Patienten- und Forschungsdaten in Gefahr

Least-Privilege-Prinzip Patienten- und Forschungsdaten in Gefahr

16.12.2021 Von Michael Scheffler |

Anbieter zum Thema

In der Corona-Pandemie kämpft der medizinische Bereich derzeit an mehreren Fronten: Krankenhäuser müssen nicht nur Pandemie-Opfer versorgen und Pharmaunternehmen die Herstellung von Impfstoffen vorantreiben, sondern gleichzeitig auch eine steigende Anzahl an Cyberangriffen abwehren.

Datenschutzverletzungen, Insider-Bedrohungen und Ransomware-Angriffe gefährden Health-Unternehmen.
(© peterschreiber.media - stock.adobe.com)

Die Covid-19-Situation bietet einen fruchtbaren Boden für Angreifer, um Verwirrung zu stiften, Sicherheitslücken auszunutzen und insbesondere Einrichtungen des Gesundheitswesens anzugreifen. Von Krankenhäusern, die rund um die Uhr Patienten behandeln, bis hin zu pharmazeutischen Unternehmen, die fortschrittliche Impfstoffe entwickeln, haben Cyberkriminelle es auf Einrichtungen und Systeme abgesehen, die unter massivem Stress stehen.

Die Angriffe auf den Gesundheits- und Biotech-Sektor zeigen dabei eine Bösartigkeit von bisher nicht gekanntem Ausmaß. Die Methoden sind zwar unterschiedlich, aber das Ziel ist zumeist dasselbe: Sensible Daten abgreifen, um sie zu stehlen, zu verkaufen oder die Opfer zu erpressen.

Im Jahr 2020 verbreiteten Cyberkriminelle gefährliche Ransomware-Varianten wie Maze und Ryuk in Hunderten von Krankenhäusern. Staatlich unterstützte Angreifer nahmen Pharma- und Biotech-Unternehmen ins Visier, um Forschungsergebnisse von Covid-19 abzugreifen. Und Insider-Bedrohungen belasteten den Gesundheitssektor weiterhin, während einfache menschliche Fehler dazu führten, dass sensible Informationen exponiert wurden.

Neben der verschärften Bedrohungslage muss vor allem aber auch die eigene Cyberhygiene und das damit verbundene Datenrisiko in den Blick genommen werden. Der neue Datenrisiko-Report für den Gesundheitssektor (pdf) analysierte rund drei Milliarden Dateien im Rahmen von Datenrisikobewertungen bei 58 Healthcare-Unternehmen weltweit (u. a. in den USA, Deutschland, Frankreich und Großbritannien). Hierbei wurden vor allem drei Problemfelder sichtbar, welche die Gefährdung durch Datenschutzverletzungen, Insider-Bedrohungen und Ransomware-Angriffe zusätzlich vergrößern.

1. Zu weit gefasste Zugriffsrechte

Globale Zugriffsgruppen (wie „Jeder“, „Domänenbenutzer“ oder „Authentifizierte Benutzer“) ermöglichen es Mitarbeitern, Informationen gemeinsam zu nutzen. Sind Daten allerdings übermäßig exponiert und unzureichend geschützt, verlieren Unternehmen schnell die Kontrolle. Dies gilt insbesondere, wenn Mitarbeiter selbst die sensibelsten Informationen kopieren, freigeben, löschen oder ändern. Und ungeschützte Informationen sind für Cyber-Kriminelle, die nur ein Nutzerkonto kompromittieren müssen, um in die Systeme ihrer Opfer einzudringen, ein leichtes Ziel: Sämtliche Daten, auf die ein kompromittiertes Konto Zugriff hat, können entwendet und/oder verschlüsselt werden (Ransomware).

Durchschnittlich sind knapp 20 Prozent des gesamten Datenbestands und 12 Prozent (in kleineren Krankenhäusern und Unternehmen sogar 22 %) der sensiblen Dateien für jeden Mitarbeiter zugänglich. Im Durchschnitt hat jeder Mitarbeiter Zugriff auf 31.000 sensible Dateien wie vertrauliche Forschungsergebnisse, geistiges Eigentum sowie Gesundheits- und andere personenbezogene Daten. Hierbei handelt es sich um besonders sensible Informationen, die enormen Schaden verursachen können. Die Umsetzung eines Least-Privilege-Ansatzes ist ein grundlegender Schritt, den jedes Unternehmen ergreifen sollte, um den Zugriff effektiv zu beschränken und so Daten vor Diebstahl und Missbrauch zu schützen sowie gleichzeitig die Einhaltung von Vorschriften (wie der DSGVO) sicherzustellen.

2. Nicht mehr benötigte, aber noch vorhandene Nutzerkonten und Daten

Durchschnittlich werden mehr als zwei Drittel der Dateien (69 %) nicht mehr genutzt, erhöhen jedoch das Risiko für Verstöße gegen Vorschriften wie die DSGVO und stellen für Angreifer eine interessante Beute dar. Grundsätzlich gilt: Je weniger Daten potenziell entwendet werden können, desto geringer ist das Risiko oder desto sicherer ist das System. Alte Dateien, die dem Unternehmen oder der Einrichtung vielleicht nicht mehr sehr wichtig erscheinen, könnten allerdings für einen Angreifer, der nach Informationen sucht, äußerst interessant und wertvoll sein. Dies gilt insbesondere für Gesundheitsinformationen.

79 Prozent der Unternehmen verfügen über mehr als 1.000 nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Diese erlauben nicht nur ehemaligen Mitarbeitern und Partnern unnötigen Zugang zu Informationen, sondern eignen sich auch ideal für Cyberkriminelle, um sich unauffällig in den Systemen zu bewegen. Zum einen gibt es keinen aktiven Nutzer, der sich über vermeintlich von ihm selbst durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit bestimmten Berechtigungen. Mit diesen können Angreifer ohne Aufmerksamkeit zu erregen die anvisierten Unternehmen ausspionieren und – je nach Zugriffsrechten – „interessante“ Daten unauffällig entwenden.

3. Zeitlich unbegrenzte Passwörter

Unbefristete Passwörter geben Cyberkriminellen ausreichend Zeit für ihre Angriffe, etwa durch Brute-Force-Angriffe. 77 Prozent der Krankenhäuser und Unternehmen verfügen über mehr als 500 unbefristete Nutzer-Passwörter.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

2020 war sicherlich in vielerlei Hinsicht für die Branche ein herausragendes Jahr. Betrachtet man die stetige Weiterentwicklung der Angriffstechniken und -taktiken kann jedoch auch für die Zukunft keine Entwarnung gegeben werden. Und auch wenn einige Hacker-Gruppen medienwirksam verkünden, Einrichtungen des Gesundheitsbereichs nicht anzugreifen, zeigt uns die Realität doch ein anderes Bild. So wurden allein im letzten Jahr bis November laut Bundesregierung in Deutschland 43 erfolgreiche Angriffe auf Gesundheitsdienstleister registriert.

Um sich vor den immer bösartigeren und ausgefeilteren Cyberangriffen zu schützen, müssen Krankenhäuser, Pharmaunternehmen und Biotech-Firmen ihre Prozesse zur Vorfallsreaktion und Schadensbegrenzung weiter ausbauen. Dabei sind die Durchsetzung des Least-Privilege-Prinzips, die Sperrung sensibler Daten und die Einschränkung der lateralen Bewegungen in den Umgebungen die absoluten Mindestmaßnahmen, die Unternehmen im Gesundheitswesen ergreifen müssen.

*DerAutor, Michael Scheffler, ist Country Manager DACH bei Varonis Systems.