Sicherheit geht vor Abwehr von Cyberangriffen ist im Gesundheitswesen entscheidend

Anbieter zum Thema

Check Point Software Technologies GmbH

Aktuelle Vorfälle zeigen: Cybersicherheit ist ein entscheidender Faktor, damit Kliniken ihren Patienten eine hochwertige Versorgung bieten können.

Im Juni schloss ein Krankenhaus in dem US-Bundesstaat Illinois nach einem verheerenden Ransomware-Angriff seine Pforten. Bei den jüngsten Cyberangriffen auf CommonSpirit Health wurden die persönlichen Daten von mehr als 600.000 Patienten kompromittiert und Tallahassee Memorial Healthcare musste Notfallpatienten in andere Krankenhäuser verlegen, nachdem der Betrieb eingestellt worden war.

Diese Unterbrechungen können zu einer verzögerten Versorgung führen, da die Patienten in ein anderes Krankenhaus gebracht werden müssen oder die Ärzte auf Low-Tech-Methoden zurückgreifen müssen, um die Versorgung zu gewährleisten. In einem kürzlich erschienenen NPR-Bericht wurde berichtet, dass ein Krankenhaus in Indiana auf Stift und Papier statt auf digitale Dateien zurückgreifen und Freiwillige finden musste, die die Testergebnisse vom Labor ins Büro brachten.

Leider sind diese Vorfälle keine Seltenheit. Organisationen des Gesundheitswesens gehören weiterhin zu den Top drei der am stärksten betroffenen Branchen. Im vergangenen Jahr stieg die Zahl der Cyberangriffe in der Gesundheitsbranche im Vergleich zum Vorjahr um 78 Prozent, mit durchschnittlich 1.426 Angriffsversuchen pro Woche und Organisation.

Es kann nicht genug betont werden, dass Cyberangriffe im Gesundheitswesen eine Frage von Leben und Tod sind. Eine vom Ponemon Institute durchgeführte Umfrage ergab, dass mehr als 20 Prozent der Organisationen im Gesundheitswesen nach einem Sicherheitsverstoß einen Anstieg der Sterblichkeitsrate bei Patienten verzeichneten.

Warum haben es Cyber-Kriminelle auf das Gesundheitswesen abgesehen?

Das Gesundheitswesen ist lebenswichtig und enthält Unmengen sensibler medizinischer Daten. Wenn Cyberkriminelle in eine Gesundheitseinrichtung eindringen, verschaffen sie sich Zugang zu diesen sensiblen medizinischen Daten, für die sie Lösegeld verlangen können, und garantieren dem Hacker Medienpräsenz und Berühmtheit. Beide Faktoren setzen die Opfer unter immensen Druck und erhöhen die Wahrscheinlichkeit, dass ein hohes Lösegeld gezahlt wird.

Der Gesundheitssektor ist aus mehreren Gründen anfällig. Erstens handelt es sich bei der zunehmenden Raffinesse und Quantität der Cyberangriffe um eine Bedrohung, auf die diese Organisationen nicht vorbereitet sind. Viele Krankenhäuser verlassen sich auf eine Mischung aus alten und neuen Technologien, von denen die meisten entweder nicht direkt verwaltet oder aufgrund einer unsachgemäßen Dokumentation vergessen werden. Dieses Problem hat sich im Laufe der Zeit noch verschärft, da immer mehr IoT und andere medizinische Geräte hinzukommen, obwohl sie nur selten von vornherein sicher konstruiert sind. Der derzeitige Fachkräftemangel im Bereich der Cybersicherheit bedeutet auch, dass es an Fachwissen mangelt, um diese immer größer werdende Angriffsfläche zu verwalten. Nimmt man diese Faktoren zusammen, ergibt das für Cyberkriminelle ein hochwertiges Ziel mit einer großen Angriffsfläche und vielen potenziellen Einfallspunkten.

Die Patienten verdienen eine qualitativ hochwertige Versorgung, die ihre körperliche, geistige und seelische Gesundheit fördert. Auch der Schutz ihrer Gesundheitsdaten ist ein Bestandteil davon. Ein Cyberangriff kann sich auf die körperliche Gesundheit einer bestimmten Person oder Bevölkerungsgruppe auswirken und soziale und emotionale Schwierigkeiten zur Folge haben, wenn persönliche Informationen kompromittiert werden und an die Öffentlichkeit gelangen. Tatsächlich verklagen Patienten derzeit das Krankenhaus One Brooklyn Health, nachdem diese von Cyberkriminellen angegriffen wurde, die Patientendaten ausspähten. Die Patienten sind besorgt, dass sie nun einem größeren Risiko für Betrug, Identitätsdiebstahl, Veruntreuung von Krankenversicherungsleistungen und mehr ausgesetzt sind.

Neue Richtlinien in den USA

Kürzlich kündigte die FDA (Food & Drug Administration, das US-Gesundheitsministerium) neue Richtlinien zum Schutz von Medizinprodukten vor Cyberangriffen an. Hersteller von vernetzten medizinischen Geräten – Internet of Medical Things (IoMT) – müssen nun einen Plan vorlegen, in dem sie detailliert darlegen, wie sie Cybersicherheitsprobleme überwachen, identifizieren und angehen werden und darüber hinaus eine „angemessene Gewähr“ dafür bieten, dass das Gerät geschützt ist. Die Gewährleistung, dass IoMT-Geräte von vornherein sicher sind, fügt eine zusätzliche Sicherheitsebene hinzu und erleichtert die Belastung für CISOs und IT-Leiter im Gesundheitswesen. Diese neuen Vorschriften sind ein wichtiger Schritt, um sicherzustellen, dass die Hersteller von vornherein Sicherheitsfunktionen einbauen, was es den Organisationen des Gesundheitswesens leichter machen wird, diese zu implementieren.

Drei Maßnahmen, um zu verhindern, dass Cyberangriffe den Arbeitsablauf im Gesundheitswesen beeinflussen

• 1. Kultur: Schaffung eines Sicherheitsbewusstseins in jedem Aspekt der Patientenbetreuung. Die Aufklärung des Personals darüber, warum Cybersicherheit wichtig ist und welche Rolle sie beim Schutz der Patienten durch gute Informationssicherheitspraktiken spielen, sollte für die Organisation des Gesundheitswesens so selbstverständlich werden wie die Einhaltung hygienischer Bedingungen. Schulungen und Trainings zur Cybersicherheit müssen häufig und kontinuierlich durchgeführt werden, um eine Kultur des Sicherheitsbewusstseins zu schaffen.

• 2. Schutz der Endpunkte: Ein einzelner Nutzer im Gesundheitssystem kann über mehrere Endpunkte verfügen, von denen aus er auf elektronische Gesundheitsinformationen zugreift und diese übermittelt. Auch medizinische Geräte selbst übertragen Daten. Der präventive Endpunktschutz umfasst einen mehrschichtigen Ansatz mit folgenden Funktionen: Anti-Phishing, Anti-Ransomware, Anti-Bot, Entschärfung und Rekonstruktion von Inhalten (CDR) sowie automatische Nacherkennung, Behebung und Reaktion. Das U.S. Department of Health and Human Services (HHS) bietet einen Leitfaden für den Schutz elektronischer geschützter Gesundheitsdaten.

• 3. Zugangskontrolle (Zero-Trust-Modell): Indem sie einfach die Zugriffsrechte auf Gesundheitsdaten einschränken, können Organisationen verhindern, dass ein Cyberangriff erfolgreich ist. Das Zero-Trust-Modell ermöglicht es Organisationen des Gesundheitswesens, eine Politik der geringsten Privilegien durchzusetzen, bei der sie die geringste Menge an Berechtigungsnachweisen für die erforderlichen Aufgaben gewähren. Der Zugriff auf jede Ebene der Daten sollte auf der Grundlage der Notwendigkeit des Wissens erfolgen, um die Wahrscheinlichkeit eines unbefugten Zugriffs zu verringern.

In den jüngsten Gesprächen mit CISOs aus dem Gesundheitswesen wurde der Wunsch deutlich zu verstehen, wie man die Gesundheit aller Menschen überall und mit Sicherheit schützen kann. Die Gespräche werden fortgesetzt, und es gibt eine starke Kultur der Zusammenarbeit in der Branche, bei der bewährte Verfahren und Erfahrungen ausgetauscht werden, um Maßnahmen zu ergreifen. Wir wissen, wie wichtig eine gute Gesundheit ist, und setzen uns weiterhin für den Schutz unserer Gesundheitseinrichtungen und -anbieter ein.

Fazit

Indem Organisationen beim Schutz ihrer Patienten einen präventiven Ansatz verfolgen, können sie Störungen und Ausfälle der IT verhindern. Kliniken sollten sich keine Sorgen darüber machen müssen, ob sie auf digitale Krankenakten zugreifen können oder ob sie sich auf ihre medizinischen Instrumente verlassen können. Sich auf die Verbesserung der Behandlungsergebnisse bei den Patienten zu konzentrieren, ist bereits eine große Aufgabe.

(ID:49597620)