E-Mail-Sicherheit

    Das Gesundheitswesen steht vor unablässigen Herausforderungen im Bereich der Cybersicherheit

    Angesichts der zunehmenden Zahl von Cyberangriffen kämpft die Gesundheitsbranche mit der Eindämmung der Bedrohung.

    by Elliot Kass
    gettyhealthcare.jpg

    Wichtige Punkte

    • Cyberangriffe auf die Gesundheitsbranche erreichten 2021 einen neuen Höchststand.
    • Organisationen des Gesundheitswesens gehören zu den Hauptangriffszielen von Cyberkriminellen, weil sie so viele Daten sammeln, die für böswillige Akteure von hohem Wert sind.
    • Die Branche steht vor einzigartigen Sicherheitsherausforderungen, da Verstöße gegen den Datenschutz schwer zu beheben sind und die Beschädigung von Daten lebensbedrohlich sein kann.
    • Staatliche Sicherheitsauflagen können die Situation zwar verbessern, aber um der Bedrohung wirklich Herr zu werden, sind mehr Sicherheitsinitiativen in der gesamten Branche erforderlich.

    Cyberangriffe auf die Gesundheitsbranche erreichten 2021 einen neuen Höchststand.[1] Nach Angaben des Weltwirtschaftsforums (WEF) haben die Angriffe auf die Branche "seit Beginn der COVID-19-Pandemie weiter zugenommen".[2] Im vergangenen Jahr wurden mehr als 50 Millionen Patientendaten gestohlen, ein Anstieg von 24 % gegenüber 2020.[3] Dazu gehörten Sozialversicherungsnummern, Krankenakten von Patienten, Finanzdaten, HIV-Testergebnisse und die privaten Daten medizinischer Spender. "Im Durchschnitt", so das WEF, "werden bei einem Angriff auf den Sektor 155.000 Datensätze verletzt, wobei die Zahl weitaus höher sein kann, da bei einigen Vorfällen über 3 Millionen Datensätze verletzt wurden."

    Der neue Bericht von Mimecast über E-Mail-Sicherheit im Gesundheitswesen untersucht diesen Missstand. Der Bericht basiert auf einer weltweiten Umfrage unter 1.400 Fachleuten aus den Bereichen Informationstechnologie und Cybersicherheit, darunter 254 (18 %) aus dem Gesundheitswesen, und deckt die Cyber-Herausforderungen auf, denen sich die Branche im Zuge der Pandemie stellen muss. Auf die Frage, wie wahrscheinlich es sei, dass ihre Einrichtung im Jahr 2022 durch einen E-Mail-Angriff geschädigt werde, antworteten 77 % dieser CIOs, CISOs und anderen IT-Führungskräfte des Gesundheitswesens, dass dies wahrscheinlich, sehr wahrscheinlich oder einfach "unvermeidlich" sei.

    Die Hüter wertvoller Daten

    Organisationen des Gesundheitswesens gehören zu den Hauptangriffszielen von Cyberkriminellen und ausländischen Agenten, weil sie so viele Daten sammeln, die für böswillige Akteure von hohem Wert sind. So können gestohlene Gesundheitsdaten im Dark Web bis zu 10 Mal teurer verkauft werden als gestohlene Kreditkartennummern. Neben Bankkonto- und Kreditkartennummern können diese Aufzeichnungen auch geschützte Gesundheitsinformationen, Sozialversicherungsnummern und andere personenbezogene Daten sowie medizinische Forschungsergebnisse und anderes geistiges Eigentum enthalten.

    Außerdem sind die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen die mit Abstand höchsten aller Branchen. Im Jahr 2021 stiegen diese Kosten um 2 Mio. USD (22 %) auf 9,23 Mio. USD pro Vorfall, verglichen mit einem Durchschnitt von 4,24 Mio. USD für alle Industriezweige - auch dies ein Allzeithoch.[4]

    Dies stellt die Verantwortlichen für die Datensicherheit in der Branche vor einige besondere Herausforderungen. Wird beispielsweise eine Bankkonto- oder Kreditkartennummer gestohlen, kann das Konto gesperrt oder geschlossen und ein neues eröffnet werden. Nicht so bei medizinischen Unterlagen. Sobald die Ergebnisse von Labortests oder eine Diagnose bekannt werden, sind sie nicht mehr privat. Die Informationen sind nicht zu leugnen.

    Einige Fälle von Datenbeschädigung können lebensbedrohlich sein. Manipulationen an elektronischen Krankenakten (EMR) oder vernetzten medizinischen Geräten wie Insulinpumpen können die Behandlung von Patienten beeinträchtigen und zu Verletzungen oder Tod führen.

    Außerdem sind HIPAA, GDPR und andere Datenschutzbestimmungen zu beachten. CISOs und andere Sicherheitsexperten im Gesundheitswesen müssen ein Gleichgewicht zwischen dem Schutz von Patientendaten, der Wahrung ihrer Privatsphäre und der gemeinsamen Nutzung dieser Daten finden, um die bestmögliche Patientenversorgung zu gewährleisten. Diese oft widersprüchlichen Ziele können zu Sicherheitslücken und Schwachstellen führen, die Cyber-Diebe schnell ausnutzen können.

    Der Bedrohung hinterherhinken

    In Anbetracht dieser Situation könnte man meinen, dass Organisationen des Gesundheitswesens im Bereich der Cybersicherheit am besten geschützt sind. Leider scheint auch hier das alte Sprichwort zu gelten, dass Ärzte die schlechtesten Patienten sind. Die Mimecast-Studie ergab, dass nur 31 % der Gesundheitsdienstleister über eine Strategie für die Cyber-Resilienz verfügen - das ist einer der niedrigsten Werte aller Branchen - trotz der Fortschritte bei den ihnen zur Verfügung stehenden Lösungen .

    Die Regierungen werden aktiv und üben Druck auf die Organisationen des Gesundheitswesens aus, ihre Sicherheitsvorkehrungen zu verbessern. In den USA trat beispielsweise am 15. März ein neues Gesetz in Kraft, nach dem Einrichtungen des öffentlichen Gesundheitswesens verpflichtet sind, Cyberangriffe innerhalb von 72 Stunden nach ihrer Entdeckung oder - im Falle von Ransomware - innerhalb von 24 Stunden nach Zahlung des Lösegelds an das Ministerium für Innere Sicherheit zu melden.[5] Die meisten Befragten der Mimecast-Umfrage (93 %) waren zwar der Meinung, dass staatliche Vorgaben tatsächlich zu einer besseren Vorbereitung auf das Internet führen würden, aber sie waren auch der Meinung, dass dies allein das Problem nicht lösen würde und dass mehr von der Industrie ausgehende Sicherheitsinitiativen erforderlich seien.

    Die Quintessenz

    In der Gesundheitsbranche sind die Wahrscheinlichkeit und die Folgen einer Datenschutzverletzung sehr groß. Wenn Gesundheitsdienstleister ihre Cybersicherheitsstandards nicht anheben, sind in vielen Ländern die Regierungen verpflichtet, dies für sie zu tun. Dies mag zwar eine Möglichkeit für die Branche sein, ihre Sicherheitslücke zu schließen, doch glauben nur wenige Führungskräfte im Bereich der Cybersicherheit, dass die Ergebnisse zufriedenstellend sein werden. Solidere Ergebnisse lassen sich erzielen, wenn die Verantwortlichen im Gesundheitswesen die Initiative ergreifen, um eine Strategie für die Cyber-Resilienz zu entwickeln und in das erforderliche Sicherheitspersonal, die Systeme und Verfahren zu investieren.

    Weitere Informationen zu den Herausforderungen der Cybersicherheit im Gesundheitswesen finden Sie im vollständigen Bericht von Mimecast auf E-Mail-Sicherheit im Gesundheitswesen .

     

     

    [1] "Datenschutzverletzungen im Gesundheitswesen erreichen im Jahr 2021 einen neuen Höchststand und betreffen 45 Millionen Menschen," Fierce Healthcare

    [2] "Wenn das Gesundheitswesen seine Cybersicherheit nicht verbessert, könnte es bald in einem kritischen Zustand sein," World Economic Forum

    [3] "2022 Breach Barometer Report," Protenus

    [4] "IBM-Bericht: Kosten einer Datenpanne erreichen während einer Pandemie ein Rekordhoch," IBM

    [5] "Gesundheitsorganisationen müssen jetzt Cyberangriffe an das DHS melden," Becker's Health IT

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang