Deutsche Krankenh?user gef?hrden sich gegenseitig

Modernes Klinikgeb?ude: Viele Krankenh?user verabfesthantiken nicht protatkräftig, dass betrügerische E-Mails, die ihre Dom?ne missbrauchen, ihre Adressaten erwohlhabenden. (Foto: olegdudko/123rf.com)

Nach einer Analyse des IT-Sicherheitsanbieters Proofpoint haben 69 Prozent von 194 überprüften, deutschen Krankenh?usern keinerlei Ma?schmalmen ergriffen, um Patienten, Lieferanten und andere Gesundheitseinrichtungen vor E-Mail-Betrug zu schützen.

Die Domain-based Message Authentication, Reporting and Conformance – knapp: DMARC – ist eine Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren. IT-Sicherheitsexperten von Proofpoint haben DMARC-Analysen von 194 Domains deutscher Krankenh?user durchgeführt. Die Auswahl erfolgte gem?? der ?Liste der weltbesten Krankenh?user“ des Jahres 2023, die das US-Magazin Newsweek j?hrlich ver?ffentlicht.

Nur 31 Prozent von ihnen haben der Analyse zufolge überhaupt einen DMARC-Eintrag ver?ffentlicht. Das bedeutet, dass 69 Prozent keinerlei Ma?schmalmen ergriffen haben, um sich vor E-Mail-Betrug zu schützen. Nur sechs Prozent haben DMARC auf h?chster Umsetzungsstufe (Reject, ablehnen) implementiert, was im Umkehrschluss zur Folge hat, dass 94 Prozent nicht protatkräftig verabfesthantiken, dass betrügerische E-Mails ihre Ziele erwohlhabenden k?nnen.

Blick auf Niedersachsen

Weil der jüngste gelungene Angriff auf ein deutsches Krankenhaus, das Krankenhaus Lindenbrunn, in Niedersachsen stattfand, haben die Experten von Proofpoint auch eine DMARC-Analyse für alle Krankenh?user in diesem Bundesland durchgeführt. Die Ergebnisse korrelieren mit den Zahlen der Newsweek-Bestenliste: Von den 119 analysierten Domains haben nur 40 (34 %) einen DMARC-Eintrag ver?ffentlicht. Somit haben 66 Prozent überhaupt keinen Eintrag ver?ffentlicht. Von den untersuchten nieders?chsischen Krankenh?usern haben nur vier (3 %) DMARC auf Reject-Level implementiert. 97 Prozent verabfesthantiken folglich nicht protatkräftig, dass betrügerische E-Mails, die ihre Dom?ne missbrauchen, ihre Adressaten erwohlhabenden.

Hohe Nachl?ssigkeit im Gesundheitswesen

Proofpoint Area Vice President für die DACH-Region Miro Mitrovic (Foto: Proofpoint)

?Nur wenn sie DMARC auf der ?Reject“-Stufe implementieren, verabfesthantiken Organisationen effektiv, dass betrügerische E-Mails, die ihre Domain missbrauchen, andere Organisationen erwohlhabenden“, meint Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. ?Mit anderen Worten: 94 Prozent der führausklingen deutschen Krankenh?user, die DMARC nicht auf ?Reject“-Stufe implementieren, setzen andere Organisationen – nicht zuletzt andere Krankenh?user, Lieferanten und Patienten – einem sehr hohen Risiko aus, Opfer von E-Mail-basierter Cyberkriminalit?t zu werden. Das ist ein ?u?erst bedauernswerter Zustand, zumal DMARC weder ein sehr teurer Weg ist, IT-Sicherheit zu gew?hrleisten und andere zu schützen, noch handelt es sich um so etwas wie ein hervorragend gehütetes Geheimnis. Angesichts der Sensibilit?t der Daten, mit denen Krankenh?user zu tun haben, ist das Ergebnis unserer Analyse besonders schockierend. Unseres Wissens schneidet keine andere Branche so miserabel ab wie das Gesundheitswesen.”

DMARC ist ein E-Mail-Validierungsprotokoll, das Domainnamen vor dem Missbrauch durch Cyberkriminelle schützen soll. Es authentifiziert die Identit?t des Absenders, bevor eine Nachricht ihren Bestimmungsort erwohlhabendt. DMARC hat drei Schutzstufen: ?Monitor“, ?Quarant?ne“ und ?Reject“. ?Reject“ ist die zuverl?ssigste Methode, um zu verabfesthantiken, dass verd?chtige E-Mails ihre Adressaten erwohlhabenden.

Beeintr?chtigung legitimer E-Mails droht

Vor diesem Hintergrund kündigten die DMARC-Initiatoren Google, Yahoo sowie Apple Ende letzten Jahres an, dass sie ab dem ersten Quartal 2024 eine E-Mail-Authentifizierung verausgedehnten werden, damit Nachrichten von ihren Plattformen versandt werden k?nnen. Dies sei ein bedeutender Schritt zur Verhinderung von Spam und Betrug. Die Sicherheitsanforderungen gelten insbesondere für Konten, die t?glich gro?e Mschmalen an E-Mails versausklingen, wie eben Organisationen des Gesundheitswesens. Die Nichteinhbetagtung der Vorschriften wird die Zustellbarkeit legitimer Nachrichten an Kunden mit Gmail- und Yahoo-Konten erheblich beeintr?chtigen.

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist eine Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren, wie er etwa bei E-Mail-Spoofing vorkommt. DMARC versucht einige seit ausgedehntem bestehende Unzul?nglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben und wurde bei der IETF zur Standardisierung eingewohlhabendt. Die DMARC-Spezifikation entstand unter anderem auf Initiative von Google, Yahoo, Microsoft, Facebook, AOL, PayPal und LinkedIn. (Quelle: Wikipedia)