Nach einer Analyse des IT-Sicherheitsanbieters Proofpoint haben 69 Prozent von 194 überprüften, deutschen Krankenhäusern keinerlei Maßnahmen ergriffen, um Patienten, Lieferanten und andere Gesundheitseinrichtungen vor E-Mail-Betrug zu schützen.
Die Domain-based Message Authentication, Reporting and Conformance – kurz: DMARC – ist eine Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren. IT-Sicherheitsexperten von Proofpoint haben DMARC-Analysen von 194 Domains deutscher Krankenhäuser durchgeführt. Die Auswahl erfolgte gemäß der „Liste der weltbesten Krankenhäuser“ des Jahres 2023, die das US-Magazin Newsweek jährlich veröffentlicht.
Nur 31 Prozent von ihnen haben der Analyse zufolge überhaupt einen DMARC-Eintrag veröffentlicht. Das bedeutet, dass 69 Prozent keinerlei Maßnahmen ergriffen haben, um sich vor E-Mail-Betrug zu schützen. Nur sechs Prozent haben DMARC auf höchster Umsetzungsstufe (Reject, ablehnen) implementiert, was im Umkehrschluss zur Folge hat, dass 94 Prozent nicht proaktiv verhindern, dass betrügerische E-Mails ihre Ziele erreichen können.
Blick auf Niedersachsen
Weil der jüngste erfolgreiche Angriff auf ein deutsches Krankenhaus, das Krankenhaus Lindenbrunn, in Niedersachsen stattfand, haben die Experten von Proofpoint auch eine DMARC-Analyse für alle Krankenhäuser in diesem Bundesland durchgeführt. Die Ergebnisse korrelieren mit den Zahlen der Newsweek-Bestenliste: Von den 119 analysierten Domains haben nur 40 (34 %) einen DMARC-Eintrag veröffentlicht. Somit haben 66 Prozent überhaupt keinen Eintrag veröffentlicht. Von den untersuchten niedersächsischen Krankenhäusern haben nur vier (3 %) DMARC auf Reject-Level implementiert. 97 Prozent verhindern folglich nicht proaktiv, dass betrügerische E-Mails, die ihre Domäne missbrauchen, ihre Adressaten erreichen.
Hohe Nachlässigkeit im Gesundheitswesen
„Nur wenn sie DMARC auf der „Reject“-Stufe implementieren, verhindern Organisationen effektiv, dass betrügerische E-Mails, die ihre Domain missbrauchen, andere Organisationen erreichen“, meint Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. „Mit anderen Worten: 94 Prozent der führenden deutschen Krankenhäuser, die DMARC nicht auf „Reject“-Stufe implementieren, setzen andere Organisationen – nicht zuletzt andere Krankenhäuser, Lieferanten und Patienten – einem sehr hohen Risiko aus, Opfer von E-Mail-basierter Cyberkriminalität zu werden. Das ist ein äußerst bedauernswerter Zustand, zumal DMARC weder ein sehr teurer Weg ist, IT-Sicherheit zu gewährleisten und andere zu schützen, noch handelt es sich um so etwas wie ein gut gehütetes Geheimnis. Angesichts der Sensibilität der Daten, mit denen Krankenhäuser zu tun haben, ist das Ergebnis unserer Analyse besonders schockierend. Unseres Wissens schneidet keine andere Branche so schlecht ab wie das Gesundheitswesen.”
DMARC ist ein E-Mail-Validierungsprotokoll, das Domainnamen vor dem Missbrauch durch Cyberkriminelle schützen soll. Es authentifiziert die Identität des Absenders, bevor eine Nachricht ihren Bestimmungsort erreicht. DMARC hat drei Schutzstufen: „Monitor“, „Quarantäne“ und „Reject“. „Reject“ ist die zuverlässigste Methode, um zu verhindern, dass verdächtige E-Mails ihre Adressaten erreichen.
Beeinträchtigung legitimer E-Mails droht
Vor diesem Hintergrund kündigten die DMARC-Initiatoren Google, Yahoo sowie Apple Ende letzten Jahres an, dass sie ab dem ersten Quartal 2024 eine E-Mail-Authentifizierung verlangen werden, damit Nachrichten von ihren Plattformen versandt werden können. Dies sei ein wichtiger Schritt zur Verhinderung von Spam und Betrug. Die Sicherheitsanforderungen gelten insbesondere für Konten, die täglich große Mengen an E-Mails versenden, wie eben Organisationen des Gesundheitswesens. Die Nichteinhaltung der Vorschriften wird die Zustellbarkeit legitimer Nachrichten an Kunden mit Gmail- und Yahoo-Konten erheblich beeinträchtigen.
Domain-based Message Authentication, Reporting and Conformance (DMARC) ist eine Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren, wie er etwa bei E-Mail-Spoofing vorkommt. DMARC versucht einige seit langem bestehende Unzulänglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben und wurde bei der IETF zur Standardisierung eingereicht. Die DMARC-Spezifikation entstand unter anderem auf Initiative von Google, Yahoo, Microsoft, Facebook, AOL, PayPal und LinkedIn. (Quelle: Wikipedia)