Über einen Zeitraum von zwölf Monaten analysierten TrendAI-Forscher 7.779 Beiträge in Untergrund-Foren, 21.813 Marktplatz-Inserate und 95 Ransomware-Leak-Sites mit Bezug zu Cyberkriminalität im Gesundheitswesen. Die Ergebnisse zeigen: Gesundheitsdaten zählen nach wie vor zu den begehrtesten Gütern, die im kriminellen Untergrund gehandelt werden. Ihre Dauerhaftigkeit, Sensitivität und die Möglichkeit, sie für verschiedene Formen von Betrug und Erpressung gleichzeitig zu nutzen, machen sie für Kriminelle besonders attraktiv.
Ransomware als Motor des Untergrundhandels
Datenverkäufe aus Ransomware- Vorfällen machten dabei mehr als ein Drittel (36,3 Prozent) der gesamten Marktplatzaktivität aus. Ransomware-Akteure kombinieren dabei zunehmend Verschlüsselung mit Datendiebstahl und Erpressung. Darüber hinaus identifizierten die Forscher eine wachsende Zielausrichtung auf Anbieter von elektronischen Gesundheitsakten. Ein einziger erfolgreicher Angriff kann dann hunderte nachgelagerte Healthcare-Einrichtungen kompromittieren.
Der Report zeigt zudem, dass sich Cyberkriminelle längst nicht mehr auf den Verkauf kompletter Datensätze beschränken. Auf Untergrund-Marktplätzen werden Gesundheitsdaten zunehmend als Grundlage für Identitätsdiebstahl, Versicherungsbetrug, gefälschte Atteste und Rezepte sowie die Übernahme von Patienten- und Mitarbeiterkonten gehandelt. Dadurch lassen sich gestohlene Datensätze über Jahre hinweg mehrfach monetarisieren.
„Gesundheitsdaten haben sich von gestohlenen Informationen zu Assets entwickelt, die Cyberkriminelle langfristig nutzen können“, erklärt Mayra Rosario, Senior Threat Researcher bei TrendAI. „Anders als eine Kreditkarte lassen sich Diagnosen, Behandlungshistorien oder biometrische Daten eines Patienten nicht einfach sperren und neu ausstellen – das macht sie für Ransomware-Gruppen und Datenhändler besonders attraktiv.“
Vom Einzeltäter zur kriminellen Lieferkette
Die Studie beleuchtet auch die fortschreitende Industrialisierung der Cyberkriminalität im Gesundheitssektor: Underground- Marktplätze bieten mittlerweile ein breites Spektrum an – von Zugangsdaten zu Krankenhausnetzwerken und Versicherungsdaten bis hin zu vollständigen Identitätspaketen und gefälschten medizinischen Dokumenten.
Besonders stark wächst dabei die Rolle sogenannter Initial Access Broker. Diese spezialisierten Akteure verschaffen sich Zugang zu Netzwerken von Krankenhäusern, Kliniken oder Gesundheitsdienstleistern und verkaufen diesen anschliessend an Ransomware-Gruppen oder andere Cyberkriminelle weiter. Die Arbeitsteilung senkt die Einstiegshürden für Angreifer und beschleunigt die Kommerzialisierung von Angriffen auf Gesundheitseinrichtungen.
„Was wir beobachten, sind keine isolierten Einzelfälle, sondern eine ausgereifte Untergrund-Wirtschaft, die gezielt rund um Cyberangriffe auf das Gesundheitswesen aufgebaut wurde“, sagt Dirk Arendt, Director Government, Public and Healthcare DACH bei TrendAI. „Aktuelle Vorfälle in Deutschland und weltweit zeigen eindrücklich, wie sehr Patientendaten im Fokus von Cyberkriminellen stehen und unbedingt besser geschützt werden müssen.“
Softwareanbieter als Einfallstor: Risiko mit Multiplikatoreffekt
Die Studie warnt zudem davor, dass Lieferketten-Kompromittierungen über Software-Anbieter und medizinische Plattformen zu einem zentralen Risikoverstärker für den gesamten Sektor werden. Sie ermöglichen es Angreifern, ihre Operationen weit über einzelne Krankenhäuser oder Kliniken hinaus zu skalieren.
Weltweit ungeschützte Systeme für medizinische Bildgebung
Parallel dazu identifizierten TrendAI-Forscher erhebliche Risiken bei an das Internet angebundenen medizinischen Bildgebungssystemen. Eine separate Untersuchung fand weltweit 3.627 öffentlich erreichbare DICOM-Server in mehr als 100 Ländern. DICOM (Digital Imaging and Communications in Medicine) ist der zentrale Standard für den Austausch medizinischer Bilddaten wie MRT-, CT- oder Röntgenaufnahmen.
Als besonders kritisch stellte sich heraus, dass DICOM zwar seit Jahrzehnten Sicherheitsmechanismen wie Verschlüsselung, Authentifizierung und Zugriffskontrollen unterstützt, diese in der Praxis jedoch kaum genutzt werden. Nur 0,14 Prozent der identifizierten Systeme verwendeten die vorgesehene TLS-Verschlüsselung, während 99,56 Prozent Verbindungen ohne wirksame Authentifizierungsprüfung akzeptierten. Der Report warnt davor, dass Angreifer dadurch Patientendaten ausspähen, medizinische Bilddaten manipulieren, Ransomware einschleusen oder sich seitlich in Krankenhausnetzwerke bewegen könnten.
Weitere Informationen
Den vollständigen Report The Cybercriminal Underground: Mapping the Healthcare Data Economy finden Sie hier: https://www.trendaisecurity.com/de/resources- insights/research/the-cybercriminal-underground-mapping-the-healthcare-data-economy
Den vollständigen Report Exposed DICOM Servers and the Risk to Patient Data finden Sie hier: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data
Pressestelle TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Switzerland
