Schutz von Patientendaten Schwachstelle Gesundheitswesen

Die Covid-19-Pandemie hat Gesundheitsdienstleister weltweit vor große Herausforderungen gestellt: Ein bisher beispielloser Anstieg von Patienten in kritischem Zustand, „virtuelle“ Unterstützung von weniger schwer erkrankten, um die Ausbreitung der Krankheit zu begrenzen, eine vorübergehende Meldepflichten bei diversen Behörden und nicht zuletzt dringliche Fragen an Sicherheits- und Datenschutzfachleute. Zeitgleich meldet Interpol eine alarmierende Zunahme von Cyber-Attacken auf Krankenhäuser.

Interpol zufolge ist im Zeitraum von Februar bis März 2020 die Zahl der gefährlichen Webadressen, die Stichwörter wie „Coronavirus“ oder „Covid“ enthalten um 569 Prozent gestiegen. Dabei sind Datenschutzverletzungen und Cybersicherheit für den gesamten Gesundheitssektor ohnehin ein Dauerthema. IBM und das Ponemon Institute haben in einem erst kürzlich erschienenen Bericht aufgezeigt, dass Sicherheitsverletzungen, unter dem Gesichtspunkt der Wiederherstellung betrachtet, die teuerste Form des Datenverlusts sind.

Tatsächlich kosten Datenschutzverletzungen im Gesundheitssektor durchschnittlich 6,45 Millionen US-Dollar (umgerechnet 5,64 Millionen Euro). Das ist fast doppelt so viel wie in anderen Branchen. Tendenz weiter steigend. Trotzdem sind die meisten Organisationen immer noch anfällig für dieselben Angriffe, mit denen sie seit Jahren kämpfen. Dazu zählen Insider-Bedrohungen und externe Angreifer, die versuchen, unautorisiert auf Patientenakten zuzugreifen.

Cyber-Angriffe machen dabei mehr als die Hälfte der Datenschutzverletzungen aus. Die Motivation der Cyber-Kriminellen ist breit gefächert und reicht von Wirtschafts- oder Unternehmensspionage bis hin zu geopolitisch motivierten Angriffen auf die chronisch unsicheren Server im Gesundheitswesen. Die meisten Angriffe nutzen Ransomware, die sich gegen anfällige medizintechnische Geräte richtet und deren Betrieb unterbricht. Die Folgen sind weitreichend, ob finanziell oder für Leib und Leben von Patienten.

Die meisten Vorfälle gehen auf bereits bekannte Sicherheitsschwachstellen zurück. Regelmäßige Schwachstellen-Scans identifizieren solche Lücken, die man sofort beheben sollte, wenn man die Wahrscheinlichkeit eines Exploits senken will. Die übrigen Datenschutzverletzungen sind in der Regel das Ergebnis von Insider-Bedrohungen. Dazu zählen fahrlässig agierende Mitarbeiter, Angriffe Dritter oder verlorene oder gestohlene Geräte. Motivation und Methoden variieren, aber die Gesundheitsbranche muss ganz eindeutig mehr tun, um personenbezogene Daten (PII) und persönliche Gesundheitsdaten (PHI) zu schützen.

Unabhängig von der Ursache einer Datenschutzverletzung sind die vielerorts eingesetzten Tools, kaum in der Lage, Verstöße rechtzeitig zu erkennen und mit der Menge von Richtlinienanforderungen wie HIPAA, HITRUST und DSGVO Schritt zu halten. Darin liegt gerade für Unternehmen, die elektronische Krankenakten (EMR) sammeln und nutzen eine große Hürde. Traditionelle Tools stützen sich auf regelbasierte Methoden zur Überwachung von Vorkommnissen. Diese sind, was grundlegende Compliance-Anforderungen angeht, vielleicht noch bedingt wirksam. Aber sie schützen Patientendaten nicht vor Insider-Bedrohungen oder gezielten Cyberattacken.

Trotzdem verlassen sich viele Unternehmen im Gesundheitswesen weiterhin auf manuelle Prüfmethoden oder simple, regelbasierte Protokollierung von Events. Darüber hinaus kämpfen die meisten Organisationen im Gesundheitsbereich mit großen Mengen komplexer Datensätze aus heterogenen Systemen. Diese Daten zu sammeln, zu durchsuchen und zu analysieren ist allein aufgrund der Menge kein leichtes Unterfangen. Außerdem gehen kritische Warnungen in der Flut von Meldungen leicht unter.

Gesundheitswesen „remote“

Die meisten etablierten Organisationen in Gesundheitsbranche verfügen zwar bereits über einige taugliche Prozesse und Kontrollen, doch die plötzliche Umstellung auf Remote-Medizin und die Änderung der Berichtspflichten stellt sie vor neue Herausforderungen. Vor diesem Hintergrund können Gesundheitsdienstleister einiges tun, um Cybersicherheit und Richtlinienkonformität zu verbessern. Schnelle Lösungen wird es nicht geben, aber eine Reihe von empfehlenswerten Vorgehensweisen:

• Einrichten von Remote-Zugriff: Um Shelter in Place-Richtlinien einzuhalten, brauchen große Teile der Belegschaft Remote-Zugriff. Das bringt logistische Herausforderungen mit sich (z.B. genügend Personal angesichts einer Vielzahl von Anfragen) bis hin zur Sicherheit (z.B. Multi-Faktor-Authentifizierung, um bestehende Vorschriften einzuhalten). Es ist unerlässlich, Mitarbeitern Zugriff auf unverzichtbare Ressourcen zu gewähren. Trotzdem sollte jeder einzelne Benutzer nur die Informationen bekommen, die er für seinen Arbeitsbereich braucht. Andernfalls sind sensible Patientendaten durch unvorsichtige oder böswillig agierende Insider gefährdet, oder Cyberkriminelle ziehen geschützte Informationen über mangelhaft gesicherte WLAN-Heimnetzwerke und private Geräte ab.

• Schulung: Eine Belegschaft, die nicht an die besonderen Herausforderungen des Remote Working gewöhnt ist, wird nicht unbedingt alle potenziellen Sicherheitsrisiken bedenken und z.B. unsichere Internetverbindungen oder schwache Passwörter benutzen. Deshalb sollten Einrichtungen im Gesundheitswesen ihren Mitarbeitern kontinuierlich Schulungen anbieten sowie das Bewusstsein für Datenschutz und Sicherheit fördern. Aktuelle Untersuchungen haben gezeigt, dass Cyberkriminelle die aktuelle Situation sofort für sich ausgenutzt haben und mit Phishing-Angriffen besonders Remote Worker sensibler Branchen ins Visier genommen haben.

• Kritische Apps schützen: Kritische Apps, die EMR-Daten speichern und verarbeiten, sind normalerweise nicht mit dem Internet verbunden, und wenn, dann nur unter strengen Sicherheitsauflagen. Der Zwang zum Remote Working hat diese Norm aufgeweicht. Es überrascht nicht, dass die kritischsten Anwendungen diejenigen sind, auf die Cyberkriminelle es am häufigsten abgesehen haben. Sie sind eine wahre Fundgrube an personenbezogenen Daten, und die erzielen im Dark Web regelmäßig Höchstpreise. Solche Systeme sind auch ein beliebtes Ziel für Ransomware-Angriffe. Die Realität hat gezeigt, dass Krankenhäuser und Gesundheitseinrichtungen in vielen Fällen keine andere Wahl haben, als das Lösegeld zu zahlen. Wer kritische Anwendungen über sichere Passwörter und mittels Verschlüsselung schützt, der senkt das Risiko schwerwiegender Datenschutzverletzungen.

• Verwendung privater Geräte: Im Rahmen entsprechender Unternehmensrichtlinien dürfen Mitarbeiter oftmals private Geräte verwenden. Der potenzielle Zugriff auf kritische Systeme wirft aber zusätzliche Sicherheitsbedenken auf. Mobile Endgeräte haben inzwischen stationäre Rechner überholt, was die Zahl der Angriffe und die verwendeten Angriffsvektoren anbelangt. Entscheidungsträger sollten sicherstellen, dass die Mitarbeiter mit gesicherten Geräten arbeiten oder ein VPN nutzen.

• Benutzerüberwachung: Aktivitätsmuster von Mitarbeitern haben sich genau wie die potenziellen Angriffsvektoren in jüngster Zeit radikal verändert. Tools, die verdächtigte Aktivitäten überwachen und kontrollieren, müssen anpassungsfähiger sein. Im Idealfall erkennen sie neuartige oder verdächtige Muster, analysieren und isolieren sie und helfen, Schwachstellen oder potenzielle Angriffe zu prognostizieren. Sicherheitsteams haben dann die Möglichkeit, unerwartete oder unbefugte Zugriffe auf sensible Daten zu überwachen und handlungsrelevante Erkenntnisse aus der Analyse zu ziehen. Sogenannte prädiktive Überwachungssysteme schützen vor Insider-Bedrohungen ehe sie überhaupt auftreten.

(ID:46810368)