Gesundheitsdaten gehören zu den wertvollsten Gütern der Cyberkriminalität.
TrendAI analysiert den Handel mit Gesundheitsdaten im Cyber-Untergrund und warnt: Deutschland zählt zu den Ländern mit den meisten öffentlich erreichbaren Medizinsystemen.
Zusammenfassung (TL; DR):
- Gestohlene Gesundheitsdaten werden in einer ausgereiften kriminellen Lieferkette über Untergrund-Marktplätze für Ransomware-Erpressungen, Identitätsdiebstahl und Versicherungsbetrug gehandelt.
- Ransomware-Verkäufe machen über ein Drittel der Marktplatz-Aktivitäten aus, wobei Angreifer zunehmend Softwareanbieter angreifen, um hunderte nachgelagerte Healthcare-Einrichtungen gleichzeitig zu kompromittieren.
- Zudem drohen erhebliche Risiken durch ungeschützte medizinische Bildgebungssysteme (DICOM), bei denen Deutschland mit 138 öffentlich erreichbaren Servern weltweit auf Platz 5 liegt.
TrendAI, der Enterprise-Cybersecurity-Geschäftsbereich von Trend Micro, veröffentlicht neue Forschungsergebnisse, die zeigen: Gestohlene Gesundheitsdaten sind gegenstand einer ausgereiften Underground-Economy, an der Ransomware-Gruppen, Access Broker, Fraud-Marktplätze und Credential-Händler gleichermaßen beteiligt sind.
Über einen Zeitraum von zwölf Monaten analysierten TrendAI-Forscher 7.779 Beiträge in Untergrund-Foren, 21.813 Marktplatz-Inserate und 95 Ransomware-Leak-Sites mit Bezug zu Cyberkriminalität im Gesundheitswesen. Die Ergebnisse zeigen: Gesundheitsdaten zählen nach wie vor zu den begehrtesten Gütern, die im kriminellen Untergrund gehandelt werden. Ihre Dauerhaftigkeit, Sensitivität und die Möglichkeit, sie für verschiedene Formen von Betrug und Erpressung gleichzeitig zu nutzen, machen sie für Kriminelle besonders attraktiv.
Ransomware als Motor des Untergrundhandels
Datenverkäufe aus Ransomware-Vorfällen machten dabei mehr als ein Drittel (36,3 Prozent) der gesamten Marktplatzaktivität aus. Ransomware-Akteure kombinieren dabei zunehmend Verschlüsselung mit Datendiebstahl und Erpressung. Darüber hinaus identifizierten die Forscher eine wachsende Zielausrichtung auf Anbieter von elektronischen Gesundheitsakten. Ein einziger erfolgreicher Angriff kann dann hunderte nachgelagerte Healthcare-Einrichtungen kompromittieren.
Der Report zeigt zudem, dass sich Cyberkriminelle längst nicht mehr auf den Verkauf kompletter Datensätze beschränken. Auf Untergrund-Marktplätzen sind Gesundheitsdaten zunehmend Grundlage für Identitätsdiebstahl, Versicherungsbetrug, gefälschte Atteste und Rezepte sowie die Übernahme von Patienten- und Mitarbeiterkonten. Dadurch lassen sich gestohlene Datensätze über Jahre hinweg mehrfach monetarisieren.
„Gesundheitsdaten haben sich von gestohlenen Informationen zu Assets entwickelt, die Cyberkriminelle langfristig nutzen können“, erklärt Mayra Rosario, Senior Threat Researcher bei TrendAI. „Anders als eine Kreditkarte lassen sich Diagnosen, Behandlungshistorien oder biometrische Daten eines Patienten nicht einfach sperren und neu ausstellen. Das macht sie für Ransomware-Gruppen und Datenhändler besonders attraktiv.“
Gesundheitsdaten: Vom Einzeltäter zur kriminellen Lieferkette
Die Studie beleuchtet auch die fortschreitende Industrialisierung der Cyberkriminalität im Gesundheitssektor: Underground-Marktplätze bieten mittlerweile ein breites Spektrum an. Dieses reicht von Zugangsdaten zu Krankenhausnetzwerken und Versicherungsdaten bis hin zu vollständigen Identitätspaketen und gefälschten medizinischen Dokumenten.
Besonders stark wächst dabei die Rolle sogenannter Initial Access Broker. Diese spezialisierten Akteure verschaffen sich Zugang zu Netzwerken von Krankenhäusern, Kliniken oder Gesundheitsdienstleistern und verkaufen diesen anschließend an Ransomware-Gruppen oder andere Cyberkriminelle weiter. Die Arbeitsteilung senkt die Einstiegshürden für Angreifer und beschleunigt die Kommerzialisierung von Angriffen auf Gesundheitseinrichtungen.
„Was wir beobachten, sind keine isolierten Einzelfälle, sondern eine ausgereifte Untergrund-Wirtschaft. Sie dient für Cyberangriffe auf das Gesundheitswesen“, sagt Dirk Arendt, Director Government, Public and Healthcare DACH bei TrendAI. „Aktuelle Vorfälle auch in Deutschland zeigen eindrücklich, wie sehr Patientendaten im Fokus von Cyberkriminellen stehen und unbedingt besser geschützt werden müssen.“
Softwareanbieter als Einfallstor: Risiko mit Multiplikatoreffekt
Die Studie warnt zudem davor, dass Lieferketten-Kompromittierungen über Software-Anbieter und medizinische Plattformen zu einem zentralen Risikoverstärker für den gesamten Sektor werden. Sie ermöglichen es Angreifern, ihre Operationen weit über einzelne Krankenhäuser oder Kliniken hinaus zu skalieren.
Ungeschützte Medizinsysteme: Deutschland auf Rang 5 weltweit
Parallel dazu identifizierten TrendAI-Forscher erhebliche Risiken bei an das Internet angebundenen medizinischen Bildgebungssystemen. Eine separate Untersuchung fand weltweit 3.627 öffentlich erreichbare DICOM-Server in mehr als 100 Ländern. Deutschland belegte mit 138 exponierten Severn Rang 5 im weltweiten Vergleich. DICOM (Digital Imaging and Communications in Medicine) ist der zentrale Standard für den Austausch medizinischer Bilddaten wie MRT-, CT- oder Röntgenaufnahmen.
Als besonders kritisch stellte sich heraus, dass DICOM zwar seit Jahrzehnten Sicherheitsmechanismen unterstützt, diese in der Praxis jedoch kaum nutzt. Nur 0,14 Prozent der identifizierten Systeme verwendeten die vorgesehene TLS-Verschlüsselung, während 99,56 Prozent Verbindungen ohne wirksame Authentifizierungsprüfung akzeptierten. Der Report warnt davor, dass Angreifer dadurch Patientendaten ausspähen, medizinische Bilddaten manipulieren, Ransomware einschleusen oder sich seitlich in Krankenhausnetzwerke bewegen könnten.
