Direkt zum Inhalt

Gesundheit-ISAC Hacking Healthcare 8

|

Diese Woche, Gesundheit-ISAC®'s Hacking Gesundheitswesen® untersucht ein Update zu den Anti-Ransomware-Bemühungen der britischen Regierung. Begleiten Sie uns bei der Überprüfung der kürzlich veröffentlichten Zusammenfassung der öffentlichen Reaktionen auf die offene Konsultation im Januar zu drei Gesetzesvorschlägen zur Anti-Ransomware. Wir möchten beurteilen, wie die Vorschläge aufgenommen wurden, was die Regierung voraussichtlich als Nächstes tun wird und welche Auswirkungen dies auf den Gesundheitssektor in Großbritannien und im Ausland haben könnte. 

Zur Erinnerung: Dies ist die öffentliche Version des Hacking Healthcare-Blogs. Für weitere ausführliche Analysen und Meinungen werden Sie Mitglied von H-ISAC und erhalten Sie die TLP Amber-Version dieses Blogs (verfügbar im Mitgliederportal).

 

PDF Version: TLP WHITE Hacking Gesundheitswesen 8.1.2025
Größe: 496.2 kB Format: PDF

 

Textversion:

Willkommen zurück bei Hacking Healthcare®.

Update zum britischen Gesetzesvorschlag zu Ransomware 

Am 22. Juli veröffentlichte das britische Innenministerium seine „Regierungsantwort“ auf die Rückmeldungen zu einer Reihe von Gesetzesvorschlägen zum Thema Ransomware, die Anfang des Jahres eingebracht wurden. Angesichts der möglichen Auswirkungen auf den Gesundheitssektor wollen wir untersuchen, wie die Öffentlichkeit reagierte, wie die britische Regierung die Rückmeldungen interpretierte und wie die nächsten Schritte aussehen. 

Warum Gesetzesvorschläge zu Ransomware einbringen? 

Wie wir bereits Mitte Januar berichteten[I]Bereits im vergangenen Jahr war die britische Regierung zunehmend daran interessiert, die Auswirkungen von Ransomware auf den öffentlichen und privaten Sektor in Großbritannien zu mildern. Die Konsultation im Januar zitierte das britische National Cyber Security Centre (NCSC). Jahresrückblick 2024, in der es hieß, dass „Ransomware-Angriffe weiterhin die unmittelbarste und zerstörerischste Bedrohung für die kritische nationale Infrastruktur des Vereinigten Königreichs darstellen.“[Ii] Außerdem wurden die Auswirkungen von Ransomware auf den National Health Service (NHS) erwähnt, darunter Ransomware-Angriffe auf einen wichtigen Lieferanten von Krankenhäusern im Raum London, sowie die breite öffentliche Besorgnis über die Möglichkeit von Ransomware-Auswirkungen. 

Seitdem ist Ransomware weiterhin eine weltweite Plage und vor kurzem wurde der Ransomware-Angriff, der im vergangenen Jahr den Großraum London betraf, als ein Faktor genannt, der zum Tod eines Patienten beitrug, dessen Testergebnisse sich verzögert hatten.[Iii] 

Was sind die Vorschläge?

Zur Erinnerung: Das Innenministerium bezeichnete die Vorschläge zunächst als „weltweit führend“ und [zielten darauf ab], das Geschäftsmodell der Cyberkriminalität im Kern anzugreifen und britische Unternehmen durch die Abschreckung von Bedrohungen zu schützen.“[IV] Die drei Vorschläge, die unter Beteiligung des öffentlichen und privaten Sektors entwickelt wurden, waren:

1. Ein gezieltes Verbot von Ransomware-Zahlungen für alle öffentlichen Stellen, einschließlich der lokalen Regierung, sowie für Eigentümer und Betreiber kritischer nationaler Infrastrukturen (CNI).[V] die reguliert sind oder über zuständige Behörden verfügen.[Vi]

2. Ein neues System zur Verhinderung von Ransomware-Zahlungen, das alle potenziellen Ransomware-Zahlungen aus dem Vereinigten Königreich abdeckt.

3. Ein Meldesystem für Ransomware-Vorfälle. 

Zu diesen Vorschlägen wurde eine öffentliche Konsultation abgehalten, um Beiträge zu erhalten. 

Branchenfeedback und Regierungsinterpretation

Insgesamt berücksichtigte die britische Regierung 273 Rückmeldungen. Das Innenministerium fasste die Ergebnisse wie folgt zusammen: „Die Resonanz auf die Vorschläge war insgesamt positiv“, betonte aber auch, dass „durchweg ein hohes Maß an Engagement und durchdachten Kommentaren“ vorlag.[Vii] 

Trotz der allgemeinen positiven Interpretation der Regierung wirken die Abschnitte des Berichts, die die konkreten Reaktionen auf die Vorschläge detailliert beschreiben, etwas gemäßigter. Hier eine Auswahl der wichtigsten Reaktionen:[VIII] [Ix] 

Vorschlag 1: Ein gezieltes Verbot von Ransomware-Zahlungen für alle öffentlichen Stellen, einschließlich der lokalen Regierung, sowie für Eigentümer und Betreiber kritischer nationaler Infrastrukturen (CNI), die reguliert sind oder über zuständige Behörden verfügen.

  • 72 % der Befragten stimmen der Aussage „voll und ganz“ oder „eher“ zu, dass die Regierung ein gezieltes Verbot von Ransomware-Zahlungen für CNI-Eigentümer und -Betreiber sowie den öffentlichen Sektor, einschließlich der lokalen Behörden, einführen sollte.
  • 68 % der Befragten waren der Meinung, dass ein gezieltes Verbot „wirksam“ oder „eher wirksam“ sei, um die Geldmengen zu verringern, die an Ransomware-Kriminelle fließen, und somit deren Einnahmen zu reduzieren.
  • 62 % sagten, dass Organisationen innerhalb der Lieferketten von CNI und des öffentlichen Sektors in das vorgeschlagene Verbot einbezogen werden sollten.
  • 43 % waren der Meinung, dass es Ausnahmen von dem Verbot geben sollte, während 40 % anderer Meinung waren. 
  • 50 % waren der Meinung, dass es Gründe für eine Ausweitung des Verbots gebe, und die Hälfte davon war der Ansicht, dass ein Ransomware-Verbot die gesamte Wirtschaft betreffen sollte.

Vorschlag 2: Ein neues System zur Verhinderung von Ransomware-Zahlungen, das alle potenziellen Ransomware-Zahlungen aus dem Vereinigten Königreich abdeckt.

  • 61 % der Befragten glaubten, dass ein wirtschaftsweites System zur Verhinderung von Ransomware-Zahlungen „wirksam“ oder „einigermaßen wirksam“ wäre.
  • 45 % der Befragten sind der Ansicht, dass ein wirtschaftsweites System zur Verhinderung von Ransomware-Zahlungen „wirksam“ oder „ziemlich wirksam“ wäre, um die Fähigkeit der Strafverfolgungsbehörden zu verbessern, einzugreifen und gegen Ransomware-Akteure zu ermitteln. 

Vorschlag 3: Ein Meldesystem für Ransomware-Vorfälle, das eine schwellenwertbasierte Meldepflicht für mutmaßliche Opfer von Ransomware beinhalten könnte. 

  • 63 % der Befragten stimmen einer Maßnahme zur wirtschaftsweiten verpflichtenden Meldung von Ransomware-Vorfällen für alle Organisationen und Einzelpersonen „voll und ganz“ oder „eher zu“. 
  • 79 % der Befragten waren der Ansicht, dass eine wirtschaftsweite Maßnahme „wirksam“ oder „ziemlich wirksam“ wäre, um die Fähigkeit der Regierung zu verbessern, die Ransomware-Bedrohung für Großbritannien zu verstehen.
  • 74 % der Befragten waren der Ansicht, dass eine wirtschaftsweite Maßnahme „wirksam“ oder „ziemlich wirksam“ wäre, um die Fähigkeit der Regierung zu verbessern, die Ransomware-Bedrohung in Großbritannien zu bekämpfen und darauf zu reagieren.
  • 75 % der Befragten sind der Meinung, dass 72 Stunden ein angemessener Zeitrahmen für eine Erstmeldung seien.
  • 82 % der Befragten sind der Meinung, dass Opfern von Ransomware Informationen zu Bedrohungen und Trends im Zusammenhang mit Ransomware angeboten werden sollten. 75 % sind der Meinung, dass operative Updates von den Strafverfolgungsbehörden über ein System zur Meldung von Vorfällen bereitgestellt werden sollten. 
  • 31 % der Befragten sind der Meinung, dass die Meldepflicht für Cybervorfälle auf alle Cybervorfälle ausgedehnt werden sollte, nicht nur auf Ransomware-Vorfälle. 

Nächste Schritte

Während die Abschnitte des Berichts, in denen die konkreten Reaktionen auf die Vorschläge detailliert beschrieben werden, etwas gemäßigter und zurückhaltender wirken, ist die Regierung davon überzeugt, dass es eine allgemeine Unterstützung gibt. Daher erklärt sie: „Die Regierung wird bei der Entwicklung dieser Maßnahmen weiterhin über das hilfreiche Feedback nachdenken und es berücksichtigen.“ 

Zu den noch offenen Themenbereichen und Fragen, die nach Ansicht der Regierung einer weiteren Prüfung bedürfen, zählen:[X]

  • Der Umfang und die Definition, wer von einem Ransomware-Zahlungsverbot betroffen wäre, einschließlich der Frage, ob der Vorschlag extraterritoriale Auswirkungen hätte. 
  • Die Komplexität der Abdeckung von Lieferketten.
  • Die Finanzinstitute sind für die Einhaltung der Vorschläge haftbar, da sie möglicherweise aufgefordert werden, potenziell illegale Zahlungen im Namen von Opferorganisationen abzuwickeln.

 

 

Aktion & Analyse 
**In der Health-ISAC-Mitgliedschaft enthalten**

 

[I] https://health-isac.org/health-isac-hacking-healthcare-1-17-2025/

[Ii] https://www.gov.uk/government/news/world-leading-proposals-to-protect-businesses-from-cybercrime

[Iii] https://www.bbc.com/news/articles/cp3ly4v2kp2o

[IV] https://www.gov.uk/government/news/world-leading-proposals-to-protect-businesses-from-cybercrime

[V] In Großbritannien gibt es 13 Sektoren kritischer nationaler Infrastruktur, darunter Chemie, Notfalldienste und Gesundheit. Nicht alle Unternehmen dieser Sektoren gelten tatsächlich als kritische nationale Infrastruktur. https://www.npsa.gov.uk/critical-national-infrastructure-0

[Vi]Der Begriff „zuständige Behörde“ bezieht sich im Allgemeinen auf eine Stelle mit Fachkenntnissen, die mit der Befugnis ausgestattet ist, einen bestimmten Sektor oder eine bestimmte Funktion zu regulieren oder zu beaufsichtigen.

[Vii]https://assets.publishing.service.gov.uk/media/687faaaafdc190fb6b8468db/Government_Response_Ransomware_proposals_to_increase_incident_reporting_and_reduce_payments_to_criminals.pdf

[VIII]https://assets.publishing.service.gov.uk/media/687faaaafdc190fb6b8468db/Government_Response_Ransomware_proposals_to_increase_incident_reporting_and_reduce_payments_to_criminals.pdf

[Ix] Bitte beachten Sie, dass die Anzahl der Antwortenden für jede Frage unterschiedlich war und dass Einzelheiten zur Gesamtzahl der Antwortenden für eine bestimmte Frage in den entsprechenden Abschnitten des Berichts zu finden sind.

[X]https://assets.publishing.service.gov.uk/media/687faaaafdc190fb6b8468db/Government_Response_Ransomware_proposals_to_increase_incident_reporting_and_reduce_payments_to_criminals.pdf

Der Business Information Security Officer: Whitepaper-Reihe
23. Ausgabe des Global Resilience Compensation Report