Mehr denn je steht der Schutz Kritischer Infrastruktur im Fokus: Vor allem in hochsensiblen Bereichen wie dem Gesundheitswesen und der Energieversorgung nehmen Phishing, Malware und Ransomware Attacken weiter zu. Was sind die Folgen und wie kann man KRITIS besser schützen?

Aus der Branchenanalyse The State of Ransomware in Healthcare 2022 geht hervor, dass die Ransomware-Angriffe allein auf das Gesundheitswesen weltweit um 94 % angestiegen sind: War der Bereich Healthcare im Jahr 2020 noch zu 34 % betroffen, lag der Wert 2021 bereits bei 66 %.

Auch die Gefahr von Cyberattacken auf Energieversorger war selten größer: Im Oktober 2022 hat es Enercity aus Hannover mit einem Cyberangriff getroffen, durch den weite Teile der Systeme stillstanden. Aber das war nur ein Vorfall von vielen: Eine aktuelle Studie von Trend Micro zeigt auf, dass rund 90 % der deutschen Unternehmen in den Bereichen Strom-, Öl- und Gasversorgung in den letzten zwölf Monaten von Cyberangriffen betroffen waren:

  • 75 % gaben sogar an, dass ihre Umgebungen im Laufe eines Jahres mindestens sechsmal angegriffen wurden.
  • 41 % der deutschen Unternehmen konnten bereits den initialen Angriff nicht abwehren.
  • 31 % wollen zur Verbesserung des Cybersicherheitsniveaus in ihre Cloud-Systeme und die Implementierung von 5G-Campusnetzen (27 %) investieren.

Healthcare und Energiebranche verstärkt im Visier

Aber woran liegt es eigentlich, dass die Bereiche Gesundheitswesen und Energieversorgung besonders stark von Cyberangriffen betroffen sind?

Zum einen sind die im Gesundheitswesen genutzten Daten äußerst sensibel und wertvoll, so dass sie für Angreifer äußerst attraktiv sind. Auch ist der sichere Zugriff auf diese Daten im hektischen Krankenhausalltag nicht immer durch geeignete Methoden wie etwa eine Multi-Faktor-Authentifizierung oder Zero Trust-Konzepte realisierbar. In der Folge kommen vermeintlich leichte Angriffsziele mit voraussichtlich erfolgreichen Erpressungen zusammen.

Zum anderen hat die Integration von Cloud-Computing, Edge-Computing und 5G in gemischte IT- und OT-Umgebungen auch die industriellen Systeme und Prozesse der Energieversorger verändert. Das hat zu einer Flut von Sicherheitsbedrohungen geführt, gegen die viele Unternehmen nicht gewappnet sind. Erschwerend kommt die aktuelle geopolitische Gemengelage hinzu, bei der auch das Thema Energie als politische Waffe eingesetzt wird.

Cyberangriffe: Unter Umständen lebensgefährlich

Was vor allem die Cyberangriffe auf das Gesundheitswesen so gefährlich macht, ist die Tatsache, dass sie nicht nur finanzielle Schäden oder Reputationsverluste nach sich ziehen. So belegt der Bericht Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care des Ponemon Institute, das Cyberangriffe bei mehr als 20 % der betroffenen US-Gesundheitseinrichtungen zu einer erhöhten Sterblichkeitsrate führen.

Dabei haben 89 % der befragten Organisationen in den letzten 12 Monaten mindestens einen Angriff erlebt und 72 % glauben, dass sie nach wie vor für einen Ransomware-Angriff anfällig sind. Laut der Studie sind Verzögerungen bei Behandlungen und Tests die häufigsten Folgen. Dies führt bei 57 % der US-Gesundheitsdienstleistern zu schlechteren Ergebnissen für die Patienten:innen und bei fast der Hälfte zu vermehrten Komplikationen bei medizinischen Verfahren.

Wie das Gesundheitswesen angegriffen wird

Internet of Things: Im Schnitt nutzen Organisationen im Gesundheitswesen mehr als 26.000 Geräte, die mit dem Netzwerk verbunden sind. Obwohl die ungenügende Absicherung der Devices mehr als 64 % der Befragten Sorgen bereitet, beziehen nur 51 % diese in ihre Cybersicherheitsstrategie mit ein.

Kompromittierung der Cloud: 45 % der befragten Organisationen des Gesundheitswesens waren mindestens einmal von einer Cloud-Kompromittierung betroffen, wobei 64 % der Betroffenen eine Beeinträchtigung der Patientenversorgung festgestellt haben.

Ransomware: 41 % der befragten Gesundheitseinrichtungen waren von einem Ransomware-Angriff betroffen und 67 % davon gaben an, dass sich dies auf die Patientenversorgung auswirkte.

Phishing-Angriffe: 51 % der befragten Organisationen waren von Phishing-Angriffen betroffen. Dabei stellten 67 % eine Beeinträchtigung der Patientenversorgung fest.

Kritischer Faktor Mensch: Security Awareness steigern

Die gute Nachricht lautet, dass die Organisationen zunehmend erkennen, dass unvorsichtige Mitarbeitende ein erhebliches Risiko darstellen: Laut der Befragung ergreifen ganze 59 % mittlerweile Maßnahmen, um dem mangelnden Sicherheitsbewusstsein zu begegnen, wobei 63 % von ihnen regelmäßige Schulungs- und Sensibilisierungsprogramme durchführen.

Dazu kommt, dass der Kostendruck im Gesundheitswesen traditionell hoch ist: 53 % der Teilnehmer gaben an, dass der Mangel an internem Fachwissen eine große Herausforderung darstellt. Dazu sagten 46 %, dass sie nicht über genügend Personal verfügen, wobei sich beide Faktoren negativ auf die Cybersicherheit auswirken.

Managed Security Services (MSS) können hier die Lücke füllen, denn man kann sich die benötigen Kompetenzen bei Bedarf kosteneffizient einkaufen. Kennt sich der Anbieter noch mit den besonderen Anforderungen von KRITIS aus, umso besser.

  • IT-SiG 2.0: Was für KRITIS verpflichtend wird

Dabei gilt, dass Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr, Energieversorger wie auch alle anderen KRITIS-Betreiber in der Pflicht stehen, bestimmte Maßnahmen zu ergreifen. Die KRITIS-Regulierung wurde bereits 2021 mit dem IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 1.5 deutlich erweitert. Spätestens bis zum 1. Mai 2023 müssen die folgenden Punkte umgesetzt werden:

Verpflichtende Registrierung: Betreiber müssen sich selbst als KRITIS identifizieren und sich unmittelbar beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Verschärfte Meldepflichten: KRITIS-Betreiber müssen dem BSI sämtliche Informationen zur Bewältigung erheblicher Störungen mitsamt den betroffenen personenbezogenen Daten zur Verfügung stellen.

Geltungsbereich: Es gilt, die eigenen KRITIS-Anlagen im Detail zu definieren und den Scope im Unternehmen festzulegen.

Cyber Security einsetzen: Zu den verpflichtenden Maßnahmen gehören das Verwalten der Sicherheit (ISMS), von Notfällen (BCM) und Risiken wie auch der  Einsatz von Systemen und Prozessen zur Angriffserkennung (z. B. IDS, SIEM und SOC).

Prüfungen durchführen: Die Umsetzung der geforderten Cyber-Security-Maßnahmen muss durch eine regelmäßige Prüfung nachgewiesen werden.

Warum KRITIS für eine sichere Zukunft gerüstet sein muss

Im Vergleich zu anderen Branchen hat das Gesundheitswesen traditionell Nachholbedarf, wenn es darum geht, Schwachstellen zu beseitigen. Dazu kommen die mittlerweile stark vernetzten IT- und OT-Umgebungen der Energieversorger, die es mehr denn je abzusichern gilt.

Aber auch Unternehmen, die nicht unter die KRITIS-Verordnung fallen, sollten sich an den Best Practices orientieren. Insbesondere die Fähigkeit, Bedrohungen proaktiv zu erkennen und zu reagieren, wird in Zukunft unverzichtbar sein. Denn wir haben es heute mit hochautomatisierten Cyber-Angriffen zu tun, die sich über verschiedene Ebenen der IT-Umgebung erstrecken.

Sie benötigen einen erfahrenen Partner, der über den nötigen Weitblick und den richtigen Werkzeugkasten an Lösungen verfügt? Fragen Sie uns!