Organisationen des Gesundheitswesens werden immer öfter durch Cyberangriffe gefährdet und diese bedrohen den normalen Betrieb von Spitälern und Kliniken.
Ziel dieses Blogbeitrags ist es, die wichtigsten Cyberangriffe und Risiken im Gesundheitswesen aufzuzeigen und zu erläutern, warum speziell die Gesundheitsbranche zur Zielscheibe wird.
Zugriff auf vertrauliche Patientendaten und deren Kompromittierung
Warum ist das Gesundheitswesen eines der Hauptziele von Cyberangriffen? Erstens versuchen die Angreifer, an vertrauliche Patientendaten zu gelangen und diese zu kompromittieren. Naturgemäss speichern Kliniken und Spitäler umfangreiche Patientendaten (Patientennamen, Krankengeschichten, Sozialversicherungsnummern etc.). Da diese Informationen vertraulich sind, kann ein unbefugter Zugriff für die Organisationen sowie die Patienten verheerende Folgen haben.
Wachstum von vernetzten medizinischen Geräten
Cyberangriffe auf die Gesundheitsbranche nehmen auch aufgrund der Zunahme von vernetzten medizinischen Geräten zu. Röntgengeräte, Defibrillatoren und Insulinpumpen können Einfallstore für Cyberattacken sein. Obwohl diese Geräte keine Gesundheitsdaten speichern, dienen sie als Zugangspunkte zu Servern mit sensiblen Patientendaten. Im schlimmsten Fall können Angreifer die vollständige Kontrolle über medizinische Geräte übernehmen, was zu lebensbedrohlichen Folgen führen kann.
Ransomware und Malware
Ransomware- und Malware-Angriffe sind im Gesundheitssektor weit verbreitet um Lösegeld zu fordern. Hierbei werden Gesundheitsdaten und -systeme verschlüsselt. Es gibt jedoch keine Garantie, dass die Systeme entschlüsselt werden, sobald das Lösegeld gezahlt wurde. In den meisten Fällen verwenden Ransomware-Angreifer Phishing-E-Mails, bösartige Links und Social Engineering um bestimmte Benutzer anzusprechen. Diese Angriffe können Netzwerke infizieren, so dass wichtige Prozesse und Abläufe nicht mehr funktionieren oder verlangsamt werden. Je nach betroffenem System kann dies für die betroffene Organisation sehr kostspielig sein.
Abbildung 1: Die 5 wichtigsten von Ransomware betroffenen Branchen des Gesundheitswesens (Quelle: HHS, 2021)
Verletzungen des Datenschutzes
Das Gesundheitswesen ist ein Spitzenreiter bei Datenschutzverletzungen. Gesetzliche Anforderungen wie DSGVO oder HIPAA wurden formuliert, um Gesundheitsorganisationen vor Datenschutzverletzungen zu schützen. Zahlreiche Gesundheitseinrichtungen halten sich jedoch nicht an diese Verordnungen und Schutzmassnahmen. Dies kann vertrauliche Patientendaten gefährden, finanzielle Verluste verursachen und den Ruf der betroffenen Organisation schädigen. Die durchschnittlichen Kosten einer Datenschutz-verletzung im Gesundheitswesen betrugen im Jahr 2020 USD 7,13 Mio.
Insider-Bedrohungen
Oft werden Insider-Bedrohungen mit verärgerten Mitarbeitern in Verbindung gebracht, die Patienten- daten zur persönlichen Bereicherung weitergeben. Mitarbeiter kennen Systemschwachstellen, Netzwerkeinstellungen und Zugangscodes. Dieser Personenkreis kann dieses Wissen missbrauchen, um die Organisation Cyber-Bedrohungen und Risiken auszusetzen. Gesundheitsorganisationen müssen sich auf die Verschlüsselung von Daten und die Implementierung von Zero-Trust-Zugangsrichtlinien konzentrieren, um die Risiken von Insider-Bedrohungen zu bewältigen.
Cloud-Bedrohungen
Die meisten Organisationen gehen heute zu Cloud-Lösungen über. Durch Cloud-Speicher sind die Daten von jedem Ort aus leicht zugänglich. Darüber hinaus ist die Cloud-Speicherung vergleichsweise sicherer. Die führenden Speicherlösungen der Cloud-Marktführer entsprechen allerdings nicht vollständig den gesetzlichen Anforderungen. Infolgedessen sind diese Lösungen ein leichtes Ziel für Hacker.
Ausserdem versäumen es manche Unternehmen, Daten zu verschlüsseln, bevor sie diese in der Cloud speichern. Die beste Lösung besteht darin, die in den Clouds gespeicherten Daten zu verschlüsseln und ein eigenes Rechenzentrum vor Ort einzurichten.
EMPFEHLUNGEN
Organisationen des Gesundheitswesens sollten verschiedene Maßnahmen und Strategien umsetzen, um ihre Sicherheit zu verbessern. Patientendaten sind vertraulich und müssen geschützt werden. Zu den empfohlenen Strategien gehören die Etablierung einer Sicherheitskultur, der Einsatz umfassender IT-Security-Lösungen, die Kontrolle des Zugriffs auf Daten und Systeme sowie die Verwendung sicherer Passwörter. Die Unternehmen müssen ihre Mitarbeiter regelmässig über Bedrohungen und Risiken der Cybersicherheit schulen. Spitäler und Kliniken sollten weiterhin ausreichend Ressourcen für die Verbesserung der Sicherheit von Patientendaten und Gesundheitssystemen bereitstellen.
**********************************************************************************************************************************
Weiterführende Literatur:
- HHS. (2021). Ransomware Trends 2021 – HHS Cybersecurity Program.
https://www.hhs.gov/sites/default/files/ransomware-trends-2021.pdf - Security Scorecard. (2021). The Top 6 Cybersecurity Challenges in the Healthcare Industry.
https://securityscorecard.com/blog/top-cybersecurity-challenges-in-healthcare-industry - Swivel Secure. (2021). 9 reasons why healthcare is the biggest target for cyberattacks.
https://swivelsecure.com/solutions/healthcare/healthcare-is-the-biggest-target-for-cyberattacks/ - Varonis. (2021). 2021 Data risk report healthcare, pharmaceutical & biotech.
https://info.varonis.com/hubfs/Files/docs/research_reports/2021-Healthcare-Data-Risk-Report.pdf