Wenn Cyberkriminelle persönliche Daten stehlen, denken viele zuerst an Passwörter oder Kreditkarten. Doch deutlich wertvoller sind für Angreifer inzwischen Gesundheitsdaten. Neue Untersuchungen des Cybersecurity-Unternehmens TrendAI zeigen, dass Diagnosen, Behandlungshistorien und medizinische Dokumente zu den begehrtesten Gütern im kriminellen Untergrund gehören. Der Grund: Anders als eine gestohlene Kreditkarte lassen sich Gesundheitsdaten nicht einfach ersetzen.
Für die Analyse untersuchten die Forscher über einen Zeitraum von zwölf Monaten insgesamt 7.779 Beiträge in Untergrundforen, 21.813 Angebote auf kriminellen Marktplätzen sowie 95 sogenannte Ransomware-Leak-Seiten. Das Ergebnis zeigt, dass Patientendaten auf vielfältige Weise gehandelt und immer häufiger mehrfach für unterschiedliche Betrugsmaschen genutzt werden.
Besonders stark wird der Handel mit Gesundheitsdaten durch Ransomware-Angriffe angeheizt. Dabei verschlüsseln Kriminelle nicht nur Computersysteme, sondern stehlen gleichzeitig große Datenmengen und drohen mit deren Veröffentlichung.
Nach Angaben von TrendAI standen Daten aus solchen Angriffen für 36,3 Prozent aller untersuchten Angebote auf den Untergrund-Marktplätzen. Besonders im Visier stehen mittlerweile Anbieter elektronischer Gesundheitsakten. Gelingt dort ein Angriff, können gleichzeitig zahlreiche Krankenhäuser, Arztpraxen oder andere Gesundheitseinrichtungen betroffen sein.
Die Studie zeigt außerdem, dass Cyberkriminelle Gesundheitsdaten längst nicht mehr nur verkaufen. Sie nutzen sie für Identitätsdiebstahl, Versicherungsbetrug, gefälschte Rezepte und Atteste oder übernehmen damit Patienten- und Mitarbeiterkonten.
Dadurch können gestohlene Datensätze immer wieder für neue Straftaten eingesetzt werden. Während eine Kreditkarte gesperrt und ersetzt werden kann, bleiben medizinische Diagnosen, Behandlungsverläufe oder biometrische Daten dauerhaft gültig.
Mayra Rosario, Senior Threat Researcher bei TrendAI, erklärt: "Gesundheitsdaten haben sich von gestohlenen Informationen zu Assets entwickelt, die Cyberkriminelle langfristig nutzen können. Anders als eine Kreditkarte lassen sich Diagnosen, Behandlungshistorien oder biometrische Daten eines Patienten nicht einfach sperren und neu ausstellen – das macht sie für Ransomware-Gruppen und Datenhändler besonders attraktiv."
Nach Einschätzung der Forscher hat sich die Cyberkriminalität im Gesundheitswesen stark professionalisiert. Auf Untergrund-Marktplätzen werden heute nicht nur Datensätze verkauft. Angeboten werden auch Zugänge zu Krankenhausnetzwerken, Versicherungsdaten, komplette Identitätspakete oder gefälschte medizinische Dokumente.
Eine immer wichtigere Rolle spielen sogenannte Initial Access Broker. Diese verschaffen sich zunächst Zugang zu den IT-Systemen von Krankenhäusern oder Gesundheitsdienstleistern und verkaufen diesen anschließend an andere kriminelle Gruppen weiter. Dadurch wird die Arbeit aufgeteilt und Angriffe lassen sich schneller und einfacher durchführen.
Dirk Arendt, Director Government, Public and Healthcare DACH bei TrendAI, sagt: "Was wir beobachten, sind keine isolierten Einzelfälle, sondern eine ausgereifte Untergrund-Wirtschaft, die gezielt rund um Cyberangriffe auf das Gesundheitswesen aufgebaut wurde. Aktuelle Vorfälle in Deutschland und weltweit zeigen eindrücklich, wie sehr Patientendaten im Fokus von Cyberkriminellen stehen und unbedingt besser geschützt werden müssen."
Besonders besorgniserregend ist laut TrendAI die wachsende Gefahr durch Angriffe auf Softwareanbieter und medizinische Plattformen. Gelingt Kriminellen dort ein Einbruch, können sie nicht nur ein einzelnes Krankenhaus treffen, sondern zahlreiche Einrichtungen gleichzeitig. Solche Lieferkettenangriffe gelten inzwischen als einer der wichtigsten Risikofaktoren für den Gesundheitssektor. Sie ermöglichen es Angreifern, ihre Attacken auf viele Organisationen gleichzeitig auszuweiten.
Parallel dazu untersuchte TrendAI weltweit medizinische Bildgebungssysteme, die direkt mit dem Internet verbunden sind. Die Forscher fanden insgesamt 3.627 öffentlich erreichbare DICOM-Server in mehr als 100 Ländern. Über diese Systeme werden unter anderem MRT-, CT- und Röntgenaufnahmen gespeichert und ausgetauscht. Die Analyse zeigt erhebliche Sicherheitsmängel. Nur 0,14 Prozent der gefundenen Systeme nutzten die vorgesehene TLS-Verschlüsselung. Gleichzeitig akzeptierten 99,56 Prozent Verbindungen ohne wirksame Authentifizierung.
Nach Einschätzung der Forscher könnten Angreifer dadurch Patientendaten auslesen, medizinische Bilddaten manipulieren, Schadsoftware einschleusen oder sich innerhalb von Krankenhausnetzwerken weiter ausbreiten.
Die Untersuchung macht deutlich, dass Gesundheitsdaten für Cyberkriminelle längst zu einer besonders lukrativen Ware geworden sind. Weil sich diese Informationen nicht einfach austauschen oder sperren lassen, können sie über viele Jahre hinweg für Betrug, Erpressung und weitere Straftaten missbraucht werden. Gleichzeitig zeigen die Ergebnisse, dass viele Gesundheitseinrichtungen ihre technischen Schutzmaßnahmen noch deutlich verbessern müssen, um sensible Patientendaten wirksam zu sichern.