Blog

Cybersecurity und Datenschutz im Gesundheitswesen

/ Kategorie: Cybersecurity, CISO

Organisationen im Gesundheitswesen sind ein bevorzugtes Ziel bei Cyberkriminellen. Erfolgreiche Angriffe gefährden aber nicht nur die Datenintegrität der Unternehmen, sondern im schlimmsten Fall auch die Privatsphäre und Gesundheit der Patienten. Daher ist eine hohe Maturität der Informationssicherheit für diese Organisationen von besonderer Wichtigkeit.

Organisationen des Gesundheitswesens verfügen über viele Informationen, die für Cyberdiebe und staatliche Akteure einen hohen finanziellen und geheimdienstlichen Wert haben. Dazu gehören Gesundheitsinformationen von Patienten, personenbezogene Daten wie etwa Sozialversicherungsnummern sowie geistiges Eigentum im Zusammenhang mit medizinischer Forschung. Recherchen zeigen, dass etwa gestohlene Gesundheitsdaten im Dark Web zehnmal mehr einbringen als Kreditkartennummern. Auch die geforderten Lösegeldsummen sind in diesem Bereich – aufgrund der Sensibilität der Daten – deutlich höher. Dazu kommt, dass die Beschaffenheit medizinischer Daten für die Cybersicherheit eine besondere Herausforderung darstellt. Denn bei gestohlenen Kreditkartendaten kann die Karte gesperrt werden. Wenn jedoch Informationen über Labortests oder Krankheiten nach aussen dringen, ist es unmöglich, diese zu „löschen“. Darüber hinaus gefährden Fehler in klinischen elektronischen Systemen die Gesundheit und möglicherweise sogar das Leben von Patienten.

Verschiedene Angriffsflächen

Organisationen im Gesundheitswesen bieten Angreifern mehr Angriffsflächen als Unternehmen in anderen Bereichen. Sie nutzen nicht nur Büroverwaltungssysteme, sondern verfügen zudem oft über eine ganze Reihe von vernetzten medizinischen Geräten, z. B. Infusionspumpen, MRT-Scanner oder Insulinmonitore. Dazu kommen die sog. Supervisory Control and Data Acquisition (SCADA) Systeme, mit denen die Facility überwacht und gesteuert wird. Dazu gehören etwa intelligente Aufzüge, Heizungs-, Lüftungs- und Klimatisierungsanlagen. Cyberangriffe stellen ein hohes Risiko für elektronische Patientenakten, aber auch für die Pflege selbst dar. Ändern Cyberpiraten etwa Patientendaten, kann das schwerwiegende Folgen für die Gesundheit der Betroffenen haben. Auch der Verlust des Zugriffs auf medizinische Aufzeichnungen und lebensrettende medizinische Geräte - z. B. wenn diese durch einen Ransomware-Virus als Geiseln genommen werden - kann den Betrieb der betroffenen Organisation einschränken oder sogar völlig lahmlegen. Ändern Kriminelle zum Beispiel bei Bestrahlungsgeräten die Konfiguration und somit die Strahlendosis, kann dies lebensgefährlich für die Patienten sein.

Top-Risiken für Gesundheitsorganisationen

Gesundheitsorganisationen haben es also mit einer Vielzahl von Gefahren zu tun. Die wichtigsten sind:

  1. Phishing
    Links oder Anhänge in Phishing-E-Mails, sozialen Medien oder Textnachrichten infizieren Computersysteme mit Malware, die sich oft über das klinische Netzwerk verbreitet.
     
  2. Man-in-the-Middle (MITM)-Angriffe.
    Cyberkriminelle schleusen sich in Gespräche oder Datenübertragungen ein und stehlen vertrauliche (und sehr wertvolle) Benutzerinformationen, was zu schweren Verlusten und zu Strafen aufgrund der Verletzung des Datenschutzes führen kann.
     
  3. Angriffe auf Netzwerkschwachstellen
    Address Resolution Protocol Cache Poisoning (ARP), HTTPS-Spoofing und andere Cyberkriminalität zielen auf das Herzstück medizinischer Zentren ab - verkabelte und drahtlose Netzwerke, die den Zugang zu Patientendaten ermöglichen.
     
  4. Ransomware
    Kriminelle verschlüsseln nicht nur Daten und erpressen Geld für die Entschlüsselung, sondern blockieren auch den Zugriff auf das gesamte klinische System und legen so z. B. die Arbeit der Geräte für chirurgische Eingriffe und die Lebenserhaltung lahm.

Die Schweiz im Fokus

Seit einiger Zeit stehen Schweizer Gesundheitsorganisationen im besonderen Fokus der Kriminellen. Bereits Ende 2020 bemerkten die Spezialisten von Check Point, dass die Schweizer Spitäler und Organisationen des Gesundheitswesens im Visier der Hacker stehen. Die Attacken in der Schweiz stiegen um 59 %. Im November 2020 wurde die Hirslanden Gruppe Opfer eines Angriffs. Die Bedrohungslage hat sich seitdem nicht verbessert, ganz im Gegenteil. Umso mehr steht die Branche unter Druck, geeignete Sicherheitsmassnahmen zu ergreifen und den Schutz von Daten und Patienten maximal zu erhöhen.

Schutzmassnahmen

Cybersicherheit in Gesundheitsorganisationen ist kein rein technisches Problem. Um einen wirksamen Schutz aufzubauen, braucht es eine ganze Reihe von Massnahmen. Als erster Schritt ist es notwendig, sich einen Überblick über die Maturität der Informationssicherheit zu verschaffen. Mit einem Assessment können die Organisation, die Prozesse und die eingesetzte Technologie überprüft sowie die Incident Readiness festgestellt werden. Wichtig sind zudem Offensive Service, wie etwa eine Dark Web Analyse, um festzustellen, ob womöglich bereits Daten der Organisation im Dark Web angeboten werden und wenn ja, welche. Dazu kommen Massnahmen wie Application Testing, Phishing-Simulationen und Awareness Trainings, denn die Menschen spielen eine entscheidende Rolle bei der Erhöhung der Cybersicherheit.

Schulung der Mitarbeitenden

Denn, neben all der Technologie und den organisatorischen Massnahmen, besteht der wichtigste Schutz darin, eine auf die Patientensicherheit ausgerichtete Kultur der Cybersicherheit einzuführen. Auf diese Weise können Gesundheitseinrichtungen ihre bestehende Kultur der Patientenversorgung nutzen, um eine ergänzende Kultur der Cybersicherheit zu vermitteln. Eine Kultur der Cybersicherheit, in der sich die Mitarbeitenden als proaktive Verteidiger der Patienten und ihrer Daten sehen, kann einen enormen Einfluss auf die Minderung von Cyberrisiken haben. Daher ist eine professionelle und regelmässige Schulung zum Thema Cybersicherheit unerlässlich. Mitarbeitende sollten:

  • In der Lage sein, Phishing-E-Mails zu erkennen - auch solche, die für gezielte Empfänger bestimmt sind.
  • Sichere Passwörter nutzen und nicht auf unbekannte, verdächtige Links klicken. Kritische Konten am besten mit Multifaktor-Authentifizierung schützen.

Kontrolle der Datennutzung

Gesundheitsorganisationen sollten bösartige Dateiaktivitäten kontrollieren und überwachen. Dies kann durch die Implementierung von Systemen geschehen, die unbefugte Aktionen mit Daten blockieren, die Weitergabe von unbefugten E-Mails verhindern, die Möglichkeit des Kopierens in externe Quellen prüfen usw. Ausserdem ist es wichtig, dass:

  • Ereignisprotokolldateien aufgezeichnet werden, um unbefugte Aktionen mit Patientendaten schnell zu identifizieren. Im Falle eines Cyberangriffs helfen die Protokolle einer Klinik, den Verstoss schnell festzustellen und zu beseitigen.
  • Strenge Zugriffsrechte eingeführt werden: Sie schützen Patientendaten vor unbefugten Eingriffen, daher sind Passwort/PIN, Karten und Schlüssel, Gesichts-, Fingerabdruck- oder Netzhauterkennung erforderlich.
  • Fortschrittliche Kryptografie für die Datenverschlüsselung bei der Übertragung und Speicherung verwendet wird.
  • BYOK-Techniken (Bring Your Own Key) für die Cloud und andere intelligente Umgebungen eingesetzt werden.

Überwachung von mobilen und verbundenen Geräten

Mobiltelefone, Apps und IoMT-Geräte (Internet of Medical Things) sind für Ärzte und Verwaltungspersonal zur Standardpraxis geworden, genauso wie die Nutzung von privaten Geräten. Dies ist jedoch eine weitere Schwachstelle. Angreifer stehlen Informationen, Passwörter und Smartphones, hacken angeschlossene Geräte, hören sie ab und konfigurieren sie sogar neu. Um Fernüberwachungsdienste, mobile Daten und IoT-Systeme zu schützen, sollten Kliniken:

  • Ein separates Netzwerk für IoMT-Geräte einrichten, sie auf plötzliche Änderungen des Aktivitätsniveaus überwachen und nicht benötigte Geräte deaktivieren (oder entfernen).
  • Multifaktor-Authentifizierung, Verschlüsselung von Anwendungsdaten und Fernsperre von verlorenen oder gestohlenen Telefonen verwenden.
  • Die Software, einschliesslich Sicherheitsanwendungen und medizinischer Sensorsteuerungssysteme, regelmässig aktualisieren.

Ein proaktiver Ansatz für den Schutz von Daten und Informationen drückt sich in der Erstellung eines Notfallplans mit klaren Rollen und Zuständigkeiten, regelmässigen Risikobewertungen und der Umsetzung sogenannter Cybersecurity Frameworks (CSFs) aus. Dabei handelt es sich um Leitfäden, die dem Gesundheitswesen dabei helfen, Cybersicherheitsrisiken zu verringern und den Datenverwaltungsprozess aufrechtzuerhalten. Ein anschauliches Beispiel für einen solchen Leitfaden ist das NIST Framework und das ISO 27799.

Zusammen. Sicher.

Gesundheitsorganisationen bieten Cyberkriminellen mehr Angriffsfläche als andere Unternehmen. Zudem gefährden erfolgreiche Cyberangriffe auf Gesundheitsorganisationen nicht nur die Datenintegrität, sondern auch die Privatsphäre und Gesundheit der Patienten. Gesundheitsorganisationen brauchen eine besonders hohe Maturität der Informationssicherheit. Kontaktieren Sie uns, unsere Cybersecurity-Experten beraten Sie gerne.

31.05.2022 - Information Security in Healthcare Conference, Cham

Informieren Sie sich über die aktuellen Cyberbedrohungen für Unternehmen im Gesundheitsbereich und über die neuesten Security Lösungen. ISPIN ist am 31.05. bei der „Information Security in Healthcare Conference“ in Cham dabei. Kommen Sie vorbei. Wir freuen uns darauf, Ihre individuellen Security-Herausforderungen mit Ihnen zu diskutieren!

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.