Seite 3: Gesundheitsdaten als Handelsware

Inhaltsverzeichnis

Laut dem Trustwave Global Security Report 2019 hatten Gesundheitsdaten auf dem Schwarzmarkt im Darknet seinerzeit einen Wert von knapp über 250 US-Dollar – also pro einzelnem Datensatz / Gesundheitsakte. Im Jahr 2022 ergaben Auswertungen; dass eine einzige Gesundheitsakte unterschiedlichen Quellen wie dem Gesundheitsnachrichtendienst Fierce Healthcare zufolge bis zu 1.000 US-Dollar wert sein kann. Im Vergleich dazu sind Kreditkartendaten deutllich günstiger.

Der Kostenunterschied hat folgende Gründe: Gesundheitsdaten lassen sich für Betrug, Identitätsdiebstahl und Erpressung verwenden. Das geht auch mit anderen personenbezogenen Daten. Identitäten in Form von E-Mail-Adressen, Bankkonten, Telefonnummern und ähnlichem lassen sich mit relativ wenig Aufwand wechseln oder wie nicht mehr benötigte Kleidung ablegen. Das sind schließlich nicht Sie, sondern nur eine mit ihnen verknüpfte digitale Identität. Selbst eine Anschrift lässt sich notfalls durch einen Umzug dauerhaft ändern. Ihre Gesundheitsdaten, körperlichen Merkmale und Ihre medizinische Geschichte können Sie jedoch nicht so einfach abstreifen oder ändern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte in seinem letzten Lagebericht zur IT-Sicherheit in Deutschland 2021 fest: "Angesichts des besonders schwerwiegenden Eingriffs in die schützenswerte Intimsphäre von Patientinnen und Patienten, die beispielsweise ein Abfluss sensibler Gesundheitsdaten darstellt, muss der Schutz dieser Daten eine übergeordnete Priorität einnehmen. Der Verlust von sensiblen Gesundheitsdaten kann möglicherweise lebenslange Folgen für Patientinnen und Patienten nach sich ziehen."

Aus dem BSI-Bericht zum Digitalen Verbraucherschutz 2021 geht zudem hervor, dass Verbraucher in Deutschland immer häufiger von Cyberangriffen betroffen sind, "ohne direkt angegriffen worden zu sein. Erfolgreiche Cyberangriffe auf Kommunalverwaltungen, auf Krankenhäuser, auf Unternehmen oder auf andere Institutionen haben teils erhebliche Auswirkungen auf viele Menschen, die in diesen Kommunen leben, Kunde der Unternehmen sind oder in anderer Weise Leistungen der Institutionen in Anspruch nehmen".

Erpressung an kritischer Stelle

Im Bereich Ransomware kommt dazu die Erkenntnis, dass im Gesundheitssektor eher ein Lösegeld gezahlt wird, als in anderen Bereichen. Dies stellte zumindest Sophos in seinem Bericht The State of Ransomware in Healthcare 2022 fest. Wo Menschenleben in Gefahr geraten, ist die Bereitschaft zum Zahlen eines Lösegeldes höher, als in weniger kritischen Bereichen. Wenn sich ein Virus beziehungsweise Eindringling im System nicht schnell wirksam bekämpfen lässt und in der Folge kein Zugriff mehr auf das System und/oder wichtige Daten besteht, wird oftmals gezahlt. In der Hoffnung, das System damit zu retten und schnell wieder handlungsfähig für die medizinische (Notfall-)Versorgung zu sein.

Es zahlt sich nicht aus, zu zahlen

Es gibt Versicherungen, die Unternehmen gegen Cyber-Risiken absichern - auch gegen die Zahlung von Lösegeld bei einem Ransomware-Vorfall. BSI und Polizei raten davon ab, Lösegeld an Kriminelle zu zahlen. Eine Zahlung bestärkt die Täter in ihrem Handeln. Wer bereitwillig zahlt, finanziert die Kriminellen. Beim kriminellen Geschäftsmodell Ransomware-as-a-Service finanziert das Opfer mit seiner Zahlung nicht nur die direkt handelnden Täter (Affiliates), sondern auch die Hersteller der Ransomware im Hintergrund. Die RaaS-Betreiber können mit dem Geld, das sie als Anteil an der Beute erhalten, ihren Service weiter ausbauen, während die direkten Täter sich neue Opfer suchen können. Oder die Täter kommen einfach wieder. Was beim ersten Mal bei diesem Opfer geklappt hat, kann schließlich auch ein zweites Mal klappen, die Täter wissen nun, dass dort Geld zu holen ist und dass man sich darauf einlässt. Die Wahrscheinlichkeit, nach einer Lösegeldzahlung erneut Opfer zu werden, steigt: 82 Prozent der erpressten Unternehmen in Deutschland wurden im Jahr 2022 anschließend ein zweites Mal Opfer eines Ransomware-Angriffs. Das ist das Ergebnis einer Studie des Cybersicherheitsanbieters Cybereason. Dieser befragte 1.456 IT-Sicherheitsexperten aus neun Ländern (davon 150 Teilnehmer aus Deutschland).

In den letzten Jahren ist die Zahl der Unternehmen mit einer Versicherung gegen Cyberangriffe gestiegen. Täter reagieren auf solche Entwicklungen. Es gibt laut dem Software-Unternehmen Varonis Gruppen, die ihre Opfer gezielt nach Auskünften zu ihrer Versicherungspolice befragen, oder diese haben wollen, um ihre Lösegeldforderung angepasst an die Versicherungsbedingungen fordern zu können. Im Jahr 2021 machten die Cyber-Versicherungen in Deutschland erstmals Verluste. Ihre Aufwendungen für die Schadensbeseitigung überstiegen die Einnahmen. Jedem eingenommenen Euro der Versicherung standen Ausgaben für Schäden und Verwaltung von 1,24 Euro gegenüber, wie der Gesamtverband der Versicherer berichtet. Einzelne Versicherungen wie Axa haben mittlerweile erkannt, dass dieser Markt für sie nicht lukrativ ist und decken Lösegeldzahlung nicht mehr ab, oder erhöhen Versicherungsprämien und/oder Selbstbeteiligungen und fordern zusätzliche Maßnahmen bei Unternehmen ein.

Abgesehen von der eigenen Gefahr, erneut zum Opfer auserkoren zu werden, kann man sich nicht darauf verlassen, dass danach alles wieder gut wird. Trotz Zahlung gibt es keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme. Auf Kriminelle ist kein Verlass. Wenn es schlecht läuft, ist nicht nur das per Kryptogeld gezahlte Lösegeld weg, sondern das eigene System und die Daten weiterhin verschlüsselt oder die Dekryptierung war nur bei einem Bruchteil der Daten erfolgreich. Laut einer Studie von Sophos bekamen die Opfer nach der Lösegeldzahlung im Durchschnitt nur 65 Prozent ihrer Daten im Jahr 2022 zurück. Diese Quote lag im Jahr 2020 noch bei 69 Prozent. Nur 2 Prozent der zahlenden Opfer aus dem Gesundheitsbereich bekamen überhaupt alle ihre Daten zurück.

Hinzu kommt, dass die interessanten (wertvollen) Daten vorher meistens von den Tätern kopiert worden sind, also nach Unbekannt abgeflossen sind und dort gegebenenfalls bereits vervielfältigt wurden. Mit diesen Daten lässt sich auf anderem Wege Geld machen. Es gibt eine ganze Reihe von Ransomware-Gruppen, die ihr Opfer nach der Lösegeldzahlung noch mit einem Doxing bloßstellen. Das geht aus einem weiteren Bericht des auf Incidet Response spezialisierten US-Unternehmen Coveware hervor.

Und wer garantiert, dass das entschlüsselte System nicht mit einer oder mehreren Hintertüren versehen worden ist oder die Daten dann mit Schadcode behaftet und korrumpiert sind? Dazu droht rechtliches Ungemach: was wäre, wenn die Täter in einem Land beheimatet sind, das aktuell sanktioniert ist und bei dem eine solche Zahlung an die Täter als ein Gesetzesverstoß durch das zahlende Opfer angesehen werden könnte?

Die Kombination von wenig Aufwand für die Tatdurchführung bei möglichst hoher in Aussicht stehender Gewinnmarge (durch Lösegeldzahlung und/oder Wert der erlangten Daten) führt zu dem Ergebnis, dass der Gesundheitssektor ein äußerst attraktives Ziel für Täter ist. Es ist eine einfache Kosten-Nutzen-Analyse, die auch im Ecosystem des Cybercrime Anwendung findet. Daher ist es kein Wunder, dass es seit ein paar Jahren Ransomware-Gruppen gibt, die auch auf dem Gesundheitssektor aktiv sind. Erst im Dezember 2022 warnte das Ministerium für Gesundheitspflege und soziale Dienste der Vereinigten Staaten (US Department of Health and Human Services/HHS) explizit vor einer ernsten Bedrohung von Gesundheitseinrichtungen durch eine Ransomware-Gruppe, die sich speziell auf den Gesundheitssektor spezialisiert hat.