Site Logo

Sicherung von mit dem Internet verbundenen Geräten im Gesundheitswesen

Themen: National CyberSecurity Awareness Month und European CyberSecurity Month
20. Okt.. 2020
|
Christine Barry

Der Oktober ist der Monat der Cybersecurity (CAM), eine weltweite Initiative zur Förderung des Bewusstseins über Cybersecurity und die Gewährleistung der Sicherheit im Internet. Hier können Sie unsere ersten beiden Blog-Beiträge zum CAM lesen:


Diese Woche liegt der Schwerpunkt des CAM auf dem Thema „Sicherung von mit dem Internet verbundenen Geräten im Gesundheitswesen“. Unsichere Systeme sind in allen Bereichen der Branche ein Problem, von Versicherungsanbietern bis hin zu Diagnosesystemen und Patientenakten. Hier sind einige gängige Beispiele:

Unterbrochener Betrieb: Vor drei Jahren verbreitete sich WannaCry in einem massiven Angriff auf der ganzen Welt und legte innerhalb weniger Tage etwa 200.000 Geräte lahm. Etwa ein Drittel der Einrichtungen des NHS (Nationalen Gesundheitsdiensts) in Großbritannien war betroffen, wodurch sich die Gesundheitsversorgung von 19.000 Patienten verzögerte. Microsoft veröffentlichte den Patch MS 010, um diese Ransomware zu bekämpfen, aber im Jahr 2019 griff WannaCry immer noch etwa 3.500 Systeme pro Stunde an.


Ransomware betrat dieses Jahr Neuland, als ein Angriff auf das Universitätsklinikum Düsseldorf zu einer Verzögerung der Versorgung führte, die den Tod eines Patienten zur Folge hatte. Dieser Vorfall wird derzeit noch untersucht. Weitere Angriffe in der letzten Zeit waren unter anderem die Unterbrechung von klinischen Studien zu COVID-19-Tests und -Behandlungen sowie die Sperrung mehrerer Systeme in einer großen Krankenhauskette.


DatendiebstahlViele Regierungen setzen zu Recht hohe Standards für die Privatsphäre von Patienten und den Schutz ihrer Daten. Krankenunterlagen können für Identitätsdiebstahl oder andere Arten von Betrug verwendet werden. Berichte über den Weiterverkaufspreis einer vollständigen Krankenakte variieren, aber er beträgt bis zu etwa 100 Dollar pro vollständiger Krankenakte und Zehntausende Dollar für eine Datenbank. Das HIPAA Journal berichtet, dass im Jahr 2019 fast 231 Millionen Patientenakten zum Gegenstand von Datenschutzverletzungen wurden. Der Preis für Krankenakten von Einzelpersonen ist auf etwa 1 Dollar pro Stück gesunken, weil all diese gestohlenen Daten ihren Weg in das Dark Web gefunden haben.


Die personenbezogenen Daten eines Arztes sind viel wertvoller als die eines Patienten. Medizinische Lizenzen, DEA-Lizenzen und andere Unterlagen können es einem Kriminellen ermöglichen, Rezepte zu fälschen und betrügerische Versicherungsansprüche einzureichen. Diese Art von Daten wird im Dark Web für etwa 500 Dollar verkauft; diese Preise schwanken jedoch ständig.


Manipulation von Datensätzen:  Das ist beängstigend. Forscher in Israel haben Malware entwickelt, die die Ergebnisse diagnostischer Tests verändern kann. In einer Blindstudie mit echten CT-Lungenscans, bei denen dem Bild durch die Malware erzeugte kleine Krebsgeschwüre hinzugefügt wurden, stellten Radiologen in 99 % der Fälle die Diagnose Krebs. Bei demselben Test wurde außerdem Malware verwendet, um echte Krebsgeschwüre aus echten Scans zu entfernen, und die Radiologen diagnostizierten die Patienten in 94 % der Fälle als gesund. Dieser Test hatte zum Ziel, zu zeigen, dass unsichere Krankenhaussysteme einen weltweiten Einfluss haben können, wenn ein politisches Oberhaupt einer Weltmacht eine Fehldiagnose erhält.


It’s been three years since WannaCry spread across the globe in a massive attack that took down roughly 200,000 devices in a couple of days.
Click To Tweet


Deshalb wird das Gesundheitswesen ins Visier genommen


Das Gesundheitswesen ist ein hochwertiges Ziel, weil die Daten für die Betroffenen so wichtig sind. Hancock Health zahlte 55.000 Dollar, um seine Systeme nach einem erfolgreichen Angriff im August wieder zu entsperren. Hackensack Meridian Health zahlte ein Lösegeld, um die Systeme nach einem fünftägigen Ausfall, durch den mindestens 100 Operationen verschoben werden mussten, wieder zu entsperren. Einige Gesundheitssysteme haben sich geweigert, ein Lösegeld zu zahlen, und sich stattdessen dafür entschieden, die Wiederherstellung selbst in die Hand zu nehmen.

Neben dem Wert der Daten gibt es grundlegende Probleme in den Gesundheitssystemen, die sie zu einem attraktiven Ziel machen.

Veraltete und individuelle Geräte:  Das Gesundheitswesen verwendet ungewöhnliche Geräte mit eingebetteten Betriebssystemen. MRT-Geräte, Roboterarme und andere teure Geräte bleiben möglicherweise auch dann noch in Betrieb, wenn sie veraltet sind. Es ist für manche Organisationen einfach zu teuer, diese Systeme zu ersetzen, wenn sie noch funktionieren, aber die Systeme können auch nicht so einfach wie moderne Geräte gepatcht werden. Ein weiteres Problem besteht darin, dass selbst moderne Geräte mit laufendem Support unter Umständen auf Software-Sicherheitsupdates warten müssen, weil auf den Geräten Software ausgeführt wird, die für das jeweilige Gerät maßgeschneidert ist. Updates für diesen Code sind nicht ohne Weiteres verfügbar.


Nicht verwaltete IT:  Alles in einem Krankenhaus und in dessen Umfeld ist ein potenzieller Angriffspunkt. Systeme, die nicht ordnungsgemäß inventarisiert sind, können vernachlässigt und kompromittiert werden. Dabei geht es nicht nur um Arbeitsplätze und medizinische Geräte, auch HLK-Systeme und Sicherheitsvorrichtungen sind potenzielle Zugangspunkte. IT-Teams müssen wissen, welche Geräte verbunden sind, welche digitale Kommunikation für den Workflow notwendig ist und welche blockiert werden sollte(n). Dies ist schwierig in einer Umgebung, die sich immer noch im Übergang von ihren ursprünglichen papierbasierten Systemen zu den neuen digitalen Systemen befindet, die den Standard für das moderne Gesundheitswesen bilden.


Ablenkungen durch die Compliance:  Da das Gesundheitswesen den Datenschutzbestimmungen für Patienten unterliegt und bei Verstößen empfindliche Strafen verhängt werden, haben IT-Sicherheitsteams der Sicherheit von Systemen, die außerhalb dieser Vorschriften liegen, nicht immer Priorität eingeräumt. Ohne ein umfassendes IT-Management können Arbeitsplätze mit medizinischen Geräten unnötige Internetverbindungen haben oder es können sich Alexa-Geräte in sensiblen Umgebungen befinden. Diese Themen können leicht übersehen werden, wenn sich ein Team nur auf die Einhaltung der Vorschriften konzentriert.


Die Branche wächst schnell und steht noch am Anfang ihres Weges der digitalen Transformation und Cybersecurity. Das Bewusstsein war ein Schlüsselfaktor für den Fortschritt des Sektors.

Weitere Informationen über Lösungen von Barracuda für das Gesundheitswesen finden Sie hier auf unserer Website.

Christine Barry

Christine Barry is Senior Chief Blogger and Social Media Manager at Barracuda.  Prior to joining Barracuda, Christine was a field engineer and project manager for K12 and SMB clients for over 15 years.  She holds several technology and project management credentials, a Bachelor of Arts, and a Master of Business Administration.  She is a graduate of the University of Michigan.

Connect with Christine on LinkedIn here.

Verwandte Beiträge:
Sicherung von mit dem Internet verbundenen Geräten im Gesundheitswesen
Sicherung von mit dem Internet verbundenen Geräten im Gesundheitswesen
 Für eine effektive Reaktion auf Vorfälle verwenden Sie eine Checkliste zur Behebung
Für eine effektive Reaktion auf Vorfälle verwenden Sie eine Checkliste zur Behebung
 Machen Sie sich schlau mit dem National Cybersecurity Awareness Month
Machen Sie sich schlau mit dem National Cybersecurity Awareness Month
 Was kommt nach dem Monat des Bewusstseins für Cybersecurity als Nächstes?
Was kommt nach dem Monat des Bewusstseins für Cybersecurity als Nächstes?