Trends und Datenlücken in einer neuen Studie zu Ransomware-Angriffen im Gesundheitswesen aufgedeckt
Forscher der University of Florida und der University of Minnesota haben eine akademische Studie über Ransomware-Angriffe auf Organisationen im Gesundheitswesen veröffentlicht. Die Ergebnisse zeigen die sich ändernden Eigenschaften dieser Angriffe über fünf Jahre hinweg, einschließlich der Monate, in denen die Pandemie in den USA am schlimmsten war. Es sind einige interessante Trends erkennbar und es werden Lücken in unserem Verständnis des Gesamtproblems aufgedeckt. Es ist keine spannende Lektüre für die breite Öffentlichkeit, kann aber für Fachleute aus den Bereichen Cybersecurity und Wirtschaft von Interesse sein.
Der Bericht trägt den Titel „Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations, 2016-2021“ (Trends bei Ransomware-Angriffen auf US-amerikanische Krankenhäuser, Kliniken und andere Organisationen im Gesundheitswesen, 2016-2021). Er wurde am 29. Dezember 2022 in den JAMA-Foren veröffentlicht.
Herausforderungen in der Forschung
Zu Beginn der Studie stellten die Forscher fest, dass es keine systematische Dokumentation des Ausmaßes und der Auswirkungen von Ransomware-Angriffen auf Organisationen im Gesundheitswesen gab. Die Berichterstattung in den Medien und die obligatorische Offenlegung von Datenschutzverletzungen konnten nicht die umfassenden Informationen liefern, die für die Studie erforderlich waren. Um die Forschungsfrage beantworten zu können, müsste ein umfassender Datensatz aufgebaut werden.
Dazu haben die Forscher eine Datenbank mit Informationen aus geschützten und öffentlich zugänglichen Quellen, unter anderem aus dem Dark Web, erstellt. Diese Ressource erhielt den Namen Tracking Healthcare Ransomware Events and Traits (THREAT) und alle für die Studie verwendeten Daten wurden darin aufgenommen.
Der Begriff „Gesundheitsdienstleister“ wurde dabei weit gefasst und schloss Einrichtungen wie Diagnostiklabore und Nachsorgeeinrichtungen mit ein. Als „Ransomware-Angriff“ galten alle Angriffe, die als Ransomware gekennzeichnet wurden oder Ransomware-bezogene Formulierungen in Pressemitteilungen oder Benachrichtigungen über Sicherheitsverletzungen aufwiesen.
Die THREAT-Datenbank enthielt am Ende 374 Ransomware-Angriffe auf Organisationen des Gesundheitswesens im Zeitraum von 2016 und 2021. Bei diesen Angriffen wurden fast 42 Millionen Datensätze zu individuellen geschützten Gesundheitsinformationen (PHI) offengelegt.
Erkenntnisse und Diskussionspunkte
Im Laufe der fünf in der Studie untersuchten Jahre stieg die Zahl der jährlichen Ransomware-Angriffe von 43 auf 91, und die jährliche Zahl der von PHI-Datenschutzverletzungen betroffenen Personen stieg von 1,3 Millionen im Jahr 2016 auf mehr als 16,5 Millionen im Jahr 2021.
15,8 % der bei diesen Angriffen entwendeten Daten wurden anschließend im Darknet zum Verkauf angeboten. Die Untersuchung kommt nicht zu dem Schluss, dass es sich damit um die einzigen Daten handelt, die zum Verkauf angeboten wurden. Die Daten könnten anderswo verkauft worden oder im Dark Web von den Wissenschaftlern einfach nicht aufgespürt worden sein.
Kliniken und Krankenhäuser waren am häufigsten von einem Ransomware-Angriff betroffen, und das über alle fünf Jahre hinweg:
Anzahl der Ransomware-Angriffe (%) |
||
|
2016 |
2021 |
Klinik |
26 (60,5) |
51 (56,0) |
Krankenhaus |
13 (30,2) |
23 (25,3) |
Ambulantes chirurgisches Zentrum |
8 (18,6) |
15 (16,5) |
Psychiatrie/Verhaltensstörungen |
3 (7,0) |
18 (19,8) |
Zahnmedizin |
2 (4,7) |
12 (13,2) |
Post-Akutversorgung |
1 (2,3) |
4 (4,4) |
Sonstige |
8 (18,6) |
22 (24,2) |
(Quelle: Tabelle 2, S. 6)
Die jährliche Zahl der Angriffe auf mehrere Einrichtungen stieg von 41,9 % auf 76,9 %. Es wird vermutet, dass der Grund dafür die zunehmende Komplexität von Ransomware-Angriffen sein könnte. Die Zusammenlegung von Einrichtungen könnte ebenfalls dazu beitragen.
77,5 % aller Angriffe in der THREAT-Datenbank werden in den Datenschutzverletzungsberichten des Office of Civil Rights (OCR) als Verstöße gegen vertrauliche Gesundheits- und Krankendaten (PHI, Protected Health Information) gemeldet. Das bedeutet, dass 22,5 % der Angriffe nicht zu einem PHI-Verstoß führten. Dies könnte bedeuten, dass bei diesen Angriffen keine Daten offengelegt wurden oder dass die gestohlenen Daten nicht den PHI- oder den OCR-meldepflichtigen Klassifizierungen gemäß HIPAA-Datenschutzverletzungen entsprachen. Forscher stellen außerdem fest, dass Unklarheit hinsichtlich der Meldepflichten von Ransomware-Angriffen herrschen kann.
54,3 % der dem HHS gemeldeten PHI-Verstöße wurden nach Ablauf der vorgeschriebenen Meldefrist gemeldet (Abbildung 3b, S. 6). Auf dem Höhepunkt der Pandemie in den USA, als Gesundheitseinrichtungen aufgrund von COVID-19 und der damit verbundenen Zunahme von Cyberangriffen am stärksten unter Druck standen, kam es zu Verzögerungen bei der Berichterstattung. Der Zeitpunkt für die Benachrichtigung der betroffenen Personen über den Verstoß wurde in dieser Studie nicht berücksichtigt. Zu beachten ist auch, dass für eine verspätete Meldung kein Bußgeld verhängt wird.
44 % der Angriffe führten zu Unterbrechungen in der Versorgung, so z. B. Systemausfallzeiten (41,7 %), Verzögerungen oder Ausfall von geplanten Behandlungen (10,3 %) und Umleitungen von Krankenwagen (4,3 %). Es ist logisch, dass hier die Systemausfallzeit an erster Stelle steht, da das System selbst angegriffen und beeinträchtigt wird. Gesundheitseinrichtungen haben in den letzten Jahren in rasantem Tempo digitale Systeme eingeführt, doch im Falle eines Systemausfalls greifen die Mitarbeiter auf Papiertabellen und Backup-Verfahren zurück. Dies kann ein Faktor für die anderen Ergebnisse in Bezug auf die geplante Versorgung und die Umleitung von Krankenwagen sein.
8,6 % der Unterbrechungen der Gesundheitsversorgung hielten länger als zwei Wochen an.
Operative Störungen |
|
|
|
Anzahl der Angriffe (374 gesamt) |
Anteil der Angriffe in % |
Unterbrochene Pflegeleistungen |
166 |
44,4 |
Dauer der Unterbrechung, Durchschnitt |
15,8 Tage |
N. z. |
Bekannte Störung mit unbekannter Dauer |
67 |
17,9 |
<1 Woche |
39 |
17,9 |
1-2 Wochen |
28 |
7,5 |
2-4 Wochen |
16 |
4,3 |
>4 Wochen |
16 |
4,3 |
(Quelle: Tabelle 1, S. 5)
Die Fähigkeit, verschlüsselte oder gestohlene Daten aus Backups wiederherzustellen, sank im Laufe der Zeit von 34,9 % erfolgreicher Wiederherstellungen 2016 auf 14,4 % in 2021. Von den 374 Angriffen in der THREAT-Datenbank konnten sich nur 77 (20,6 %) der Opfer auf ihre eigenen Systeme für das Daten-Backup. Diese Unternehmen brauchten keinen Entschlüsselung-Schlüssel, um verschlüsselte Daten wiederherzustellen.
Der Rückgang erfolgreicher Wiederherstellungen kann auf einige Dinge zurückzuführen sein. Dies wird in dem Bericht nicht im Detail erörtert, aber wir haben einige Ideen dazu:
- Ransomware wird immer ausgefeilter. Angriffe auf Backup-Systeme können diese für die Wiederherstellung unbrauchbar machen. Backup-Systeme müssen speziell entwickelt werden, um Ransomware-Angriffen standzuhalten, oder sie sind genauso anfällig wie jedes andere System.
- Die digitale Transformation hat neue Informationen an neuen Speicherorten geschaffen. Dies führt zu einer Datenwucherung, und Administratoren kennen nicht alle Speicherorte kritischer Daten. Die Forschung zeigte, dass sich die Zahl der Attacken in den fünf Jahren zwar verdoppelt hat, die PHI-Exposition jedoch um den Faktor 11 zunahm. Es gab auch einen Anstieg von 35 % bei Angriffen, die mehrere Einrichtungen betrafen. Es ist möglich, dass die Daten-Backups einfach nicht mit dem digitalen Wandel in diesen Organisationen Schritt gehalten haben.
- Die Pandemie führte zu einem plötzlichen Anstieg von Patientenakten. Die Nachfrage nach Pflege war so groß, dass Pflegeeinrichtungen umstrukturiert (oder geschaffen) wurden, um den Überlauf aus Krankenhäusern und Kliniken zu bewältigen. Es ist möglich, dass die unterbesetzten IT-Teams sich um die dringendsten Anforderungen und nicht früh genug um die Backup-Systeme kümmerten.
Fazit
Die Wissenschaftler betonen, dass Ransomware-Angriffe im Gesundheitswesen zu wenig gemeldet werden und es zu viele unbekannte Faktoren gibt, was die Art der Störungen und die Gründe für die fehlende (22,5 %) oder verzögerte (53,5 %) OCR-Meldung angeht. Details zu operativen Störungen sollten in die Nachverfolgung einbezogen werden, und Aufzeichnungen wie Medicare-Schadensdaten könnten bei diesen Bemühungen hilfreich sein. Der Aufbau eines umfassenden Berichts- und Nachverfolgungssystems unterstützt den Gesetzgeber, der eine verstärkte Datenerfassung zu allen Cyberangriffen anstrebt, um fundierte politische Maßnahmen ergreifen zu können.
Diese Studie unterlag vielen Einschränkungen, darunter das Fehlen von Daten zu den verwendeten Malware-Typen, zu den versuchten, aber erfolglosen Angriffen oder zu den Auswirkungen der Marktstruktur der Unternehmen. Die größte Dunkelziffer ist die Frage, wie sich Unterbrechungen durch Ransomware auf Patienten auswirken, die während eines Ransomware-Angriffs eine medizinische Betreuung in Anspruch nehmen wollen.
Die Ergebnisse dieser Studie sind viel umfangreicher, als wir hier behandeln können. Der 11-seitige Bericht ist in den Gesundheitsforen der JAMA (Journal of the American Medical Association) verfügbar.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
