Daten des öffentlichen Sektors und des Gesundheitswesens im Angesicht von Cyberangriffen

Als Datenbank-Experten sind wir mitunter direkte Zeugen von Angriffen auf die in den Datenbanken unserer Kunden gespeicherten Informationen. Seit 2021 beobachten wir eine zunehmende Intensität dieser Angriffe – mit durchschnittlich einem gemeldeten Sicherheitsvorfall pro Monat bei unseren Kunden.

Öffentlicher Sektor und Gesundheitswesen im Angesicht von Cyberangriffen

Laut der ANSSI machten Gebietskörperschaften 19% aller von Ransomware-Angriffen betroffenen Einrichtungen im Jahr 2021 aus. Öffentliche Gesundheitseinrichtungen stellten 7% der Opfer dar. ​

Insgesamt wurden bereits 30% der Gebietskörperschaften Opfer von Ransomware. Im Jahr 2020 haben sich die Meldungen von Ransomware-Angriffen im Vergleich zu 2019 um das 3,5-Fache erhöht. Alle Gebietskörperschaften sind betroffen, unabhängig von ihrer Größe. ​

Darüber hinaus scheint der Gesundheitssektor zunehmend betroffen zu sein, da zwischen 2020 und 2021 die Meldungen von Sicherheitsvorfällen laut dem Observatorium für Meldungen von Sicherheitsvorfällen in Informationssystemen für den Gesundheitssektor mehr als verdoppelt wurden.

Die Herausforderungen der Datensicherheit im öffentlichen Sektor und im Gesundheitswesen

Die Gebietskörperschaften befinden sich in einem tiefgreifenden digitalen Wandel, der darauf abzielt, regulatorischen Verpflichtungen nachzukommen, aber auch den Bedürfnissen der Bürger gerecht zu werden. Die zunehmende Abhängigkeit von Informationssystemen und die Heterogenität der Größe von Gemeinden und Körperschaften schaffen eine gewisse Verwundbarkeit.

Fokussiert man sich auf Gesundheitsdaten, so gehören diese zu den vom DSGVO als sensibel eingestuften Daten. Die CNIL definiert sie als "Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person in der Vergangenheit, Gegenwart oder Zukunft beziehen (einschließlich der Erbringung von Gesundheitsdienstleistungen), die Informationen über den Gesundheitszustand dieser Person offenbaren.

Diese Faktoren erklären zumindest teilweise die oben genannten Statistiken und die jüngsten Schlagzeilen über Sicherheitsvorfälle in Krankenhäusern oder im weiteren Sinne im öffentlichen Sektor.

Daten des öffentlichen Sektors und des Gesundheitswesens: bevorzugte Ziele von Cyberkriminellen!

Im Jahr 2023 ist die Anzahl der Cyberangriffe im öffentlichen Sektor sprunghaft angestiegen. Krankenhäuser, Rathäuser, Verwaltungen: Keine Organisation bleibt verschont. Die Konsequenzen können dramatisch sein: Lecks sensibler Daten, Ausfälle kritischer Dienste, Reputationsschäden...

Warum sind der öffentliche Sektor und das Gesundheitswesen so verwundbar?

Mehrere Faktoren erklären diese Situation:

• Laufende digitale Transformation: Der öffentliche Sektor und das Gesundheitswesen stützen sich zunehmend auf Informationssysteme, was neue potenzielle Sicherheitslücken schafft.​

• Sensible Daten: Gesundheitsdaten und persönliche Daten der Bürger sind bevorzugte Ziele für Cyberkriminelle.​

• Mangel an Ressourcen und Kompetenzen: Öffentliche Organisationen verfügen oft über begrenzte Budgets und Personal für Cybersicherheit.

Welche Konsequenzen hat ein Cyberangriff?

Die Konsequenzen eines Cyberangriffs können sowohl für Organisationen als auch für Bürger schwerwiegend sein:

• Lecks sensibler Daten: Gesundheitsdaten und persönliche Daten der Bürger können gestohlen und für illegale Zwecke verwendet werden.​

• Ausfälle kritischer Dienste: Cyberangriffe können essentielle Dienste wie Krankenhäuser oder Standesämter stören oder lahmlegen.​

• Reputationsschäden: Ein Cyberangriff kann den Ruf einer Organisation und ihrer Führungskräfte erheblich schädigen.​

• Erhebliche finanzielle Kosten: Cyberangriffe können erhebliche Kosten für Reparaturen, Umsatzverluste und Entschädigungen der Opfer verursachen.

Wie kann man sich vor Angriffen im öffentlichen Sektor und im Gesundheitswesen schützen?

Für lebenswichtige oder essentielle Informationssysteme hat die ANSSI einen Rahmen geschaffen, der die Definition einer Sicherheitsrichtlinie für Informationssysteme, deren Kartierung, die Risikoanalyse lebenswichtiger Aktivitäten oder essentieller Dienste sowie die Zulassung von Informationssystemen und Sicherheitsaudits umfasst.

Beobachtete Angriffstypen

Die Hauptangriffe, die wir beim Zugriff auf Daten festgestellt haben, resultieren aus der Ausnutzung der folgenden Elemente:

• Sicherheitslücken (Ausnutzung einer Schwachstelle, ...)​

• Phishing-E-Mails​

• Missbrauch von Dienstleisterkonten​

• Ungepatchte exponierte Assets​

• Identitätsdiebstahl

Die Konsequenzen dieser Cyberangriffe

ie Folgen von Cyberangriffen können isoliert oder in Kombination auftreten. Ein Angriff kann lediglich in einer einfachen Datenpanne oder -exfiltration bestehen. In solchen Fällen wird der Vorfall möglicherweise nicht sofort bemerkt – insbesondere, wenn der Datenabfluss nicht mit einer Datenverschlüsselung einhergeht oder die Quelle intern ist.

Handelt es sich um einen Ransomware-Angriff, kann eine Lösegeldforderung gestellt werden, um den Entschlüsselungsschlüssel zu erhalten oder die Veröffentlichung der Daten zu verhindern. Ziel sind dabei oft Daten, Dateien, virtuelle Maschinen, Backups – in Extremfällen sogar deren Löschung.

Selbst bei Zahlung gibt es keine Garantie, dass die Daten entschlüsselt oder die Veröffentlichung verhindert wird. Operativ reichen die Schäden von der Nichtverfügbarkeit einzelner Anwendungen oder Dienste bis zum vollständigen Ausfall des gesamten Informationssystems (IS). So kann es etwa zum Ausfall der Kommunikationsmittel kommen (E-Mail, IP-Telefonie, Arbeitsstationen, Anwendungen, Unternehmensverzeichnisse) oder zur Unmöglichkeit, den physischen Zugang zu Standorten zu verwalten.

Wiederherstellungsdauer nach einem Cyberangriff

Die Zeit zur Rückkehr in den Normalbetrieb reicht von einigen Tagen bei frühzeitig erkannten Angriffen bis hin zu mehreren Monaten, wenn das IS tiefgreifend betroffen ist. Die ANSSI erklärt dazu: „Einige Gesundheitseinrichtungen waren gezwungen, ihre Aktivitäten über mehrere Monate im Notbetrieb aufrechtzuerhalten, während sie ihr Informationssystem neu aufbauten oder verstärkten, um es widerstandsfähiger gegenüber Cyberbedrohungen zu machen.“

Die einzelnen Phasen

Der Wiederaufbau des betroffenen Perimeters erfolgt in folgenden Phasen:

• Identifikationsphase der Bedrohung

• Untersuchungsphase: Bestandsaufnahme – was ist betroffen, was ist intakt, was ist teilweise kompromittiert. Alles, was nicht zu 100 % als sicher gilt, muss neu aufgebaut oder wiederhergestellt werden. Hier erfolgt die Abgrenzung des Angriffsumfangs.

• Eindämmung: Interne und externe Zugänge werden gekappt.

• Behebungsphase: Beseitigung der Bedrohung.

• Wiederaufbauphase des Informationssystems: Operative Freigabe der Systeme.

• Nachbereitung: Lehren aus dem Vorfall ziehen.

Die Sicherung von Datenbanken ist unerlässlich

Die Absicherung der Datenbanken ist eine Grundvoraussetzung für die Wiederaufbauphase des IS. Um jedoch gar nicht erst in diese Lage zu geraten, zählt Prävention zu den effektivsten Schutzmaßnahmen. Dazu ist es entscheidend, sich von einem Experten begleiten zu lassen, um die passendsten Lösungen für Ihre Bedürfnisse zu identifizieren.

Unsere Experten unterstützen Sie bei der Analyse und dem Risikomanagement Ihrer Datenbanken – durch Audits, Risikobewertungen und kontinuierliche Überwachung. Darüber hinaus begleiten wir Sie bei der Absicherung von Datenbanksystemen (DBMS) und Data Lakes – bereits ab der Konzeption Ihrer Datenarchitektur. Kontaktieren Sie uns noch heute, um Ihre Anforderungen an die Sicherheit Ihrer Datenbanken gemeinsam zu besprechen.

Quellen : 
*Panorama de la cybermenace 2022, ANSSI
**Etude du Clusif, juin 2020
*** infographie ANSSI
**** Revue stratégique de cyberdéfense (RSC) de 2018
***** https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante