Barracuda full logo

Der Stand der Cybersecurity im Gesundheitswesen - Erkenntnisse aus einem neuen Bericht

Themen:
9. Aug.. 2023
|
Kevin Williams

Europa ist den Vereinigten Staaten im Allgemeinen voraus, wenn es um die Regulierung der Cybersicherheit auf staatlicher Ebene geht, z. B. bei der Cybersecurity im Gesundheitswesen. Bei branchenspezifischen Cybersecurity-Protokollen ist die Bilanz jedoch durchwachsener, wobei einige Branchen vor den Vereinigten Staaten liegen und andere nicht.

Das Gesundheitswesen ist auf beiden Seiten des Atlantiks eine gefährdete Branche, und ein neuer Bericht der Agentur der Europäischen Union für Cybersicherheit (ENISA) bietet spannende Einblicke in den Zustand des Cybersicherheitssektors im Gesundheitswesen.

„Die Trends in anderen Teilen der Welt zu untersuchen, ist für alle sinnvoll. Wenn Sie in Australien sind, sollten Sie sich darüber informieren, was in den USA vor sich geht. Wenn Sie in den USA leben, sollten Sie sich mit der Cybersecurity in Europa befassen, denn aus der Sicht der Cybersecurity sind wir alle miteinander verbunden“, sagt Andrew Craig, ein Berater für Cybersecurity im Gesundheitswesen in Houston.

Die Tatsache, dass der Bericht aus der Feder der ENISA stammt, verleiht ihm größere Glaubwürdigkeit und mehr Gewicht. „Private Unternehmen legen ständig Berichte vor, die zwar einen gewissen Wert haben, doch wenn man auf die Ressourcen einer staatlichen Stelle für die Untersuchung einer Sache Zugriff hat, sind die Ergebnisse besonders wertvoll“ fügt Craig hinzu.

Die Ergebnisse zeigen wichtige Schwachstellen auf

Vierundfünfzig Prozent aller Verstöße gegen die Cybersecurity in Europa im Jahr 2022 betreffen den Gesundheitssektor, wobei Krankenhäuser am stärksten betroffen sind.

„Geschützte Gesundheitsdaten (Protected Health Information, PHI) gehören nach wie vor zu den am meisten begehrten Daten für Cyberkriminelle. Gesundheitsdaten sind für den Weiterverkauf im Dark Web weitaus wertvoller als Kreditkartennummern, Bankkontodaten oder Sozialversicherungsnummern“, so Craig. Die Zahlen der ENISA bestätigen dies und zeigen, dass elektronische Patientenakten die am stärksten ins Visier genommenen Assets waren.

Der ENISA-Bericht beleuchtet auch die Lieferkette im Gesundheitswesen und die Schwachstellen bei den Anbietern. „Die Lieferkette ist nach wie vor die Achillesferse des gesamten Ökosystems im Gesundheitswesen. Ein Krankenhaus kann eine Festung sein, aber wenn das Unternehmen, das seine Wäsche reinigt, über unzureichende Cybersecurity verfügt, kann das ganze System gefährdet sein“, warnt Craig. Auch die explosionsartige Zunahme tragbarer medizinischer Geräte erhöht die Zahl der Schwachstellen.

Craig zufolge ist ein Regierungsbericht besser geeignet, die staatlichen Akteure ins Rampenlicht zu rücken, was im Jahr 2022 in Europa ein Problem darstellte.

Der ENISA-Bericht stellt fest: Geopolitische Entwicklungen und hacktivistische Aktivitäten führten Anfang 2023 zu einem Anstieg von Distributed Denial of Service (DDoS)-Angriffen durch pro-russische Hacktivistengruppen gegen Krankenhäuser und Gesundheitsbehörden, die 9 % der gesamten Vorfälle ausmachten. Dieser Trend dürfte sich zwar fortsetzen, doch sind die tatsächlichen Auswirkungen dieser Angriffe nach wie vor relativ gering.

Bedrohungsakteure sind aktiv präsent

„Wir glauben zwar nicht, dass staatliche Akteure die Gesundheitsversorgung in Europa stark beeinträchtigt haben, aber es zeigt, dass sie präsent sind, und dass man nie ganz unvorsichtig sein darf“, erläutert Craig. Weitere wichtige Anliegen, die in dem Bericht hervorgehoben werden, sind:

  • Kosten von Sicherheitsverletzungen. Der durchschnittliche Angriff auf das Gesundheitswesen kostet rund 300.000 US-Dollar.
  • Abwehr von Ransomware. Trotz dieser Bedrohung verfügen nur 27 Prozent der befragten Unternehmen über ein spezielles Ransomware-Abwehrprogramm. Ransomware ist die größte Cybersecurity-Bedrohung, der Krankenhäuser ausgesetzt sind. „Dies ist eine klaffende Lücke in der Cybersecurity im Gesundheitswesen. „Dies ist eine klaffende Lücke in der Cybersicherheit im Gesundheitswesen. Für Anbieter von Managed Security (MSPs) bietet sich hier eine riesige Chance, ihre Dienste innerhalb des gesamten Gesundheitsökosystems zu verkaufen“, sagt er.

Im ENISA-Bericht wird auch die Patientensicherheit hervorgehoben. „Lange Zeit lag der Schwerpunkt auf Gesundheitsdaten, aber jetzt besteht faktisch die Möglichkeit – und es hat bereits Vorfälle gegeben –, dass die Patientensicherheit gefährdet ist: Medikamentendosierung, Herzschrittmacherfunktion und Sensorüberwachung“, warnt Craig. „Dies stellt eine ernsthafte Bedrohung dar.“

Best Practice für MSPs zur Verbesserung der Abwehrmaßnahmen für die Cybersecurity im Gesundheitswesen

Der ENISA-Bericht enthält mehrere Empfehlungen zur Verbesserung der Abwehrmaßnahmen im Gesundheitswesen, die laut Craig zum Arsenal eines jeden MSP gehören sollten.

Darunter:

  • Offline-verschlüsselte Backups von unternehmenskritischen Daten mit vertraulichen Informationen (Daten im Ruhezustand) anfertigen, um das Risiko von Datenlecks zu mindern.
  • Sensibilisierungs- und Schulungsprogramme für Angehörige der Gesundheitsberufe durchführen, um Social-Engineering-Angriffe entgegenzuwirken und die Sicherheitspraktiken der Benutzer zu verbessern.
  • Regelmäßige Schwachstellen-Scans ausführen, um Schwachstellen aufzudecken und zu beheben, insbesondere bei Geräten mit Internetanschluss. Damit wird die Angriffsfläche begrenzt.
  • Regelmäßige Patches anwenden und die neuesten verfügbaren Updates für Software und Betriebssysteme implementieren.
  • Bewährte Praktiken für Authentifizierungsmethoden beim Fernzugriff befolgen.
  • Wichtige Incident-Response-Pläne für Cybervorfälle erstellen, pflegen und implementieren, um sicherzustellen, dass die Patientenversorgung nicht beeinträchtigt wird. Dazu können Notfallpläne in jeder Abteilung oder jedem Dienst, verbesserte Kommunikationskanäle und die Unterstützung des psychischen und physischen Wohlbefindens der Angehörigen der Gesundheitsberufe gehören.

Craig betonte jedoch, dass die Zustimmung der Führungsebene von Gesundheitseinrichtungen entscheidend für die Wirksamkeit der empfohlenen Maßnahmen ist. „Ein MSP oder CISO kann die besten Cybersecurity-Pläne haben, aber wenn die Führungsebene keine Unterstützung bietet, wird es ein schwieriges Unterfangen.“

Dieser Artikel erschien ursprünglich auf SmarterMSP.com. Abonnieren Sie SmarterMSP.com, um die neuesten Erkenntnisse, Neuigkeiten und Informationen zur Cybersecurity zu erhalten, die Ihnen bei der Verbesserung Ihres MSP-Geschäfts helfen.

 

Kevin Williams

Kevin Williams ist ein in Ohio ansässiger Journalist. Williams hat für eine Vielzahl von Publikationen geschrieben, darunter Washington Post, New York Times, USA Today, Wall Street Journal, National Geographic und andere. Mitte der 90er Jahre schrieb er zum ersten Mal über die Online-Welt in ihrem Anfangsstadium für das heute nicht mehr existierende „Online Access“-Magazin.  Vernetzen Sie sich hier auf LinkedIn mit ihm.

Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.