zu verstehen, wie die Angriffe funktionieren. Der häufigste Grund im Jahr 2022 war der unbefugte Zugang zu Netzwerken: Er machte 40 % der Third-Party Breaches im Laufe des Jahres aus – 25 % mehr als 2021. Laut der Studie basiert diese Art des Zugriffs in der Regel auf Social-Engineering-Angriffen, wie beispielsweise Phishing. Aber auch der Diebstahl von Zugangsdaten, Schwachstellen in der Zugriffskontrolle oder eine Kombination dieser Faktoren ermöglichen Cyberkriminellen einen leichteren Netzwerkzugang. Ransomware war die zweithäufigste Ursache, die 27 % der Sicherheitsverletzungen durch Dritte ausmachte. Hier ist allerdings ein Rückgang im Vergleich zu 2021 zu bemerken. An dritter Stelle stehen ungesicherte Server und Datenbanken, die für 10 % der Sicherheitsverletzungen verantwortlich sind.

In der Regel dauert es sehr lange, bis ein Verstoß gemeldet wird. 2022 betrug die durchschnittliche Zeit bis zur Meldung von Angriffen 108 Tage: 50 % länger als im Jahr 2021. Diese Daten basieren auf Vorfällen bei Drittanbietern, die transparent verfolgen können, wer, was und wann angegriffen wurde. Black Kite begann mit der Überwachung dieser Statistik im Jahr 2021, woraus sich die unmittelbare Schlussfolgerung ergibt: Aktuell sind die Aussichten eher düster.