Norse, führender Anbieter von Sicherheitsinformationen, führte Anfang des Jahres eine Netzwerkanalyse im Auftrag des SANS Instituts durch. Über das globale Sensornetzwerk fanden sie tausende bösartige Aktivitäten in Gesundheitseinrichtungen – von September 2012 bis Oktober 2013 unter anderem 49.917 einzelne bösartige Events. Darüber hinaus fanden sie 723 bösartige IP-Adressen bei insgesamt 375 betroffenen Organisationen in den USA.

In der ersten Hälfte 2014 wurden 14.729 Events, 567 IP-Adressen und insgesamt 357 betroffene Organisationen ausgemacht.

Die Events und IP-Adressen sind mit besonderen Risiken behaftet, da es dabei um Geräte geht, die eigentlich nicht mit dem Sensornetzwerk von Norse kommunizieren sollten. Die stattfindende Kommunikation deutet auf kompromittierte Adressen und die eventuelle Nutzung dieser für anderweitige Zwecke hin.

Man könnte diese laxen Sicherheitsvorkehrungen bei kleinen Laboratorien oder Kliniken vermuten – doch auch Krankenhäuser mit 300 bis 399 Betten waren betroffen. Rund 2.200 Personen arbeiten in einem Krankenhaus dieser Größe.

Dabei kann das öffentlich zugängliche Gerät auch schlichtweg ein Drucker sein – Hacker werden jede Schwachstelle ausnutzen, um in das System einzudringen. Selbst jemand, der einfach nur neugierig ist, könnte die IP-Adresse von jedem Ort in der Welt aufrufen. Im Falle eines Druckers könnten Angreifer alles, was über den Drucker läuft, als Kopie an einen anderen Ort senden. Gerade in Bezug auf medizinische Daten durchaus ein Risiko. Über das Gerät könnte auch Malware in das verbundene System eingeschleust oder auf andere Geräte zugegriffen werden. Schließlich könnte so auch das Krankenhausnetzwerk selbst genutzt werden, um zum Beispiel Denial-of-Service-Attacken zu starten.

Wie viele Geräte werden in Krankenhäusern einfach mit dem Netzwerk verbunden, ohne Standardeinstellungen zu ändern oder überhaupt an Netzwerksicherheit zu denken?
Und wie viele Krankenhäuser versichern jedem, dass medizinische Informationen schon allein aus rechtlichen Gründen höchst vertraulich behandelt werden?

Das Gesetz, auf das sie sich mit derartigen Phrasen beziehen, wurde so gestaltet, dass es bekannte Datenlecks bestraft. Krankenhäuser sind rechtlich dazu verpflichtet, Cyber-Einbrüche zu melden. Der „wahre Hacker“ ist aber der, der in das System unbemerkt eindringt und heimlich Daten entwendet. Der Norse-Studie zufolge könnte es womöglich tausende von Einbrüchen bei Gesundheitseinrichtungen geben, ohne dass diese je bemerkt wurden.

Eine Studie von McKinsey aus diesem Jahr schätzt, dass global gesehen insgesamt bis zu drei Billionen US-Dollar für mehr Cyber-Abwehr ausgegeben werden müssten. Doch egal, wie die Berechnungen ausfallen – das Gesundheitswesen hinkt in vielen Fällen besonders stark hinterher.

Artikel von forbes.com, 03.08.2014: Just How Secure Are IT Networks In Healthcare?