10 bewährte Praktiken für die Cybersicherheit im Gesundheitswesen

Es ist eine harte Zeit für Cybersicherheitsexperten im Gesundheitswesen. In den Vereinigten Staaten wurde im Jahr 2021 ein neuer Höchststand erreicht, sowohl was die Zahl der dem US-Gesundheitsministerium gemeldeten Datenschutzverletzungen (679) als auch die Zahl der betroffenen Personen (45 Millionen) betrifft.[1] Viele Organisationen des Gesundheitswesens wurden im Zuge der Pandemie von Ransomware-Angriffen betroffen, die sich laut Ponemon Research nicht nur auf die Finanzen und den Betrieb, sondern auch auf die klinische Versorgung auswirken. Mehr als die Hälfte der Organisationen, die von Ransomware betroffen waren, berichteten über längere Krankenhausaufenthalte und verzögerte medizinische Verfahren.[2]

Diese Herausforderungen fielen zeitlich mit verstärkten Investitionen in Cloud-basierte Dienste sowie in die Infrastruktur zur Unterstützung der Telemedizin im Gefolge von COVID-19 zusammen. Nach Angaben der gemeinnützigen Healthcare Information and Management Systems Society (HIMSS) macht die Cybersicherheit jedoch in der Regel weniger als 6 % des gesamten IT-Budgets aus.[3] Während die Investitionen in die Cybersicherheit in jüngster Zeit in allen Sektoren zunehmen, müssen die Organisationen des Gesundheitswesens ihre Sicherheitsinvestitionen immer noch nach dem Zufallsprinzip auswählen. Die meisten haben der Aufrüstung bestehender Sicherheitslösungen, der Anschaffung neuer Lösungen und der Einstellung neuer Mitarbeiter Vorrang eingeräumt; in Maßnahmen wie Schulungen zum Thema Cybersicherheit und Penetrationstests wurde weniger investiert.

Da die Ressourcen begrenzt sind, die Zahl und Schwere der Bedrohungen für die Cybersicherheit im Gesundheitswesen aber stetig zunehmen, ist es für Unternehmen wichtiger denn je, ihre Risiken einzuschätzen und bewährte Verfahren wie die folgenden anzuwenden:

Erhöhung der Investitionen in die Cybersicherheit. Die durchschnittlichen Kosten einer Datenpanne im Gesundheitswesen - Entdeckung, Benachrichtigung der Betroffenen und angemessene Reaktion sowie entgangene Geschäfte - belaufen sich weltweit auf unglaubliche 9,2 Millionen Dollar. Das ist mehr als doppelt so viel wie der Durchschnitt anderer Branchen, so IBM,[4] und rechtfertigt einen zweiten Blick der Führungskräfte im Gesundheitswesen auf das Kosten-Nutzen-Verhältnis von Investitionen in Cybersicherheit.

Integrieren Sie Sicherheitslösungen. Unternehmen, die nur ein einziges Cybersicherheitsprodukt oder eine einzige Plattform nutzen, laufen Gefahr, eine "Sicherheitsmonokultur" zu schaffen, die Angreifer leicht ausnutzen können. Der Versuch, mehrere erstklassige Sicherheitslösungen zu integrieren, kann jedoch die Benutzerfreundlichkeit beeinträchtigen - keine Kleinigkeit in der Notaufnahme oder auf der Intensivstation - und sich zudem als kostspielig und komplex erweisen. Lösungen, die auf einer Grundlage integrierter Sicherheitstechnologien aufbauen, wie , die von Mimecast und seinen Partnern angeboten werden, bieten einen besseren Zugang zu zeitnahen Bedrohungsdaten und ermöglichen die Erstellung automatisierter Abhilfeprozesse, die mehrere Probleme umfassen.

Verbessern Sie die Transparenz der angeschlossenen Geräte. Laut HIMSS hat die Mehrheit der Unternehmen ältere Betriebssysteme im Einsatz, und viele davon laufen auf unternehmenskritischen medizinischen Geräten. Jedes fünfte Gerät läuft noch unter Windows XP, das von Microsoft nicht mehr unterstützt wird. Laut Ponemon kann nur etwa ein Drittel der Organisationen alle ihre medizinischen Geräte lokalisieren und wissen, wann die einzelnen Betriebssysteme veraltet sind. Angesichts der Tatsache, dass das durchschnittliche Krankenhausbett in den USA mit bis zu 15 Geräten verbunden ist,[5] , und dass sich die Pflege zunehmend außerhalb der vier Wände des Krankenhauses in ambulante Einrichtungen und sogar in die Wohnungen der Patienten verlagert, ist es für Unternehmen wichtiger denn je, sich einen Überblick über die Schwachstellen zu verschaffen, die vernetzte Geräte darstellen.

Führen Sie Zero-Trust-Sicherheit ein. Von Ärzten über Mitarbeiter von Einrichtungen bis hin zu einer Reihe von Drittanbietern - in einer typischen Gesundheitsorganisation gibt es viele Vertragspartner. Bei einem Zero-Trust-Sicherheitsmodell wird kein Benutzer oder Gerät vom Netzwerk erkannt, wenn es nicht verifiziert wurde. Lösungen wie Identity Governance and Administration (IGA) und Privileged Access Management (PAM) sorgen dafür, dass die richtigen Benutzer zur richtigen Zeit auf die richtigen Systeme zugreifen können - und keinen Zugriff auf Dinge erhalten, die sie für ihre Arbeit nicht benötigen.

Stärkung der Cyber-Resilienz. Das Gesundheitswesen ist anfälliger für Cyberangriffe als andere Branchen - zum Teil, weil Kriminelle die Patientendaten in den Krankenakten nutzen können, um eine Kreditlinie einzurichten oder einen Kredit aufzunehmen.[6] Weltweit sind Organisationen des Gesundheitswesens jede Woche etwa 625 Angriffen ausgesetzt, also fast vier pro Stunde.[7] Organisationen müssen akzeptieren, dass Datenverletzungen, Ransomware-Angriffe und Phishing-Versuche manchmal erfolgreich sind. Eine Cyber-Resilienz-Strategie hat einen doppelten Schwerpunkt: Reaktion auf den aktuellen Angriff und Gewährleistung der Geschäftskontinuität durch kontinuierlichen Zugriff auf E-Mails und andere wichtige Systeme, wenn die Server ausfallen.

Verfolgen Sie einen bedrohungszentrierten Ansatz. Wie beim Aufbau der Cyber-Resilienz wird auch bei der Cybersicherheit ein bedrohungszentrierter oder bedrohungsorientierter Ansatz verfolgt, der davon ausgeht, dass Bedrohungen existieren und ein Risiko für eine Organisation darstellen. Dieser Ansatz besteht aus drei allgemeinen Komponenten: Modellierung von Monitoren, Systemen und Geräten zur Identifizierung von Schwachstellen; aktive Suche nach Endpunkten, die ausgenutzt werden könnten; und Sammlung von Informationen durch eine Kombination aus kommerziellen, quelloffenen und staatlichen Bedrohungsdaten. Mit diesem Ansatz sind Unternehmen besser gerüstet, um auf Bedrohungen zu reagieren und ihre Schwachstellen zu minimieren.[8]

Modernisieren Sie Ihre Cloud-Infrastruktur. Untersuchungen von IBM haben gezeigt, dass Unternehmen mit einer proaktiveren Cloud-Strategie Datenverletzungen 77 Tage schneller eindämmen können. Schritte wie die Migration von veralteten Cloud-Lösungen, die Aktualisierung von Sicherheitsrichtlinien und Zugriffskontrollen, die Forderung nach einer Benutzerüberprüfung vor der Verbindung mit Cloud-basierten Diensten und das Schließen von Lücken aufgrund von Cloud-Fehlkonfigurationen können die Wahrscheinlichkeit eines Verstoßes verringern und die Identifizierung von Ort und Zeitpunkt eines Verstoßes erleichtern.

Sicherstellung der HIPAA-Konformität. Die HIPAA-Sicherheitsregel schreibt zwar nicht ausdrücklich die Archivierung von E-Mails vor, verpflichtet aber betroffene Einrichtungen wie Gesundheitssysteme und Gesundheitspläne, "elektronische Mitteilungen" mindestens sechs Jahre lang aufzubewahren. Die Vorschrift schreibt außerdem Zugriffs-, Prüfungs- und Verschlüsselungskontrollen vor, um die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten (ePHI) zu schützen. E-Mail-Archivierung und sicheres Messaging können die Einhaltung des HIPAA gewährleisten und gleichzeitig die Cyber-Resilienz unterstützen.

Nutzen Sie KI, um Bedrohungen zu erkennen und darauf zu reagieren. Untersuchungen von Mimecast zeigen, dass Unternehmen Cyberangriffe in weniger als einer Minute erkennen, sie in weniger als 10 Minuten untersuchen und in weniger als einer Stunde beheben müssen. Andernfalls können sich Angreifer in Netzwerken ausbreiten, Fuß fassen, sich festsetzen und Systemressourcen sondieren. In Anbetracht der Tatsache, dass Hacker lebensrettende Systeme ausschalten und ganze Einrichtungen lahmlegen können, ist eine schnelle Reaktion im Gesundheitswesen sogar noch wichtiger. Künstliche Intelligenz (KI) und maschinelle Lernsysteme können Bedrohungen schneller erkennen als menschliche Analysten - vor allem in kleineren Gesundheitsorganisationen mit begrenzten IT-Ressourcen oder Cybersecurity-Fachwissen.

Nutzen Sie die Automatisierung. Es gibt drei wichtige Vorteile der Automatisierung aus Sicht der Cybersicherheit. Durch Automatisierung können sich wiederholende Geschäftsprozesse standardisiert werden, z. B. die Autorisierung von Geräten oder Benutzern, die anfällig für menschliche Fehler sind. Sie kann es Unternehmen ermöglichen, mehr Risikobewertungen durchzuführen, insbesondere wenn sie weiterhin Verträge mit Dritten abschließen. Und sie kann sofort nach dem Erkennen einer Bedrohung einen Abhilfeprozess einleiten, was wertvolle Zeit spart und es den Cybersicherheitsteams ermöglicht, sofort zu handeln.

Die Quintessenz

Die Kontinuität des Geschäftsbetriebs hat für Krankenhäuser und Gesundheitssysteme, die rund um die Uhr Pflege anbieten, schon immer Priorität gehabt - und Cyberangriffe bedrohen zunehmend die Fähigkeit des Gesundheitswesens, diesen Auftrag aufrechtzuerhalten. Die Entwicklung einer robusten Cybersicherheitsstrategie und die Implementierung mehrerer Sicherheitsebenen schützen Organisationen vor weiteren Cyberangriffen und helfen ihnen, den Betrieb und die Patientenversorgung im Falle eines Angriffs aufrechtzuerhalten. Unter erfahren Sie mehr über den Ansatz von Mimecast für die Herausforderungen und Lösungen im Bereich der Cybersicherheit im Gesundheitswesen.

[1] "Datenschutzverletzungen im Gesundheitswesen erreichen im Jahr 2021 ein Allzeithoch und betreffen 45 Millionen Menschen," Fierce Healthcare

[2] "Ponemon Research Report: The Impact of Ransomware on Healthcare During COVID-19 and Beyond," Ponemon Institute

[3] "2021 HIMSS Healthcare Cybersecurity Survey," Health Information and Management Systems Society

[4] "Cost of a Data Breach Report 2021," IBM

[5] "Medical Devices Are the Next Security Nightmare," Wired

[6] "Was Hacker tatsächlich mit Ihren gestohlenen medizinischen Daten machen," The Advisory Board

[7] "Healthcare Accounts for 79% of All Reported Breaches, Attacks Rise 45%," Health IT Security

[8] "Healthcare Cybersecurity Report 2021-2022," Herjavec Group