
Ein Realitätscheck zu E-Mail-Sicherheitsbedrohungen im Gesundheitswesen
Im August veröffentlichte Barracuda seinen fünften Jahresbericht über gemeldete Ransomware-Vorfälle auf der ganzen Welt, aus dem hervorging, dass sich Ransomware-Angriffe auf Organisationen im Gesundheitswesen seit 2022 mehr als verdoppelt haben. Diese Feststellung fußte auf öffentlich gemeldeten Ereignissen und entspricht anderen Studien, die sowohl auf gemeldeten als auch nicht gemeldeten Ereignissen basieren.
Betrachtet man das Gesundheitswesen jedoch im Kontext anderer Branchen, ergibt sich ein komplexeres Bild. In vielen Fällen kommt es im Gesundheitswesen zu weniger schweren Cybervorfällen als in anderen Branchen – aber die Angriffe machen Schlagzeilen, weil die klinischen Aktivitäten und Patientendaten so riskant und sensibel sind. Und in einigen Fällen, weil die Auswirkungen zwar begrenzt, aber schwerwiegend sind.
Das Gesundheitswesen ist ein ständiges Ziel für Cyberangriffe
Im März hat ein Ransomware-Angriff auf eines der wichtigsten Krankenhäuser von Barcelona das Computersystem des Zentrums lahmgelegt und die Absage von nicht dringenden Operationen und Patientenuntersuchungen erzwungen. Die Angreifer verbrachten die nächsten Monate damit, angeblich gestohlene Daten online zu posten, nachdem das Krankenhaus sich geweigert hatte, das Lösegeld zu zahlen.
Einige Monate später, im August, brachte ein Cyberangriff auf Prospect Medical Holdings in den USA die Computersysteme von Krankenhäusern im ganzen Land zum Erliegen, so dass Notaufnahmen in mehreren Bundesstaaten geschlossen und Krankenwagen umgeleitet werden mussten.
Es ist von entscheidender Bedeutung, die Cyberrisiken zu verstehen und anzugehen, mit denen Organisationen im Gesundheitswesen konfrontiert sind.
Ein guter Ausgangspunkt ist das E-Mail-basierte Risiko. E-Mail bleibt ein primärer Angriffsvektor mit einer hohen Erfolgsquote, der einen häufigen Einstiegspunkt für viele andere Cyberangriffe darstellt. Und in einer Welt nach der Pandemie, in der sich die Entwicklung hin zu einem digitalen Gesundheitswesen und vernetzten Daten beschleunigt und die Angriffsfläche für Bedrohungsakteure vergrößert, sind Organisationen im Gesundheitswesen mehr denn je gefährdet.
45 % der Gesundheitsorganisationen gaben an, dass sie sich im Jahr 2022 viel sicherer fühlen – obwohl 77 % eine Verletzung der E-Mail-Sicherheit erlitten haben
Eine kürzlich durchgeführte internationale Studie unter mittelständischen Unternehmen hat ergeben, dass im Jahr 2022 77 % der Befragten aus dem Gesundheitswesen eine Verletzung der E-Mail-Sicherheit erlebt haben. Der branchenweite Wert lag bei 75 %.
Trotzdem waren die Befragten aus dem Gesundheitswesen zuversichtlich, dass sie in der Lage sind, einem Cybersecurity-Vorfall standzuhalten. 45 % sagten, sie fühlten sich „sehr viel“ sicherer als im letzten Jahr, verglichen mit 34 % in allen anderen Branchen. Dies könnte mehr mit Praktiken, Richtlinien und Bewusstsein zu tun haben als mit Investitionen, denn nur 10 % gaben an, im Jahr 2022 mehr in die Cybersicherheit investiert zu haben, der zweitniedrigste Wert insgesamt.
Die Gesundheitsbranche hat größeres Vertrauen als viele andere Branchen in ihre Fähigkeit, E-Mail-basierte Bedrohungen zu bekämpfen
Barracuda hat 13 Arten von E-Mail-Bedrohungen identifiziert, von einfachem Phishing und bösartigen Links oder Anhängen bis hin zu ausgefeilten Social-Engineering-Techniken wie Business E-Mail Compromise (BEC), Conversation Hijacking und Account-Takeover. Unternehmen des Gesundheitswesens geben seltener als viele andere Branchen an, dass sie sich auf diese Art von E-Mail-Bedrohungen nicht ausreichend vorbereitet fühlen.

Organisationen im Gesundheitswesen haben am meisten mit den Wiederherstellungskosten nach einem E-Mail-Sicherheitsvorfall zu kämpfen
Knapp die Hälfte (44 %) der befragten Gesundheitsorganisationen nannte Wiederherstellungskosten, als sie nach den Auswirkungen eines erfolgreichen E-Mail-Sicherheitsangriffs gefragt wurden – im Vergleich zu 31 % insgesamt – wobei sich die durchschnittlichen Kosten des teuersten Angriffs auf eine Million Dollar ($ 975.000 USD) beliefen.
Die Budgets des Gesundheitswesens sind oft überstrapaziert, und die Kombination aus begrenzten Ressourcen, komplexen und oft kritischen Technologiesystemen sowie der Druck, alles so schnell wie möglich wieder zum Laufen zu bringen, tragen wahrscheinlich dazu bei, dass die Wiederherstellungskosten die am häufigsten aufgeführten Auswirkungen sind.
Der Verlust sensibler, vertraulicher oder geschäftskritischer Daten war jedoch geringer als der Durchschnitt – 29 % gegenüber 43 % insgesamt. Dies könnte daran liegen, dass Gesundheitsorganisationen nach so vielen Jahren als Ziel von Cyberangriffen nun außergewöhnlich strenge Richtlinien für die Weitergabe, Speicherung und Sicherung von medizinischen Daten und anderen geschützten Gesundheitsinformationen (PHI) haben.

60 % waren von Ransomware betroffen – das Gesundheitswesen gehört damit zu den am wenigsten betroffenen Branchen
Die Umfrage ergab, dass 60 % der befragten Unternehmen des Gesundheitswesens von einem Ransomware-Angriff betroffen waren – der zweitniedrigste Anteil nach den Verbraucherdiensten (50 %) und unter dem Branchendurchschnitt von 73 %. Diese Zahl spiegelt sich auch in anderen Studien wider, obwohl man in der öffentlichen Wahrnehmung erwarten könnte, dass das Ergebnis deutlich höher ausfällt.

29 % der Organisationen im Gesundheitswesen berichteten von zwei oder mehr erfolgreichen Ransomware-Vorfällen im Vergleich zu einer Gesamtzahl von 38 %. Dies deutet darauf hin, dass Angriffe nicht immer vollständig neutralisiert sind oder dass Sicherheitslücken nach dem ersten Vorfall nicht immer identifiziert und behoben werden.
Die gute Nachricht ist, dass mehr als die Hälfte (59 %) die verschlüsselten Daten mit Hilfe von Backups wiederherstellen konnte (52 %) und nur 22 % das Lösegeld für die Wiederherstellung ihrer Daten bezahlt haben (34 %).
Spear-Phishing-Angriffe haben erhebliche Auswirkungen
Nur 8 % der befragten Gesundheitsorganisationen fühlten sich nicht ausreichend auf einen Spear-Phishing-Angriff vorbereitet. Bis zu einem gewissen Grad ist diese Zuversicht gerechtfertigt, da nur 32 % der Befragten aus dem Gesundheitswesen im Jahr 2022 von einem solchen Angriff betroffen waren, verglichen mit 50 % insgesamt. Für die Betroffenen waren die Auswirkungen des Angriffs jedoch oft schwerwiegend.
60 % der betroffenen Unternehmen gaben an, dass Computer oder andere Maschinen mit Malware oder Viren infiziert wurden, im Vergleich zu 55 % insgesamt. 60 % gaben an, dass vertrauliche oder sensible Daten gestohlen wurden, im Vergleich zu 49 % insgesamt. 70 % berichteten über gestohlene Anmeldedaten oder die Übernahme von Konten, verglichen mit 48 % insgesamt, und 40 % berichteten über direkte finanzielle Verluste.
Das Gesundheitswesen benötigt etwa 3,5 Tage, um einen E-Mail-Sicherheitsvorfall zu erkennen und zu beheben
Die Untersuchung ergab, dass Unternehmen im Gesundheitswesen weniger Zeit als viele andere Branchen benötigen, um einen E-Mail-Sicherheitsvorfall zu erkennen – im Durchschnitt 29 Stunden im Vergleich zu 43 Stunden insgesamt –, aber sie liegen im Mittelfeld, wenn es um die Reaktion auf einen Vorfall und dessen Behebung geht – im Durchschnitt 51 Stunden im Vergleich zu 56 Stunden insgesamt.
Laut den Befragten waren die größten Hindernisse für eine schnelle Reaktion und Minderung mangelnde Automatisierung, die von 40 % genannt wurde, im Vergleich zu 38 % in der gesamten Branche; und mangelndes Budget, das von 34 % genannt wird, verglichen mit 28 % insgesamt.
Sicherstellung der Gesundheitsversorgung
E-Mail-basierte Cyberangriffe gibt es schon seit Jahrzehnten, doch sie sind nach wie vor weit verbreitet, entwickeln sich ständig weiter – und sind immer wieder erfolgreich.
Unternehmen des Gesundheitswesens benötigen eine zuverlässige E-Mail-Sicherheit mit starken Authentifizierungskontrollen – mindestens eine Multifaktor-Authentifizierung, idealerweise aber Zero-Trust-Maßnahmen – sowie eingeschränkte Zugriffsrechte, automatische Incident Response und KI-basierte Bedrohungserkennung und -überwachung. All dies sollte mit kontinuierlicher Schulung und Sensibilisierung der Mitarbeiter einhergehen, damit diese wissen, wie sie eine verdächtige Nachricht erkennen und melden können.
Idealerweise sollten diese E-Mail-Abwehrmechanismen Teil einer integrierten Sicherheitsplattform sein, die dem IT-Team einen vollständigen Überblick über die gesamte IT-Umgebung verschafft und es ihm ermöglicht, Vorfälle oder anormale Verhaltensmuster, die auf unerwünschte Eindringlinge hinweisen könnten, zu erkennen, zu untersuchen und darauf zu reagieren.
Die Umfrage wurde im Auftrag von Barracuda von dem unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt. Befragt wurden IT-Experten von der Kundenbetreuung bis zu höchsten Führungspositionen in Unternehmen mit 100 bis 2.500 Mitarbeitern aus verschiedenen Branchen in den USA und in EMEA- und APAC-Regionen. Die Stichprobe umfasste 62 Organisationen des Gesundheitswesens.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.