Cybersicherheit im Gesundheitswesen: Herausforderungen und Bedenken

Datenschutzverletzungen im Gesundheitswesen machen oft Schlagzeilen. In den letzten Jahren sind sie alltäglich geworden. Den meisten Menschen unbekannt, stellen diese Verstöße eine düstere Realität dar, mit der die meisten Gesundheitseinrichtungen heute konfrontiert sind.

Die Gesundheitsbranche war schon immer ein lukratives Ziel für unternehmungslustige Cyberhacker, die unsere Gesundheitsdaten haben wollen, weil sie zufällig lange haltbar sind. Diese kosten auch mehr als beispielsweise Finanzdaten auf kriminellen Marktplätzen. Eine Studie ergab tatsächlich, dass jede elektronische Gesundheitsakte Kriminellen rund 429 US-Dollar einbringt, mehr als das Doppelte des Durchschnitts von 150 US-Dollar für andere Arten von Personenakten. Andere Branchenstatistiken zeigten unterdessen, dass unvollständige Krankenakten 50 US-Dollar kosten, im Gegensatz zu nur 1 US-Dollar pro Kreditkartennummer.

Die Auswirkungen von Datenschutzverletzungen

Die finanziellen Folgen und der Reputationsschaden den Hacking-Vorfälle bei Gesundheitsdienstleistern verursachen, sind verheerend und gefährden einige von ihnen ihr Geschäfte zu schließen. Laut demselben oben zitierten Bericht beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung bei Gesundheitsorganisationen weltweit im Jahr 2019 auf 6,45 Millionen US-Dollar.

Die Höhe des Verlustes hängt von verschiedenen Faktoren ab, einschließlich der Art des Vorfalls und der Größe einer Organisation. Kleinere Unternehmen spüren die Auswirkungen von Sicherheitsverletzungen häufig am stärksten. Kleinere Akteure im Gesundheitswesen mit weniger als 500 Mitarbeitern erleiden Verluste in Höhe von 2,5 Millionen US-Dollar pro Vorfall.

Als bedeutendste Auswirkung auf die betroffenen Unternehmen nennt der Bericht auch den Geschäftsausfall durch die Abwanderung von Kunden. Schätzungen zeigen, dass die Fluktuationsrate nach einem Verstoß bei 3,9% liegt.

Häufige Ursachen für Datenschutzverletzungen

Systemstörungen oder Schwachstellen und menschliches Versagen sind die Hauptgründe für Verstöße im Gesundheitswesen.
Auch mangelnde technische Hygiene ist ein wiederkehrendes Thema bei den Opfern. Phishing- oder E-Mail-Hijacking-Angriffe treten beispielsweise auf, wenn Mitarbeiter des Gesundheitswesens eine verdächtige E-Mail öffnen und einen mit Malware infizierten Dateianhang herunterladen. Ransomware wird oft auch auf kompromittierten Systemen auf die gleiche Weise installiert.

Tatsächlich plagt eine Flut von Ransomware-Angriffen die Branche. Im Jahr 2019 wurden viele Krankenhäuser und Kliniken in den USA in den Staaten Ohio, Utah, Alabama und Kalifornien Opfer von Ransomware-Angriffen. Die Schadprogramme verschlüsselten nicht nur Patientenakten, sondern auch die gesamte IT-Infrastruktur der Anbieter. Solche Angriffe sind gefährlich, da sie kritische Patienten die sofortige Hilfe benötigen gefährden könnten.

Cybersicherheit im Gesundheitswesen: Bewältigung zukünftiger Herausforderungen

Experten vermuten, dass für die meisten Sicherheitsverletzungen staatlich geförderte Hacker und Cyberspionage-Gruppen verantwortlich sind. Die Tatsache, dass einige Regierungen Kriminelle unterstützen um ihren Wünschen nachzukommen, kann ein wenig beunruhigend sein. Für Gesundheitsunternehmen ohne ausreichende Ressourcen ist es unbestreitbar, sich gegen Angriffe zu wehren.

Können Anbieter etwas tun, um Angriffe abzuwehren? Es gibt natürlich mehrere Möglichkeiten, wie Gesundheitsunternehmen ihre Widerstandsfähigkeit gegen Angriffe aufbauen können – wie zum Beispiel:

Zuallererst sollten Unternehmen eine gründliche Risikobewertung ihrer Lieferkette und der verbundenen Drittparteien durchführen. Sie sollten eine umfassende Überprüfung ihrer Compliance-Programme durchführen und Bereiche finden, in denen sie fehlen.

Zweitens sollten sie ihre Sicherheitsposition verbessern, indem sie IT-Teams mit Schulungen und den neuesten Cybersicherheitsforschungs- , Endpunkterkennungs- und Threat-Intelligence-Tools ausstatten. Gesundheitsunternehmen sollten auch eine robuste Cybersicherheitsstrategie implementieren.

Schließlich sollten Gesundheitsorganisationen technisch nicht versierte Mitarbeiter über Cybersicherheit aufklären. Personen die sich nicht mit Bedrohungen auskennen, sollten sensibilisiert und im Umgang mit unerwünschten E-Mails und guter technischer Hygiene geschult werden.

Es besteht kein Zweifel, dass die Gesundheitsbranche von prominenteren und einfallsreicheren Cyber-Gegnern belagert wird. Es ist jedoch nicht ganz aussichtslos. Indem sie ihre Cybersicherheitspraktiken überdenken und bessere Strategien entwickeln, können sie ihre Abwehr gegen böswillige und kostspielige Angriffe stärken.