ForgeRock hat für seinen Consumer Identity Breach Report 2022 weltweite Daten aus verschiedenen branchenrelevanten Quellen analysiert und festgestellt, dass der Gesundheitssektor zum inzwischen vierten Jahr in Folge das weltweit beliebteste Ziel für Cyberkriminelle war – fast ein Viertel (24 Prozent) aller erfassten Angriffe fanden im Gesundheitssektor statt. Die Datensätze, die bei diesen Angriffen entwendet wurden, enthielten meist besonders sensible personenbezogene Informationen, darunter Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und – bei zwei Dritteln der Angriffe – auch Gesundheitsdaten wie beispielsweise Informationen zu Diagnosen und Behandlungen. Dementsprechend waren die verursachten Kosten pro Datensatz bei Angriffen im Gesundheitswesen auch mit Abstand die höchsten aller Branchen weltweit und stiegen im Jahr 2021 um fast 30 Prozent (29,5 Prozent) auf 614 US-Dollar, verglichen mit 474 US-Dollar im Vorjahr.
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Jahresbericht feststellte, gab es auch in Deutschland im Jahr 2021 eine Reihe von gezielten Angriffen auf IT im Gesundheitssektor, viele davon auf Organisationen im Zusammenhang mit COVID-19. Zu den vom BSI erfassten Verstößen zählten ein Angriff auf die Europäische Arzneimittelagentur (EMA) über den Zugriffspunkt eines Dienstleisters, ein DDoS-Angriff auf das Impfportal des Bundeslandes Thüringen und ein Ransomware-Angriff auf einen deutschen Hersteller von Antigentests.
Der Gesundheitssektor im Allgemeinen verzeichnete die höchste Anzahl (70 Prozent) aller durch Ransomware-Angriffe erbeuteten Datensätze. Nach Angaben des BSI haben Hackergruppen ihren Fokus auf finanzkräftigere Ziele mit besonders wertvollen Daten verlagert, die eher bereit sind, unabhängig von den Kosten das geforderte Lösegeld für die entwendeten Daten zu bezahlen. Darüber hinaus veröffentlichen Cyberkriminelle die bei Ransomware-Angriffen entwendeten Daten häufig auf DarkNet-Plattformen. So entsteht ein neuer Zugangspunkt für weitere Angreifer, die diese Informationen nutzen können. Um den zunehmenden Ransomware-Angriffen effektiv entgegenzuwirken, sollten Organisationen und Privatpersonen die Möglichkeiten von passwortloser Authentifizierung mittels FIDO2 oder Fingerabdruckscannern intensiver nutzen und so den Wert entwendeter Anmeldedaten minimieren.
Der Gesetzgeber hat vor dem Hintergrund der Zunahme von Angriffen auf kritische Infrastrukturen das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme verabschiedet. Zusätzlich zu weiteren erhöhten Sicherheits- und Compliance-Vorgaben macht das Gesetz ab Mai 2023 Systeme zur Angriffserkennung gesetzlich verpflichtend für alle Organisationen die im Bereich der kritischen Infrastruktur tätig sind. Dazu gehört auch der Gesundheitssektor, was bedeutet, dass die hohe Anzahl an Ransomware-Angriffen in diesem Sektor zu einem noch größeren Risiko wird, denn zu den bereits bestehenden Kosten von Datenschutzverletzungen kommen dann noch staatliche Geldbußen von bis zu 20 Millionen Euro im Falle von unzureichenden Sicherheitsmaßnahmen hinzu. Organisationen im Gesundheitssektor sind daher gut beraten, jetzt alle Ebenen ihrer IT-Sicherheit zu überprüfen, von der Bedrohungserkennung bis zum Identitätsmanagement.
Um den vollständigen Consumer Identity Breach Report zu sehen oder mehr über ForgeRock zu erfahren, besuchen Sie https://www.forgerock.com/de/.
Methodik
ForgeRock hat den Consumer Identity Breach Report auf der Grundlage von Datenschutzverletzungen in den USA, Großbritannien, Deutschland, Australien und Singapur erstellt. Die Daten stammen aus verschiedenen Quellen wie dem Bundeslagebild Cybercrime 2021 des Bundeskriminalamts (BKA), dem Lagebericht zur IT-Sicherheit in Deutschland des Bundesamts für Sicherheit in der Informationstechnik (BSI), Auswertungen von Forrester Research sowie des Ponemon Institute und anderen. ForgeRock hat diese Daten zwischen dem 1. Januar 2021 und dem 31. Dezember 2021 erhoben.
Quelle: ForgeRock