Cybersicherheit im Gesundheitswesen – Zu Risiken und Nebenwirkungen fehlender Sicherheitsmaßnahmen

Studie

Veröffentlicht 29.09.2022 11:00, Dagmar Finlayson

Cyberattacken im Gesundheitsbereich können schwerwiegende Konsequenzen mit sich bringen. Laut dem aktuellen State of Email Security Report von Mimecast, einem der führenden Anbieter für Daten- und E-Mail-Sicherheit, bemerkten 71 % der befragten deutschen Unternehmen aus dem Gesundheitsbereich einen Anstieg an bedrohlichen E-Mails im vergangenen Jahr. Vor allem das Gesundheitswesen muss sich besser gegen Bedrohungen aus der digitalen Welt schützen – denn hier blüht den Opfern mehr als Reputations- oder monetäre Verluste: Im schlimmsten Fall leidet die menschliche Gesundheitsversorgung durch die Machenschaften von Cyberkriminellen. Für Hacker ist das Gesundheitswesen ein äußerst lohnendes Ziel: Zum einen ist die IT-Infrastruktur in vielen Krankenhäusern und Gesundheitseinrichtungen veraltet und das Sicherheitsbudget oft eher knapp bemessen. Zum anderen wird hier eine Vielzahl sensibler, personenbezogener Daten erzeugt und verarbeitet – für Hacker also eine wahre Goldgrube.

Gefahren durch Ransomware, Phishing und unvorsichtige Mitarbeiter:innen

Ransomware-Angriffe im Gesundheitswesen können besonders schwerwiegende Konsequenzen nach sich ziehen: Sie sind in der Lage, Systeme zu sperren, die einen Einfluss auf das menschliche Leben haben – beispielsweise medizinische Geräte zur Überwachung von Patientenzuständen. Zudem können sie den Zugriff auf wichtige Patientendaten verschlüsseln. Die Attacke auf die Münchner Caritas am vergangenen Wochenende ist hier nur das jüngste Beispiel. Die Organisation rechnet mit erheblichen Beeinträchtigungen, die wohl bis weit über eine Woche andauern werden. Umso gravierender ist es, dass 66 % der in der Studie befragten Organisationen im vergangenen Jahr eine Beeinträchtigung ihrer Geschäftsabläufe im Zuge einer Ransomware-Attacke erlebten. Die Ausfallzeit betrug dabei im Schnitt 5,7 Tage – im Ernstfall kann das lebensbedrohliche Konsequenzen für die Patient:innen bedeuten.

Aber nicht nur Ransomware treibt ihr Unwesen im Gesundheitsbereich. 63 % der Teilnehmer:innen bemerkten einen Anstieg an Phishing und ungefähr die Hälfte der Befragten gibt an, einen Missbrauch der Unternehmensmarke durch Spoofing-E-Mails festgestellt zu haben. Allerdings verfügen lediglich 42 % über ein E-Mail-Sicherheitssystem, welches Malware oder infizierte Links aufspürt.

Als Haupteinfallstor gelten jedoch nach wie vor unbedachte Handlungen der Mitarbeiter:innen selbst. 84 % der Befragten halten es für wahrscheinlich, dass die Angestellten einen schwerwiegenden Sicherheitsfehler im persönlichen Umgang mit E-Mails begehen. Zudem befürchten 84 % bzw. 79 %, dass es aufgrund mangelnder Passworthygiene oder durch unbeabsichtigte Datenlecks der Mitarbeiter:innen zu einem ernsthaften Sicherheitsfehler kommen könnte.

Methoden zum Schutz von Gesundheitsorganisationen

1. Erhöhung der Cyber-Resilienz
Durch das akute Bedrohungsszenario ist eine ausgereifte Cyber-Resilienz-Strategie eines der bewährtesten Mittel, um Hackern dauerhaft standzuhalten – allerdings verfügen aktuell nur 32 % der Gesundheitsorganisation über adäquate Sicherheitsstrategien. Im Kern sichert eine Cyber-Resilienz-Strategie den Weiterbetrieb der Geschäftsabläufe – beispielsweise durch den kontinuierlichen Zugriff auf E-Mails und weitere Systeme – und beinhaltet Abwehr- und Gegenmaßnahmen bei Cyberangriffen.

2. Ausbau der Cloud-Infrastruktur
Gerade im Gesundheitswesen fallen Unmengen an sensiblen Daten an, die sicher gelagert und jederzeit abrufbar sein müssen. Die Nutzung der Cloud ist einerseits extrem anwenderfreundlich, da die Prozesse automatisiert im Hintergrund geschehen. Andererseits optimiert die Archivierung von Daten in der Cloud Kosten und senkt gleichzeitig die Risiken für die internen Rechts- und Compliance-Teams.

3. Einsatz von Künstlicher Intelligenz und Maschinellem Lernen
Eine schnelle Reaktion auf Cyberattacken kann im Gesundheitswesen im Ernstfall Leben retten – beispielsweise, wenn Kriminelle lebenserhaltende Geräte unter ihre Kontrolle bringen wollen (oder dies bereits geschafft haben). Die Hälfte der befragten Gesundheitsorganisationen nutzt schon KI oder ML – weitere 34 % planen eine Integration bereits in diesem Jahr. Sicherheitslösungen, die auf Künstlicher Intelligenz und Maschinellem Lernen basieren, können Gefahren weitaus schneller identifizieren, als es menschlichen Sicherheitsteams möglich wäre.

4. Regelmäßige Security-Awareness-Trainings
Durch Sicherheitstrainings werden die Mitarbeiter:innen hinsichtlich verschiedener Cybergefahren sensibilisiert – und sind somit weniger anfällig, Hackern ins Netz zu geraten. 37 % der Befragten trainiert die Mitarbeiter:innen regelmäßig darauf, Cyberattacken zu identifizieren. Als bevorzugte Methode nutzen davon 66 % Gruppentrainings mit internen IT-Teams.

5. Integration einer mehrschichtigen Sicherheitsarchitektur
Den besten Schutz gegen die kontinuierlich steigenden Cyberrisiken stellt eine mehrschichtige Sicherheitsstrategie dar, also eine Kombination unterschiedlicher Methoden. In jedem Fall sollte darauf verzichtet werden, lediglich ein einziges Sicherheitsprodukt zu verwenden. Externe Dienstleister wie Mimecast bieten in der Zusammenarbeit mit Partnern über APIs maßgeschneiderte Lösungen, die einfach zu integrieren und dabei besonders benutzerfreundlich sowie effektiv sind. 95 % der Gesundheitsorganisationen geben an, dass es bei der Auswahl eines Sicherheitsdienstleisters einen Einfluss habe, ob dieser über eine offene API-Plattform verfügt.

„Krankenhäuser und andere Pflegeeinrichtungen müssen rund um die Uhr funktionieren, um die Gesundheit ihrer Patient:innen gewährleisten zu können. Die Aufrechterhaltung des Geschäftsbetriebs hat daher höchste Priorität“, sagt Bernd Hohlweg, Director Marketing DACH bei Mimecast. „Cyberattacken bedrohen zunehmend diesen Auftrag – und im schlimmsten Fall Patientenleben. Nur die Entwicklung einer robusten Cyber-Resilienz-Strategie und die Implementierung mehrerer Sicherheitsebenen schützen Organisationen zuverlässig vor Cyberangriffen und stellen den Betrieb und die Patientenversorgung im Falle eines Angriffs sicher.“

Den zugehörigen Blogartikel, inklusive globaler Statistiken, finden Sie hier.

Foto: Das Gesundheitswesen wird immer häufiger Ziel von Cyber-Attacken / (c) Mimecast

Quelle: Golin GmbH


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Hacker-Angriffe auf mehrere Kliniken in Franken
IT-Sicherheit & Kritis
Hacker
Vorzeichen der Cybersicherheit 2023
IT-Sicherheit & Kritis
Security
Angriffe auf KRITIS nehmen zu
IT-Sicherheit & Kritis
Kommentar
Mehr Kommerz mit Cyberkriminalität
IT-Sicherheit & Kritis
Secure

Lesen Sie hier die neuesten Beiträge

Diese Webseite verwendet Cookies.   Mehr Info.      oder