Die jährlich von Sophos in Auftrag gegebene Studie über Ransomware-Erfahrungen der IT-Experten im Gesundheitswesen deckt eine immer schwieriger werdende Angriffsumgebung auf. Neben der zunehmenden finanziellen und betrieblichen Belastung, die Ransomware für ihre Opfer bedeutet, wirft die Umfrage auch ein neues Licht auf die Beziehung zwischen Ransomware und Cyber-Versicherungen. Dabei geht es auch um die Rolle, die Versicherungen bei der Entwicklung von Cyber-Abwehrmaßnahmen spielen.
Sophos beauftragte das Marktforschungsunternehmen Vanson Bourne mit der Durchführung einer unabhängigen, herstellerunabhängigen Umfrage unter 5.600 IT-Fachleuten, darunter 381 Befragte aus dem Gesundheitswesen in mittelgroßen Unternehmen (100-5.000 Mitarbeiter) in 31 Ländern. Die Umfrage wurde im Januar und Februar 2022 durchgeführt, und die Befragten wurden gebeten, auf der Grundlage ihrer Erfahrungen aus dem vergangenen Jahr zu antworten.
Die Zahl der Angriffe sowie ihre Komplexität und Auswirkungen nehmen zu
66% der Organisationen im Gesundheitswesen wurden im vergangenen Jahr Opfer von Ransomware-Angriffen - im Jahr 2020 waren es noch 34%, was einen Anstieg von 94% innerhalb eines Jahres bedeutet. Daraus lässt sich ableiten, dass Angreifer wesentlich besser in der Lage sind, die wichtigsten Angriffe in großem Umfang auszuführen. Dies spiegelt wahrscheinlich auch den wachsenden Erfolg des Ransomware-as-a-Service-Modells wider, das die Reichweite von Ransomware erheblich vergrößert, indem es die für die Erstellung und den Einsatz eines Angriffs erforderlichen Fähigkeiten reduziert.
Vergleicht man die Prävalenz von Ransomware-Angriffen über alle untersuchten Sektoren hinweg, so lag die Angriffsrate im Gesundheitswesen auf dem Niveau des weltweiten Durchschnitts von 66%
In Bezug auf die Datenverschlüsselungsrate schnitt das Gesundheitswesen mit einer Verschlüsselungsrate von 61% besser ab als der weltweite Durchschnitt mit 65%. Das deutet darauf hin, dass das Gesundheitswesen besser in der Lage war, die Datenverschlüsselung bei einem Ransomware-Angriff zu stoppen. Die Verschlüsselungsrate im Gesundheitswesen ist im Vergleich zum Vorjahr ebenfalls gesunken (65% im Jahr 2020).
Der Prozentsatz der Opfer, die von reinen Erpressungsangriffen betroffen waren, bei denen die Daten nicht verschlüsselt wurden, sondern die Organisation mit der Drohung, Daten preiszugeben, erpresst wurde, sank von 7% im Jahr 2020 auf 4% im Jahr 2021. Ein Grund für dieses gute Ergebnis könnte sein, dass sich mehr Organisationen im Gesundheitswesen für eine Cyberversicherung entscheiden, die höhere Anforderungen an die Cybersicherheitsabwehr stellt.
Die Zunahme erfolgreicher Ransomware-Angriffe ist Teil eines immer schwierigeren allgemeinen Bedrohungsumfelds, von dem das Gesundheitswesen mehr als jeder andere Sektor betroffen ist. Das Gesundheitswesen verzeichnete den höchsten Anstieg des Volumens von Cyberangriffen (69%) sowie der Komplexität von Cyberangriffen (67%) im Vergleich zum sektorübergreifenden Durchschnitt von 57% bzw. 59%. Was die Auswirkungen dieser Cyberangriffe betrifft, so war das Gesundheitswesen der am zweitstärksten betroffene Sektor (59%) im Vergleich zum weltweiten Durchschnitt von 53%.
Das Gesundheitswesen kann Daten nach einem Angriff besser wiederherstellen
Mit der zunehmenden Verbreitung von Ransomware sind die Unternehmen besser in der Lage die Folgen eines Angriffs zu bewältigen. 99% der Organisationen im Gesundheitswesen, die im letzten Jahr von Ransomware betroffen waren, erhalten nun einige verschlüsselte Daten zurück, gegenüber 93% im letzten Jahr.
Backups sind die häufigste Methode zur Wiederherstellung von Daten, und wird auch von 72% der Gesundheitseinrichtungen, deren Daten verschlüsselt wurden, verwendet. Gleichzeitig gaben 61% an, das Lösegeld gezahlt zu haben, um wieder an ihre Daten gelangen zu können. 33% machten Gebrauch von anderen Mitteln zur Wiederherstellung der Daten. Diese Zahlen spiegeln die Tatsache wider, dass viele Organisationen des Gesundheitswesens mehrere Wiederherstellungsansätze verwenden, um die Geschwindigkeit und Effizienz zu maximieren, mit der sie den Betrieb wieder aufnehmen können. Insgesamt nutzte etwas mehr als die Hälfte (52%) der Befragten, deren Daten verschlüsselt worden waren, mehrere Methoden zur Wiederherstellung der Daten.
Das Gesundheitswesen führt mit der Verwendung aller drei Wiederherstellungsmethoden (Backups, Lösegeldzahlung und andere Mittel) die Rangliste mit 14% gegenüber dem weltweiten Durchschnitt von 7% an. Dies lässt sich darauf zurückführen, dass das Gesundheitswesen in hohem Maße von der Datenverfügbarkeit zur Aufrechterhaltung der Geschäftsabläufe abhängt. Fehlende, oder nicht verfügbare Daten können die Patientenversorgung verzögern oder beeinträchtigen, was katastrophale Folgen nach sich ziehen kann. Das macht es nachvollziehbar, dass dieser Sektor alle verfügbaren Mittel aktiviert um Daten wiederherzustellen.
Während durch die Zahlung des Lösegelds fast immer einige Daten wiederhergestellt werden, ist der Prozentsatz der wiederhergestellten Daten nach der Zahlung gesunken. Im Jahr 2021 erhielten Gesundheitsorganisationen, die das Lösegeld gezahlt haben, im Durchschnitt nur 65% ihrer Daten zurück, gegenüber 69% im Jahr 2020. Ebenso erhielten nur 2% der Unternehmen, die 2021 Lösegeld gezahlt haben, ALLE ihre Daten zurück, während es 2020 noch 8% waren.
Das Gesundheitswesen ist am ehesten bereit, ein Lösegeld zu bezahlen
Mit 61% Bereitschaft entpuppte sich das Gesundheitswesen als Vorreiter bei der Zahlung von Lösegeldern gegenüber dem branchenübergreifenden Durchschnitt von 46%. Ein wichtiger Grund für die hohe Zahlungsbereitschaft könnte die stärkste Zunahme von Umfang und Komplexität der Angriffe sein, die das Gesundheitswesen erfahren musste.
Auch die Auswirkungen von Ransomware, die nicht nur die verschlüsselten Datenbanken und Geräte, sondern auch die Betriebsabläufe und Geschäftseinnahmen von Organisationen im Gesundheitswesen umfassen spielen hierbei eine Rolle. Zudem verbucht das Gesundheitswesen mit 1,85 Millionen US-Dollar die sektorenübergreifend zweithöchsten Kosten für die Behebung von Angriffen, was Organisationen dazu veranlasst lieber ein Lösegeld zu zahlen, als diese Kosten stemmen zu müssen.
Das Gesundheitswesen zahlte die geringste Lösegeldsumme
Das Gesundheitswesen steht zwar an der Spitze der Liste, was den Umfang der Zahlungen angeht, liegt aber bei den effektiv gezahlten Beträgen am Ende dieser Liste. Insgesamt hatte das Gesundheitswesen die niedrigste durchschnittliche Lösegeldzahlung (rund 197.000 US-Dollar) aller genannten Sektoren. Obwohl das Gesundheitswesen also häufig Lösegeld zahlt, sind die Lösegeldbeträge relativ gering. Diese niedrigen Lösegeldzahlungen sind wahrscheinlich auf die angespannte Finanzlage vieler Organisationen im Gesundheitswesen zurückzuführen, insbesondere derjenigen im öffentlichen Sektor.
Das Gesundheitswesen war zwar der Sektor mit den niedrigsten Lösegeldzahlungen, jedoch stieg die Gesamtsumme der Lösegeldzahlungen im Jahr 2021 im Vergleich zu 2020 trotzdem um 33%.
Eine genauere Untersuchung der Lösegeldzahlungen im Gesundheitswesen ergab, dass 60% der Lösegeldbeträge unter 50.000 US-Dollar lagen. Nur drei der Befragten gaben an, dass ihre Organisation 1 Million US-Dollar oder mehr gezahlt hat. Dies steht im Gegensatz zum Trend in anderen untersuchten Sektoren, wo sich der Anteil der Opfer, die Lösegelder in Höhe von 1 Million US-Dollar oder mehr zahlen, im letzten Jahr fast verdreifacht hat: von 4% im Jahr 2020 auf 11% im Jahr 2021. Gleichzeitig sank der Anteil der Opfer, die weniger als 10.000 US-Dollar zahlen, von einem Drittel (34%) im Jahr 2020 auf ein Fünftel (21%) im Jahr 2021.
Ransomware hat erhebliche wirtschaftliche und operative Auswirkungen im Gesundheitswesen
Die Auswirkungen von Ransomware umfassen jedoch viel mehr, als nur Lösegeldsummen, verschlüsselte Datenbanken und Geräte. 94% der Organisationen des Gesundheitswesens, die vergangenes Jahr von Ransomware betroffen waren, gaben an, dass der schwerwiegendste Angriff ihre Betriebsfähigkeit erheblich beeinträchtigt hat. Darüber hinaus gaben 90% der privaten Gesundheitseinrichtungen an, dass der Angriff zu Geschäfts- oder Umsatzeinbußen geführt hat.
Über alle Sektoren hinweg betrugen die durchschnittlichen Kosten für ein Unternehmen zur Behebung der Auswirkungen des jüngsten Ransomware-Angriffs im Jahr 2021 1,4 Millionen US-Dollar, gegenüber 1,85 Millionen US-Dollar im Jahr 2020. Dieser Rückgang spiegelt wahrscheinlich die Verbreitung und die Auswirkungen von Cyber-Versicherungen wider, bei denen die Versicherungsanbieter besser in der Lage sind, die Opfer schnell und effektiv durch den Reaktionsprozess zu leiten, wodurch die Kosten für die Behebung des Schadens sinken.
Im Falle des Gesundheitswesens stiegen die durchschnittlichen Sanierungskosten jedoch von 1,27 Mio. US-Dollar im Jahr 2020 auf 1,85 Mio. US-Dollar im Jahr 2021. Das Gesundheitswesen steht sogar an zweiter Stelle im Bezug auf die durchschnittlichen Kosten für die Behebung eines Ransomware-Angriffs, im Vergleich zum sektorübergreifenden Durchschnitt (1,85 Millionen US-Dollar gegenüber 1,4 Millionen US-Dollar).
Mangelnde Cybersecurity-Expertise, die Verbreitung medizinischer IoT-Geräte, anfällige Altsysteme und die Natur des 24/7-Betriebs (der dazu führt, dass anfällige Systeme nicht schnell wiederhergestellt werden können) wirken sich weiterhin auf den Gesundheitssektor aus und treiben die Gesamtkosten für die Wiederherstellung in die Höhe.
44% der Organisationen des Gesundheitswesens, die im letzten Jahr Opfer eines Angriffs wurden, benötigten bis zu einer Woche, um sich von dem schwerwiegendsten Angriff zu erholen, während 25% von ihnen bis zu einem Monat benötigten. Am längsten dauerte die Wiederherstellung im Hochschulwesen und in der Zentral-/Bundesverwaltung, wo etwa zwei von fünf Organisationen mehr als einen Monat brauchten, um sich zu erholen.
Darüber hinaus vertrauen einige Organisationen weiterhin auf unwirksame Schutzmechanismen. Von den Befragten aus dem Gesundheitswesen, deren Organisationen im letzten Jahr nicht von Ransomware betroffen waren und auch in Zukunft nicht damit rechnen, davon betroffen zu sein, begründen 77% dies mit Ansätzen, die Unternehmen nicht vor Angriffen schützen: 50% nannten Backups und 43% eine Cyberversicherung als Gründe, warum sie nicht mit einem Angriff rechnen (einige nannten auch beide Optionen). Diese Elemente helfen zwar bei der Wiederherstellung nach einem Angriff, verhindern ihn aber nicht von vornherein.
Für Gesundheitsorganisationen wird es immer schwieriger Cyber-Versicherung abzuschließen
Über alle Branchen hinweg haben 83% der Unternehmen eine Cyberversicherung gegen Ransomware abgeschlossen. Im Vergleich dazu sind nur 78% der Organisationen im Gesundheitswesen versichert, und 46% von ihnen geben an, dass es Ausschlüsse oder Ausnahmen in ihren Policen gibt. In Anbetracht der hohen Rate von Ransomware-Vorfällen im Gesundheitswesen lässt diese Versicherungslücke viele Organisationen die vollen Kosten eines Angriffs tragen.
Energie, Öl/Gas und Versorgungsunternehmen haben am ehesten Versicherungsschutz (89%), dicht gefolgt vom Einzelhandel (88%). Das Schlusslicht bilden das verarbeitende Gewerbe und die Produktion mit nur 75% Versicherungsschutz.
- 93% derjenigen, die eine Cyberversicherung im Gesundheitswesen abgeschlossen haben, gaben an, dass sich das Verfahren zur Erlangung des Versicherungsschutzes im letzten Jahr verändert hat und es schwieriger geworden ist, eine Cyberversicherung abzuschließen
- 51% gaben an, dass sie jetzt ein höheres Maß an Cybersicherheit benötigen, um sich zu qualifizieren
- 45% sagten, dass die Policen jetzt komplexer sind
- 48% sagten, dass weniger Unternehmen Cyber-Versicherungen anbieten
- 46 % gaben an, dass das Verfahren länger dauert, und 34 % sagten, dass es teurer geworden ist
Diese Veränderungen stehen in engem Zusammenhang mit Ransomware, die den größten Anteil an Cyberversicherungsansprüchen ausmacht. In den letzten Jahren haben Lösegeldangriffe zugenommen, und die Lösegeld- und Auszahlungskosten sind in die Höhe geschnellt. Infolgedessen haben sich einige Versicherungsanbieter aus dem Markt zurückgezogen, da er für sie einfach unrentabel geworden ist. Diejenigen, die übrig geblieben sind, versuchen ihr Risiko zu verringern und treiben die Preise erheblich in die Höhe. Daraus entwickelte sich ein Verkäufermarkt: die Cyber-Versicherungsanbieter haben die Zügel in der Hand und können der Auswahl ihrer Kunden wählerisch und strategisch sein.
Cyber-Versicherungen sind Treiber für die Verbesserung der Cyber-Abwehr
Da der Markt für Cyber-Versicherungen umstrittener wird und es sich als immer schwieriger gestaltet, Versicherungsschutz zu erhalten, haben 97% der Gesundheitseinrichtungen, die eine Cyber-Versicherung abgeschlossen haben, Änderungen an ihrem Cyber-Schutz vorgenommen, um ihre Position in der Cyber-Versicherung zu verbessern. 66% haben neue Technologien und Dienste implementiert, 52% haben die Aus- und Weiterbildungsmaßnahmen für ihre Mitarbeiter verstärkt und 49% haben Prozesse und Verhaltensweisen geändert.
Die Verhärtung des Cyber-Versicherungsmarktes wird zum großen Teil durch die Zunahme von Ransomware-Auszahlungen vorangetrieben und wird zu einer treibenden Kraft für die Verbesserung der Cyber-Abwehr.
Ein beruhigender Aspekt für Gesundheitsorganisationen mit Cyber-Versicherungsschutz: 97% der Unternehmen, die von Ransomware betroffen waren und über eine Cyber-Versicherung verfügten, die Ransomware abdeckt, gaben an, dass die Police bei dem schwersten Angriff gezahlt hat. 81% der Befragten gaben an, dass ihr Versicherer die Kosten für die Beseitigung des Schadens übernommen hat (d.h. die Kosten, die entstanden sind, um die Organisation wieder zum Laufen zu bringen). Umgekehrt gaben 47% an, dass der Versicherer das Lösegeld gezahlt hat. Betrachtet man die von der Cyberversicherung gezahlten Beträge über alle Sektoren hinweg, so zeigt die Umfrage, dass im Vergleich zu den Ergebnissen aus dem Jahr 2020 die Zahlung von Aufräumkosten zugenommen und die Zahlung von Lösegeld durch die Versicherer abgenommen hat.
Die Rate der Lösegeldzahlungen variierte jedoch erheblich nach Sektoren. Die höchsten Raten wurden mit 53% im unteren Bildungsbereich (K-12/Primar-/Sekundarstufe), mit 49% in der staatlichen/kommunalen Verwaltung und mit 47% im Gesundheitswesen gemeldet. Die niedrigsten Auszahlungsquoten verzeichneten das verarbeitende Gewerbe und die Produktion mit 30% und die Finanzdienstleistungen mit 32%. Interessanterweise sind die Sektoren mit den geringsten Lösegeldzahlungen auch diejenigen, die sich am schnellsten von einem Vorfall erholen können.
Auch ist erwähnenswert, dass die Cyber-Versicherung einer Organisation zwar dabei helfen kann, den vorherigen Zustand wiederherzustellen, sie jedoch keine "Verbesserung" abdeckt, wie zum Beispiel Investitionen in bessere Technologien und Dienste, um die Schwachstellen zu beheben, die zu dem Angriff geführt haben.
Take-Aways
Die Ransomware-Herausforderung für Organisationen nimmt weiter zu. Der Anteil der Gesundheitsorganisationen, die direkt von Ransomware betroffen sind, hat sich innerhalb von 12 Monaten fast verdoppelt: von etwas mehr als einem Drittel im Jahr 2020 auf zwei Drittel im Jahr 2021.
Angesichts dieser Beinahe-Normalisierung zeichnet sich bei den Organisationen des Gesundheitswesens im Umgang mit den Folgen eines Angriffs eine Verbesserung ab: Praktisch alle erhalten nun einen Teil der verschlüsselten Daten zurück und fast drei Viertel sind in der Lage, Backups zur Wiederherstellung der Daten zu verwenden.
Gleichzeitig ist der Anteil der verschlüsselten Gesundheitsdaten, die nach Zahlung des Lösegelds wiederhergestellt werden konnten, auf durchschnittlich 65% gesunken. Das Gesundheitswesen leistete die niedrigste durchschnittliche Lösegeldzahlung (197.000 US-Dollar).
Ransomware hat Auswirkungen auf die Abläufe, das Geschäft und die Einnahmen im Gesundheitswesen. Die meisten Organisationen im Gesundheitswesen entscheiden sich dafür, das mit solchen Angriffen verbundene finanzielle Risiko durch den Abschluss einer Cyberversicherung zu verringern. Für sie ist es beruhigend zu wissen, dass die Versicherer in fast allen Schadensfällen einen Teil der Kosten übernehmen. Allerdings wird es für die Organisationen immer schwieriger, Versicherungsschutz zu erhalten. Dies hat fast alle Organisationen des Gesundheitswesens dazu veranlasst, Änderungen an ihrer Cyberabwehr vorzunehmen, um ihre Position in der Cyberversicherung zu verbessern.
Unabhängig davon, ob ein Versicherungsschutz angestrebt wird oder nicht, ist die Optimierung der Cybersicherheit für alle Organisationen von entscheidender Bedeutung.
Den offiziellen Threat-Report von Sophos mit vielen interessanten Informationen zur Gegenwart und Zukunft von Ransomware finden Sie hier. Die fünf wichtigsten Take-Aways Im Bezug auf Ransomware im Jahr 2022 gibt es hier.
Quelle:
https://assets.sophos.com/X24WTUEQ/at/4wxp262kpf84t3bxf32wrctm/sophos-state-of-ransomware-healthcare-2022-wp.pdf