Cyber-Bedrohungen im Gesundheitswesen: Ein Code Blue-Notfall

Die Cyberbedrohungen für das Gesundheitswesen nehmen weiter zu. Nach Angaben des Weltwirtschaftsforums gab es im ersten Quartal 2023 durchschnittlich 1.684 Angriffe pro Woche in diesem Sektor - ein Anstieg von 22 % im Vergleich zum Vorjahr.[1] Gemessen an der Zahl der Datenschutzverletzungen war das US-Gesundheitswesen 2022 das dritte Jahr in Folge die am stärksten gefährdete Branche überhaupt.[2]

Dieser risikobehaftete Zustand spiegelt sich im Bericht State of Email Security 2023 (SOES 23) von Mimecast wider, der auf einer umfassenden Umfrage unter 1.700 Unternehmen in 13 Ländern und 12 Branchen basiert. Auf die Frage, wie wahrscheinlich es sei, dass ihre Einrichtung im Jahr 2023 durch einen E-Mail-Angriff geschädigt werde, gaben 75 % der 184 Befragten aus dem Gesundheitswesen an, dass dies wahrscheinlich, sehr wahrscheinlich oder einfach "unvermeidlich" sei.

Wie unvermeidlich solche Angriffe sind, zeigte sich in diesem Sommer, als Krankenhäuser und Kliniken in Kalifornien, Connecticut, Pennsylvania, Rhode Island und Texas allesamt Opfer von Cyberangriffen wurden. Die Vorfälle Anfang August brachten zahlreiche Computersysteme zum Erliegen, so dass die Notaufnahmen geschlossen und Krankenwagen umgeleitet werden mussten[3].

Ein hochkarätiges Ziel

Organisationen des Gesundheitswesens gehören zu den Hauptangriffszielen von Cyberkriminellen, da sie eine große Menge an hochwertigen Daten sammeln. Im Vergleich zu gestohlenen Kreditkartennummern können gestohlene Gesundheitsdaten im Dark Web für das Zehnfache oder mehr verkauft werden. Das liegt daran, dass diese Datensätze neben Kreditkarten- und Bankkontonummern oft auch geschützte Gesundheitsinformationen, Sozialversicherungsnummern und andere personenbezogene Daten enthalten, die für Erpressung und Identitätsdiebstahl verwendet werden können. Auch andere Dateien mit geschützten medizinischen Forschungsergebnissen sind bei Dieben begehrt, die sie dann auf dem Schwarzmarkt verkaufen. 

Darüber hinaus erzeugt die Branche eine unglaubliche Menge an Daten. Ein einziges Krankenhaus kann bis zu 50 Petabyte pro Jahr produzieren, eine unglaublich große Menge an Informationen, die gespeichert und geschützt werden müssen[4].

Infolgedessen sind die Kosten einer Datenschutzverletzung im Gesundheitswesen höher als in jeder anderen Branche und sind laut dem IBM-Bericht über die Kosten von Datenschutzverletzungen im Jahr 2023 das 13. aufeinander folgende Jahr gestiegen[5]. Die durchschnittlichen Kosten für ein Eindringen in die Gesundheitsbranche waren mit 10,93 Millionen Dollar mehr als doppelt so hoch wie der Gesamtdurchschnitt - ein Betrag, der in den letzten drei Jahren um 53,3 % gestiegen ist. Außerdem dauert es im Gesundheitswesen länger, bis eine Sicherheitsverletzung entdeckt wird - im Durchschnitt 231 Tage, verglichen mit 204 Tagen in allen anderen Branchen zusammen. 

Phishing-E-Mails waren die häufigste Angriffsquelle und machten 16 % der Vorfälle bei Gesundheitsdienstleistern aus[6 ]. Mehr als die Hälfte (56 %) der von SOES befragten Unternehmen des Gesundheitswesens meldeten einen sprunghaften Anstieg der Zahl der Phishing-Angriffe, die gegen ihre Einrichtung gerichtet waren.

Aber auch Ransomware stellt eine große Bedrohung für die Branche dar. Im vergangenen Jahr wurden acht von zehn Organisationen im Gesundheitswesen durch einen Ransomware-Angriff ernsthaft geschädigt, so der SOES 2023-Bericht. Die Umfrage ergab auch, dass fast 48 % dieser Unternehmen von einer E-Mail-basierten Bedrohung betroffen waren, die sich von einem infizierten Benutzer zu einem anderen verbreitete. 

Mangelnde Bereitschaft

Die Folgen dieser Angriffe werden durch die mangelnde Wachsamkeit der Branche im Bereich des Internets noch verschärft. So gaben beispielsweise weniger als ein Drittel (32 %) der im Rahmen der SOES 2023 befragten Unternehmen aus dem Gesundheitswesen an, dass sie über ein System zur Überwachung oder zum Schutz vor E-Mail-Angriffen verfügen - der niedrigste Prozentsatz aller Branchen außer der Medien- und Unterhaltungsbranche. 

Der Sektor gibt auch weniger für die Cybersicherheit aus als andere Branchen. Zweiundfünfzig Prozent der SOES-Teilnehmer geben insgesamt zwischen 6 und 15 % ihres IT-Budgets für Cybersicherheit aus, aber nur 37 % der SOES-Teilnehmer aus dem Gesundheitswesen tun dasselbe - der niedrigste Wert aller Branchen. Der Silberstreif am Horizont ist, dass die befragten CISOs und andere IT-Führungskräfte des Gesundheitswesens dieses Problem erkannt haben: Auf die Frage, wie viel des IT-Budgets ihrer Organisation für die Datensicherheit bereitgestellt werden sollte , antwortete weit mehr als die Hälfte (57 %), dass der Betrag um durchschnittlich 12 % erhöht werden sollte.

Zumindest in den USA unterstützt die Regierung den Sektor bei der Verbesserung seiner Sicherheitslage. Anfang dieses Jahres hat die Cybersecurity Taskforce des US-Gesundheitsministeriums ein kostenloses Programm gestartet, das Ressourcen und Schulungen bereitstellt, um dem Ansturm von Cyberbedrohungen in der Branche zu begegnen[7].

Die Quintessenz

Cyberangriffe auf Einrichtungen des Gesundheitswesens nehmen weiter zu, auch wenn die Folgen solcher Angriffe immer gravierender werden. Die Branche tut sich indessen schwer, mit dieser Geißel Schritt zu halten, auch wenn einige Anstrengungen unternommen werden, um die Cyber-Resilienz des Sektors zu stärken. Um mehr darüber zu erfahren, wie Unternehmen des Gesundheitswesens mit Cyber-Bedrohungen umgehen, laden Sie den Bericht SOES 2023 von Mimecast herunter.

[1 ] "Cyberangriffe auf das Gesundheitswesen nehmen zu", Weltwirtschaftsforum

[2 ] "Identity Theft's Resource Center's 2022 Annual Data Breach Report Reveals Near-Record Number of Compromises", Identity Theft Resource Center

[3] "Einrichtungen des Gesundheitswesens verzeichnen einen Anstieg von Cyberangriffen", abc KSTP-TV

[4] "4 Wege, wie Daten das Gesundheitswesen verbessern", Weltwirtschaftsforum

[5 ] "Cost of a Data Breach Report 2023", IBM und Ponemon Institute

[6] Ebd.

[7] "HHS Cybersecurity Task Force stellt neue Ressourcen zur Verfügung, um der steigenden Bedrohung durch Cyberangriffe im Gesundheits- und öffentlichen Gesundheitswesen zu begegnen", U.S. Department of Health and Human Services