19.05.2022 / Kategorie: Cybersecurity, CISO
Organisationen im Gesundheitswesen sind ein bevorzugtes Ziel bei Cyberkriminellen. Erfolgreiche Angriffe gefährden aber nicht nur die Datenintegrität der Unternehmen, sondern im schlimmsten Fall auch die Privatsphäre und Gesundheit der Patienten. Daher ist eine hohe Maturität der Informationssicherheit für diese Organisationen von besonderer Wichtigkeit.
Organisationen des Gesundheitswesens verfügen über viele Informationen, die für Cyberdiebe und staatliche Akteure einen hohen finanziellen und geheimdienstlichen Wert haben. Dazu gehören Gesundheitsinformationen von Patienten, personenbezogene Daten wie etwa Sozialversicherungsnummern sowie geistiges Eigentum im Zusammenhang mit medizinischer Forschung. Recherchen zeigen, dass etwa gestohlene Gesundheitsdaten im Dark Web zehnmal mehr einbringen als Kreditkartennummern. Auch die geforderten Lösegeldsummen sind in diesem Bereich – aufgrund der Sensibilität der Daten – deutlich höher. Dazu kommt, dass die Beschaffenheit medizinischer Daten für die Cybersicherheit eine besondere Herausforderung darstellt. Denn bei gestohlenen Kreditkartendaten kann die Karte gesperrt werden. Wenn jedoch Informationen über Labortests oder Krankheiten nach aussen dringen, ist es unmöglich, diese zu „löschen“. Darüber hinaus gefährden Fehler in klinischen elektronischen Systemen die Gesundheit und möglicherweise sogar das Leben von Patienten.
Organisationen im Gesundheitswesen bieten Angreifern mehr Angriffsflächen als Unternehmen in anderen Bereichen. Sie nutzen nicht nur Büroverwaltungssysteme, sondern verfügen zudem oft über eine ganze Reihe von vernetzten medizinischen Geräten, z. B. Infusionspumpen, MRT-Scanner oder Insulinmonitore. Dazu kommen die sog. Supervisory Control and Data Acquisition (SCADA) Systeme, mit denen die Facility überwacht und gesteuert wird. Dazu gehören etwa intelligente Aufzüge, Heizungs-, Lüftungs- und Klimatisierungsanlagen. Cyberangriffe stellen ein hohes Risiko für elektronische Patientenakten, aber auch für die Pflege selbst dar. Ändern Cyberpiraten etwa Patientendaten, kann das schwerwiegende Folgen für die Gesundheit der Betroffenen haben. Auch der Verlust des Zugriffs auf medizinische Aufzeichnungen und lebensrettende medizinische Geräte - z. B. wenn diese durch einen Ransomware-Virus als Geiseln genommen werden - kann den Betrieb der betroffenen Organisation einschränken oder sogar völlig lahmlegen. Ändern Kriminelle zum Beispiel bei Bestrahlungsgeräten die Konfiguration und somit die Strahlendosis, kann dies lebensgefährlich für die Patienten sein.
Gesundheitsorganisationen haben es also mit einer Vielzahl von Gefahren zu tun. Die wichtigsten sind:
Seit einiger Zeit stehen Schweizer Gesundheitsorganisationen im besonderen Fokus der Kriminellen. Bereits Ende 2020 bemerkten die Spezialisten von Check Point, dass die Schweizer Spitäler und Organisationen des Gesundheitswesens im Visier der Hacker stehen. Die Attacken in der Schweiz stiegen um 59 %. Im November 2020 wurde die Hirslanden Gruppe Opfer eines Angriffs. Die Bedrohungslage hat sich seitdem nicht verbessert, ganz im Gegenteil. Umso mehr steht die Branche unter Druck, geeignete Sicherheitsmassnahmen zu ergreifen und den Schutz von Daten und Patienten maximal zu erhöhen.
Cybersicherheit in Gesundheitsorganisationen ist kein rein technisches Problem. Um einen wirksamen Schutz aufzubauen, braucht es eine ganze Reihe von Massnahmen. Als erster Schritt ist es notwendig, sich einen Überblick über die Maturität der Informationssicherheit zu verschaffen. Mit einem Assessment können die Organisation, die Prozesse und die eingesetzte Technologie überprüft sowie die Incident Readiness festgestellt werden. Wichtig sind zudem Offensive Service, wie etwa eine Dark Web Analyse, um festzustellen, ob womöglich bereits Daten der Organisation im Dark Web angeboten werden und wenn ja, welche. Dazu kommen Massnahmen wie Application Testing, Phishing-Simulationen und Awareness Trainings, denn die Menschen spielen eine entscheidende Rolle bei der Erhöhung der Cybersicherheit.
Denn, neben all der Technologie und den organisatorischen Massnahmen, besteht der wichtigste Schutz darin, eine auf die Patientensicherheit ausgerichtete Kultur der Cybersicherheit einzuführen. Auf diese Weise können Gesundheitseinrichtungen ihre bestehende Kultur der Patientenversorgung nutzen, um eine ergänzende Kultur der Cybersicherheit zu vermitteln. Eine Kultur der Cybersicherheit, in der sich die Mitarbeitenden als proaktive Verteidiger der Patienten und ihrer Daten sehen, kann einen enormen Einfluss auf die Minderung von Cyberrisiken haben. Daher ist eine professionelle und regelmässige Schulung zum Thema Cybersicherheit unerlässlich. Mitarbeitende sollten:
Gesundheitsorganisationen sollten bösartige Dateiaktivitäten kontrollieren und überwachen. Dies kann durch die Implementierung von Systemen geschehen, die unbefugte Aktionen mit Daten blockieren, die Weitergabe von unbefugten E-Mails verhindern, die Möglichkeit des Kopierens in externe Quellen prüfen usw. Ausserdem ist es wichtig, dass:
Mobiltelefone, Apps und IoMT-Geräte (Internet of Medical Things) sind für Ärzte und Verwaltungspersonal zur Standardpraxis geworden, genauso wie die Nutzung von privaten Geräten. Dies ist jedoch eine weitere Schwachstelle. Angreifer stehlen Informationen, Passwörter und Smartphones, hacken angeschlossene Geräte, hören sie ab und konfigurieren sie sogar neu. Um Fernüberwachungsdienste, mobile Daten und IoT-Systeme zu schützen, sollten Kliniken:
Ein proaktiver Ansatz für den Schutz von Daten und Informationen drückt sich in der Erstellung eines Notfallplans mit klaren Rollen und Zuständigkeiten, regelmässigen Risikobewertungen und der Umsetzung sogenannter Cybersecurity Frameworks (CSFs) aus. Dabei handelt es sich um Leitfäden, die dem Gesundheitswesen dabei helfen, Cybersicherheitsrisiken zu verringern und den Datenverwaltungsprozess aufrechtzuerhalten. Ein anschauliches Beispiel für einen solchen Leitfaden ist das NIST Framework und das ISO 27799.
Gesundheitsorganisationen bieten Cyberkriminellen mehr Angriffsfläche als andere Unternehmen. Zudem gefährden erfolgreiche Cyberangriffe auf Gesundheitsorganisationen nicht nur die Datenintegrität, sondern auch die Privatsphäre und Gesundheit der Patienten. Gesundheitsorganisationen brauchen eine besonders hohe Maturität der Informationssicherheit. Kontaktieren Sie uns, unsere Cybersecurity-Experten beraten Sie gerne.
Informieren Sie sich über die aktuellen Cyberbedrohungen für Unternehmen im Gesundheitsbereich und über die neuesten Security Lösungen. ISPIN ist am 31.05. bei der „Information Security in Healthcare Conference“ in Cham dabei. Kommen Sie vorbei. Wir freuen uns darauf, Ihre individuellen Security-Herausforderungen mit Ihnen zu diskutieren!
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications