Phishing-Angriffe im Gesundheitswesen führen zu mehr Störungen und finanziellen Verlusten für Organisationen und Patienten

Die Zahl der Datenschutzverletzungen im Gesundheitswesen steigt sprunghaft an. Laut dem Protenus Breach Barometer wurden 2018 15 Millionen Patientendatensätze durch 503 Verstöße kompromittiert - dreimal so viele wie 2017.

Jetzt, im Jahr 2019, hat allein eine Datenpanne der American Medical Collections Agency (AMCA) die Daten von mehr als 25 Millionen Patienten gefährdet. Der Sommer ist noch nicht einmal vorbei, aber wir haben bereits die 30-Millionen-Marke insgesamt überschritten.

Eine von der Healthcare Information and Management Systems Society (HIMSS) durchgeführte Umfrage für 2019 hat ergeben, dass 74 % der Organisationen im Gesundheitswesen in den letzten 12 Monaten einen bedeutenden Cybersicherheitsvorfall erlebt haben. Online-Betrüger (Phishing, Spear-Phishing, Kompromittierung von Geschäfts-E-Mails) waren die häufigsten Bedrohungsakteure und machten fast 30 % dieser Vorfälle aus.

Der HIMSS-Bericht bestätigt, dass Phishing-Angriffe im Gesundheitswesen nach wie vor eine relevante Bedrohung darstellen; bei 59 % der Sicherheitsvorfälle war die E-Mail der erste Kontaktpunkt.

Baystate Health wurde im Februar dieses Jahres zum Opfer , als es feststellte, dass durch einen E-Mail-Phishing-Angriff die E-Mails von neun Mitarbeitern kompromittiert und 12.000 Patientendaten gefährdet waren. Die gemeinnützige Einrichtung ist bei weitem nicht das einzige und bei weitem nicht das größte Opfer. Laut Health IT Security wurden in diesem Jahr auch das Oregon Department of Human Services (645.000 Patienten) und UConn Health (326.629 Patienten) erfolgreich Opfer von Phishing-Angriffen im Gesundheitswesen.

Phishing-Angriffe im Gesundheitswesen führen zu enormen Verlusten für Patienten und Organisationen.

Cyber-Kriminelle werden vor allem aus einem Grund von der Gesundheitsbranche angezogen: Geld. In einem Artikel zu diesem Thema stellte Forbes fest, dass gestohlene Sozialversicherungsnummern auf dem Schwarzmarkt für etwa 10 Cent und Kreditkartennummern für etwa 25 Cent zu haben sind. Eine gestohlene elektronische Gesundheitsakte kann jedoch Hunderte, wenn nicht Tausende von Dollar wert sein.

Hacker wissen, dass sensible Informationen zu Geld führen, und es wäre schwierig, eine Branche zu finden, die mehr sensible Daten der Öffentlichkeit enthält als das Gesundheitswesen. Medizinische Daten sind die umfassendsten Daten über die Identität einer Person, da sie neben finanziellen Informationen und der Krankengeschichte auch demografische Daten enthalten.

Datenschutzverletzungen sind für Organisationen im Gesundheitswesen extrem kostspielig. Laut dem Bericht des Ponemon Institute 2019 Cost of a Data Breach Report (Kosten eines Datenverstoßes 2019), hatten Organisationen des Gesundheitswesens im neunten Jahr in Folge die höchsten Kosten im Zusammenhang mit Datenverstößen mit 6,45 Millionen US-Dollar, 65 % mehr als der globale Durchschnitt aller Branchen. Der Bericht kam auch zu dem Schluss, dass es im Gesundheitswesen schwieriger ist als in anderen Branchen, Kunden nach einer Datenschutzverletzung zu halten. Diese kombinierten Faktoren können ein Unternehmen wirklich handlungsunfähig machen. Die Muttergesellschaft von AMCA beispielsweise hat seit dem Verstoß gegen die Datenschutzbestimmungen für 25 Millionen Patienten Konkurs angemeldet, und die Anbieter von Abrechnungsdiensten sind mit zahlreichen Untersuchungen und Klagen konfrontiert.

Die Grafik stammt aus dem Ponemon Institute's Cost of a Data Breach Report 2019, Seite 26.

Auch die Kosten für die Opfer sind exorbitant: Laut derselben Ponemon-Studie geben die Opfer von Identitätsdiebstahl im Gesundheitswesen im Durchschnitt 13 500 US-Dollar aus, um ihre Kreditwürdigkeit wiederherzustellen, ihren Gesundheitsdienstleister nach betrügerischen Forderungen zu entschädigen und Ungenauigkeiten in ihren Gesundheitsakten zu korrigieren. Ganz zu schweigen von der Zeit, die es braucht, um diese Ansprüche abzuwehren und eine gewisse Sicherheit wiederzuerlangen.

Jeder Phishing-Angriff kann zu Ausfallzeiten und zum Verlust von Unternehmensdaten, persönlichen Daten und Geld führen. Bei Phishing-Angriffen im Gesundheitswesen steht noch mehr auf dem Spiel. Bei diesen Angriffen stehen sensible Patientendaten, die Patientenversorgung, das Vertrauen der Patienten und die persönliche finanzielle Stabilität auf dem Spiel.

Im Jahr 2016 war das MedStar-Netzwerk in Washington D.C. mit seinen 10 Krankenhäusern nach einem Cyberangriff fast zwei Wochen lang nicht erreichbar, was zu erheblichen Verzögerungen bei der Behandlung von Patienten und zu Unterbrechungen der Dienste führte.

Im schlimmsten Fall kann eine fehlerhafte Gesundheitsakte tödlich sein.

Ein Cyberkrimineller, der Ihre Sozialversicherungsnummer und Ihre Krankenversicherungsdaten gehackt hat, um kostenlose medizinische Versorgung zu erhalten, könnte Ihre Krankenakte so ändern, dass sie seinem eigenen medizinischen Profil entspricht (Allergien, Medikamente, Blutgruppe usw.). Diese Änderungen, die sich möglicherweise erheblich von Ihren eigenen unterscheiden, könnten in Ihrer ständigen Akte landen - und wenn Sie das nächste Mal sofortige medizinische Hilfe benötigen, könnten Sie in ernsthafte Schwierigkeiten geraten.

Forschung beweist, dass Sensibilisierungstraining das Kryptonit der Phishing-Angriffe im Gesundheitswesen ist.

Da die Gesundheitsversorgung zunehmend von integrierten und komplexen - und dennoch anfälligen - Informationssystemen abhängt, ist es heute wichtiger denn je, die Cyber-Resilienz zu pflegen.

Eine kürzlich von Dr. William Gordon vom Brigham and Women's Hospital und der Harvard Medical School durchgeführte Studie bestätigt den Wert der Schulung von Mitarbeitern im Gesundheitswesen zur Erkennung von Phishing-Angriffen per E-Mail.

Gordons Team schickte zwischen August 2011 und April 2018 simulierte Phishing-Kampagnen an sechs geografisch verstreute US-Gesundheitseinrichtungen. In dieser Zeit führten die Einrichtungen 95 simulierte Phishing-Kampagnen durch, die 2.971.945 E-Mails erzeugten. Mehr als 422.000 (14,2 %) dieser E-Mails wurden von Mitarbeitern angeklickt - fast jede siebte.

Als die Forscher die Daten im Laufe der Zeit analysierten, kamen sie zu dem Schluss, dass Phishing-Kampagnen das Bewusstsein der Mitarbeiter schärften und daher zu niedrigeren Klickraten bei nachfolgenden Simulationen führten. Je mehr Simulationen eine Einrichtung durchführte, desto niedriger war die letztendliche Klickrate. Die Mitarbeiter waren im Laufe der Zeit besser in der Lage, Phishing-Versuche zu erkennen, was letztlich die allgemeine Cyber-Resilienz der Organisation verbesserte.

Das Fazit: Awareness-Schulungen sind von größter Bedeutung, um Phishing-Angriffe im Gesundheitswesen zu verhindern. Organisationen des Gesundheitswesens sollten Schulungen durchführen, die für die Mitarbeiter interessant sind und Spaß machen. Es ist klar, dass ein langweiliges Foliendokument und ein anschließender Test nicht funktionieren; die Mitarbeiter müssen eingebunden werden, um die Informationen aufzunehmen und ihr Verhalten zu verbessern. Darüber hinaus sollten die Schulungen in einem gleichmäßigen Rhythmus stattfinden und nicht nach dem Onboarding-Prozess auf der Strecke bleiben. Mindestens 90 % der Cyberangriffe gehen auf menschliches Versagen zurück, und Schulungen sind unerlässlich, um diese Zahl zu senken.

Datenschutzverletzungen im Gesundheitswesen werden in absehbarer Zeit nicht verschwinden. Zum Glück gibt es Methoden, mit denen sich die Branche dagegen wehren kann. Um sowohl Patienten als auch Unternehmen vor Phishing-Angriffen im Gesundheitswesen zu schützen, müssen die Unternehmen weiterhin strengere Maßnahmen zur Cybersicherheit ergreifen und die Mitarbeiter besser schulen.