Jenseits des Stethoskops: Der neue Puls des Gesundheitswesens ist Cybersecurity

Der Fortschritt in der Digitalisierung im Gesundheitswesen mit der Integration der elektronischen Patientenakte, der elektronischen Gesundheitskarte (eGK), der Telematikinfrastruktur (TI) und den vernetzten medizinischen Geräten hat eine Ära beispielloser Effizienz in der Patientenversorgung eingeläutet. Auf der anderen Seite wird auch die Bedeutung robuster Cybersicherheitspraktiken in diesem Sektor deutlicher als je zuvor. 

Angriffe kosten Unternehmen Millionen, gefährden Patientendaten und können lebenswichtige Dienste beeinträchtigen. In Deutschland gab es ebenfalls solche Angriffe, mit alarmierenden Statistiken von 73% betroffener Einrichtungen im letzten Jahr. Die Motivation der Hacker liegt in wertvollen Gesundheitsdaten und erpressbaren Lösegeldern. 

Schutzmaßnahmen umfassen die Durchführung von Penetrationstests, der Einführung von IT-Sicherheitsrichtlinien, Mitarbeiterschulungen, der Aufstockung von Sicherheitspersonal und dem Einsatz von Künstlicher Intelligenz. Die Politik muss die Finanzierung für Sicherheitsmaßnahmen sicherstellen, während eine kooperative Zusammenarbeit zwischen verschiedenen Akteuren erforderlich ist, um die Bedrohung effektiv anzugehen.

Zahlen und Fakten

Abgesehen vom öffentlichen Sektor, ist das Gesundheitswesen die am häufigsten angegriffene Industrie. In den USA fallen fast ein Drittel aller gemeldeten Datenschutzverletzungen auf diesen Sektor. Dort liegen die durchschnittlichen Kosten für Datenschutzverletzungen für ein Unternehmen im Gesundheitswesen bei 10,1 Millionen US-Dollar und es werden jedes Jahr ca. 32 Millionen Patientendatensätze offengelegt. 

Eine der größten Angriffe der letzten Jahre war der WannaCry-Ransomware-Angriff, der in zahlreichen Gesundheitssystem auf der ganzen Welt verheerende Schäden angerichtet hat. Termine und Operationen wurden abgesagt oder verschoben und Patientenversorgung wurde starke beeinträchtigt. 

Auch in Deutschland gab es bereits schädliche Angriffe. Im Jahr 2019, zum Beispiel, wurden 30.000 Patientendaten von einem medizinischen Labor offengelegt, 2017 legt der Computervirus „Locky“ mehrere Kliniken in Nordrhein-Westfalen lahm. Anfang dieses Jahres kam es auch bei den gesetzlichen Krankenversicherungen zu einer Nichterreichbarkeit der Webservices aufgrund eines Angriffs auf den IT-Dienstleister. 

Eine Studie von Claroty von 2023 zeigt, dass 73% der Gesundheitseinrichtungen in Deutschland im letzten Jahr zum Opfer von Cyberangriffen wurden und dabei in 23% der Fälle sensible Daten betroffen waren. Schockierend ist auch, dass 26% der betroffenen Einrichtungen in Deutschland das Lösegeld bezahlt haben, also den Angriff nicht erfolgreich verteidigen konnten. 

Warum greifen Hacker den Gesundheitssektor an?

Eigentlich ist der Grund ganz einfach: Der Gesundheitssektor hat Zugang zu wertvollen, vertraulichen Informationen. Dazu kommt, dass eine Unterbrechung wichtiger medizinischer Dienste, lebensbedrohliche Folgen haben kann. Nicht ohne Grund sind Gesundheitsdaten im Darknet teils mehr wert als Passwörter oder Kreditkarteninformationen – es geht eben um Leben oder Tod. 

Gelingt den Hackern das Eindringen in das System, können sie die Versorgung vollständig zum Erliegen bringen. Anschließend könne die Angreifer ein hohes Lösegeld fordern, das aufgrund der gravierenden Folgen auch häufig gezahlt wird. Außerdem sind sich Angreifer sicher, dass Vorfälle im Gesundheitsbereich auch Aufmerksamkeit in den Medien erregt, was den Druck auf das Unternehmen und die Wahrscheinlichkeit das Lösegeld zu bezahlen, wesentlich erhöht. 

Aufgrund der hohen Sensibilität der Daten und dem Druck der Medien, warnen einige Experten vor erheblichen finanziellen Konsequenzen für die Gesundheitsbranche durch zunehmende Lösegeldzahlungen.

Was kann dagegen unternommen werden?

• Penetrationstests

Ein Penetrationstest ist ein umfassender Sicherheitstest, der die aktuelle Sicherheit einer IT-Landschaft oder Webanwendungen feststellt. Der Durchführende schlüpft dabei in die Rolle eines Hackers und bedient sich mit allen Mitteln und Methoden, die ein Angreifer im Ernstfall anwenden könnte, um in das System einzudringen. Mithilfe des Penetrationstests wird festgestellt, wo sich Sicherheitslücken im aktuellen System befinden. Auf Basis dieser Ergebnisse lassen sich gezielte Gegenmaßnahmen einleiten, um das Sicherheitsniveau zu heben.

• IT-Sicherheitsrichtlinien

Es ist nicht nötig, dass jedes Unternehmen, das Rad neu erfinden muss, was die IT-Sicherheit betrifft. Bundesbehörden, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) und andere unabhängige Organisationen veröffentlichen praktikable IT-Sicherheitsrichtlinien, die Methoden, Anleitungen, Empfehlungen und Hilfe für Unternehmen bieten, die sich auf ein höheres IT-Sicherheitsniveau heben möchten. Solche Richtlinien haben einen ganzheitlichen Ansatz, bei dem nicht nur technische Aspekte, sondern auch infrastrukturelle, organisatorische und personelle Themen beachtet werden. Eine Zertifizierung mit diesen Standards beweist auch eine angemessene Sicherheitsinfrastruktur nach außen. 

• Mitarbeiterschulungen

Auch wenn andere Sicherheitsmaßnahmen getroffen werden können, liegt die Hauptverantwortung letztendlich immer beim Mitarbeiter, der die direkte Gesundheitsversorgung ausübt. Mangelendes IT-Sicherheitswissen in der Belegschaft birgt daher ein hohes Risiko für Cyberangriffe. Dieses Problem hat sich in Zeiten von hybriden und remote-Arbeitsplätzen und der Verbreitung von firmeninternen Daten auf persönlichen Geräten erheblich verschärft. Regelmäßige Schulungen des gesamten Personals zu IT-Sicherheitsthemen trägt daher maßgeblich zur Verbesserung der Sicherheit eines Unternehmens bei.

• Künstliche Intelligenz

Auch wenn sie für viele noch Neuland sind, bieten künstliche Intelligenz (KI) und maschinelles Lernen (ML) in der Cybersicherheit vielversprechende Lösungen für Unternehmen und auch den Gesundheitsbereich. Diese neuen Technologien können Anomalien und Muster im Datenfluss erkennen und ermöglichen so eine frühzeitige Erkennung potenzieller Angriffe oder Datenschutzverletzungen. Des Weiteren passen sich KI-gesteuerte Sicherheitssysteme neuen Bedrohungsarten an und können die Effizienz der Angriffsabwehr steigern. Außerdem, können so einige Arbeitsplätze für manuelles Monitoring mit veralteten Systemen und somit weitere Kosten gespart werden. 

Es ist sogar wichtig, dass Unternehmen sich mit KI-System auseinandersetzten, denn Angreifer verwenden sie auch und es ist essenziell den Angreifern hier einen Schritt voraus zu sein. 

• Sicherheitspersonal

IT-Sicherheitsspezialisten sind gefragt zur Umsetzung der Maßnahmen wie die Implementierung von IT-Sicherheitsrichtlinien, der Durchführung von Penetrationstest oder auch der Mitarbeiterschulungen. Außerdem überwachen Security Analysten kontinuierlich das System, die Geräte und das Netzwerk, um Gefahren frühzeitig zu erkennen und auszuschalten. 

Ausschlaggebend ist dabei die Funktion des CISO oder ISO, der die Geschäftsführung rund um die aktuellen Themen der IT-Sicherheit berät und Verantwortung über die IT-Sicherheitsstrategie des Unternehmens trägt. Der CISO kann zum Beispiel durch die Einführung von mehrschichtigen Verteidigungsmechanismen, Verschlüsselungsprotokollen und Echtzeit-Bedrohungsüberwachung die Einrichtungen gegen eine Vielzahl von Cyberbedrohungen schützen. 

Dabei kann ein Betrieb sowohl intern als auch extern auf IT-Sicherheitsspezialisten zugreifen. Damit können auch kleiner Gesundheitsbetriebe auf IT-Dienstleister zugreifen, die solche Aufgaben extern für mehrere kleiner Einrichtungen übernehmen. Viele Unternehmen greifen auf IT-Dienstleister zurück weshalb der Markt für Cybersicherheit im Gesundheitswesen bis 2030 durchschnittlich über 15% wachsen und damit ein Gesamtvolumen von 57,25 Milliarden US-Dollar erreichen soll. 

Fazit

Egal ob Aufstockung des IT-Security Personals, Mitarbeiterschulungen oder Durchführung von Penetrationstests – Alle diese Gegenmaßnahmen kosten Geld; Geld, das die Betriebe nicht haben. Die Politik ist hier gefordert den Gesundheitsdienstleistern ausreichend Budget zur Verfügung zu stellen, um Gegenmaßnamen umzusetzen und schlussendlich die Gesundheitsversorgung der Bevölkerung zu gewährleisten.

Die Bewältigung der Problematik von Cyberangriffen in der Gesundheitsbranche erfordert einen kooperativen Ansatz zwischen Regierungsstellen, Aufsichtsbehörden, IT-Dienstleistern, IT-Systementwicklern und den Betrieben im Gesundheitswesen. Die Parteien müssen zusammenarbeiten, um einen einheitlichen Rahmen zu schaffen, der den Austausch von Informationen, Bedrohungsdaten und bewährten Verfahren fördert.  

Jedes zweite Unternehmen im Gesundheitswesen ist aktuell auf der Suche nach Mitarbeitern für den Bereich Cybersicherheit. Als Spezialist in der Personalbeschaffung für Informationssicherheit und Cyber Security stehen wir Ihrem Gesundheitsunternehmen gerne als Partner zur Seite, das Personal zu vermitteln und damit die Chance von Cyberangriffen auf Ihr Unternehmen zu lindern.