Sozialwirtschaft: Cyberrisiken weiterhin hoch

​veröffentlicht am 29. August 2019

Der erfolgreiche Cyberangriff auf eine Krankenhausgruppe in Südwestdeutschland zeigt: Die Verbindung aus teilweise inaktuellen IT-Strukturen und sensiblen Patienten- oder Klientendaten führt zu besonderen Cyberrisiken für die Sozialwirtschaft. Penetrationstests helfen dabei, gefährliche Lücken aufzuspüren und gezielt zu schließen.

Ein Vorfall aus Rheinland-Pfalz wirft ein Schlaglicht darauf, dass die Unternehmen der Sozialwirtschaft weiterhin einem hohen Angriffspotenzial durch Cyberkriminelle ausgesetzt sind. Wie heise online, Süddeutsche Zeitung und andere große Medien berichtet haben, wurde ein Trägerunternehmen von Krankenhäusern und Pflegeeinrichtungen in Südwestdeutschland Mitte Juli 2019 Opfer der Ransomware Sodinokibi. Die Software hatte sich über einen Dateianhang in die Systeme der Gruppe eingeschlichen und Daten verschlüsselt, die nur gegen Lösegeld wieder freigegeben werden sollten.

Generell sind die Gefahren durch Ransomware zuletzt deutlich gestiegen. Dabei steigen die Täter mehr und mehr von der Zielgruppe der Privatanwender um auf Organisationen und Unternehmen. Branchen wie die Sozialwirtschaft mit einer häufig nicht sehr aktuellen IT-Sicherheitsstruktur bieten hier erhebliches Angriffspotenzial. Die Sensibilität der Unternehmen im Falle eines erfolgreichen Ransomangriffs – und damit die prinzipielle Zahlungsbereitschaft – dürften hoch sein, da es sich in der Regel zumindest auch um besonders sensible Daten im Sinne der DSGVO handelt, für die eigentlich besonders hohe Schutzanforderungen gelten würden. Dadurch ist das Interesse, dass ein erfolgreicher Angriff zumindest nicht publik wird, hoch. Alle diese Faktoren führen in ihrer Summe zu einer empfindlichen Gefährdung.

Krankenhäuser, die unter die Kritis-Verordnung fallen, mussten zum 29. Juni 2019 im Rahmen der Kritis-Vorgaben nachweisen, dass sie angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen jener IT-Systeme getroffen haben, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Auf Grund der Vorgabe, dass dabei der Stand der Technik einzuhalten sei, wurden hier in den vergangenen zwei Jahren oftmals Lücken aufgespürt und dann auch geschlossen.

Der im Juli in Rheinland-Pfalz erfolgte Angriff und weitere Beispiele aus der Gesundheits- und Sozialwirtschaft zeigen jedoch, dass ein häufig zu beobachtender Investitionsstau in Sachen Digitalisierung und IT-Sicherheit in dieser Branche, zumindest in den Einrichtungen, die nicht unter die Kritis-Verordnung fallen, in Verbindung mit der Sensibilität der verarbeiteten Daten, zu Angriffsflächen führt.

Rödl & Partner unterstützt zahlreiche Unternehmen der Sozialwirtschaft bei dem gezielten Aufspüren und Schließen von Sicherheitslücken ihrer IT-Infrastruktur, beispielsweise in Form zugeschnittener, vertraulicher Penetrationstests sowie durch die Durchführung eines Cyber Security Checks.