E-Mail-Sicherheit in der Gesundheitsbranche: Zeit für einen Checkup?

Jeder regelmäßige Leser der Cyber Resilience Insights Blog Site von Mimecast ist wahrscheinlich schon auf meine vierteljährlichen Blogs Email Security Risk Assessment (ESRA) gestoßen. In diesen Blogs werden die von uns gesammelten ESRA-Testergebnisse zusammengefasst und Schlussfolgerungen daraus gezogen.

Bisher habe ich die Testergebnisse jedoch nicht aus dem Blickwinkel einer bestimmten Branche analysiert. In diesem Blog stelle ich Analysen vor, die sich speziell auf ESRA-Tests von Organisationen des Gesundheitswesens beziehen, und vergleiche diese Ergebnisse mit dem gesamten ESRA-Datensatz.

Was meinen Sie, was ich herausgefunden habe? Sind Organisationen des Gesundheitswesens im Vergleich zu einem großen Teil anderer Branchen besser oder schlechter vor E-Mail-Bedrohungen geschützt? Lesen Sie weiter und finden Sie es heraus!

Wie funktioniert die ESRA?

Die Analyse des Gesundheitswesens basiert auf demselben aggregierten Datensatz, den wir in der ESRA-Veröffentlichung vom Dezember 2018 veröffentlicht haben.

Bei einem ESRA-Test überprüft der Mimecast-Dienst erneut die E-Mails einer teilnehmenden Organisation, die von ihrem etablierten E-Mail-Sicherheitssystem als sicher eingestuft wurden. Dies basiert auf dem tatsächlichen eingehenden E-Mail-Verkehr in dieser Organisation, nicht auf manipulierten oder Test-E-Mails. Viel "echter" geht es nicht mehr! Mimecast führt diesen Test über einen bestimmten Zeitraum durch, in der Regel zwischen einer Woche und einem Monat bei jeder teilnehmenden Organisation.

Ein Mimecast ESRA-Test prüft passiv und zeichnet die Ergebnisse echter E-Mails auf, die an die Mitarbeiter eines Unternehmens zugestellt wurden, und stellt fest, ob sie legitim oder unerwünscht sind (Spam, Phishing, Imitationen oder Malware). Aus Sicht der Sicherheit ist ein ESRA-Test eine False-Negative-Hunting-Initiative, bei der der Mimecast-E-Mail-Sicherheitsdienst die zugestellten E-Mails auf unerwünschte E-Mails untersucht, die das bestehende E-Mail-Sicherheitsnetz durchlaufen haben und im Unternehmen gelandet sind. Der letzte Bericht vom Dezember kann unter hier eingesehen werden.

Was jedoch nicht im Dezemberbericht enthalten ist, sind Daten, die speziell aus Tests in Gesundheitseinrichtungen stammen. Hier ist, was ich gefunden habe, als ich diese Daten abgerufen habe:

Was sagen die Ergebnisse über die Cybersicherheit im Gesundheitswesen aus?

Sind Organisationen des Gesundheitswesens besser oder schlechter gegen E-Mail-Bedrohungen geschützt als der Rest der getesteten Organisationen? Vielleicht werden sie stärker angegriffen als der Durchschnitt der Organisationen und dies würde ihre höhere Rate an Fehlalarmen erklären?

Mein Eindruck auf der Grundlage dieser Tests und meiner eigenen fundierten Vermutung, die auf jahrelanger Sicherheitserfahrung beruht, ist, dass Organisationen des Gesundheitswesens nicht mehr oder weniger per E-Mail angegriffen werden als andere Organisationen, dass aber ihre E-Mail-Sicherheitsmaßnahmen, aus welchen Gründen auch immer, hinter den anderen zurückbleiben - obwohl eine Falsch-Negativ-Rate von 11,7 % für den gesamten Testpool nichts ist, worauf man stolz sein kann!

Hier ist ein Aktionsplan: Organisationen im Gesundheitswesen, die in den letzten ein oder zwei Jahren keine ernsthafte Überprüfung ihrer E-Mail-Sicherheitskontrollen durchgeführt haben, sollten dies zu einer hohen Priorität machen! Sowohl die Angreifer als auch die Best Practices für die E-Mail-Sicherheit haben sich in den letzten Jahren stark weiterentwickelt. Es ist wichtig, dass die Verteidiger im Gesundheitswesen das Gleiche tun.