Datenschutz- und Sicherheitsbedrohungen im Gesundheitswesen werden immer häufiger. Angesichts der riesigen Mengen an sensiblen Patientendaten, die Gesundheitseinrichtungen speichern und verarbeiten, ist es nicht verwunderlich, dass medizinische Einrichtungen zu wichtigen Zielen von Cyberangriffen geworden sind.
Ein Teil des Problems besteht darin, dass Technologien wie medizinische Geräte, Telemedizinsoftware und Patientendatensysteme für Angreifer anfällig sind. Zum anderen enthalten diese Systeme äußerst wertvolle persönliche Daten, die für Identitätsdiebstahl, Ransomware-Angriffe mit doppelter Erpressung, Versicherungsbetrug und vieles mehr verwendet werden können.
Kein Wunder also, dass 24 % aller Cyberangriffe im Jahr 2019 die Gesundheitsbranche betrafen oder dass das Gesundheitswesen mit durchschnittlichen Kosten von 10,1 Millionen US-Dollar pro Vorfall am stärksten von Datenschutzverletzungen betroffen ist.
Heute werden wir die fünf größten Bedrohungen für die Datensicherheit im Gesundheitswesen erörtern und erklären, warum sie so ernst sind. Außerdem zeigen wir Ihnen, wie Sie den Datenschutz und die Datensicherheit in Unternehmen des Gesundheitswesens stärken und die Auswirkungen dieser Angriffe abmildern können.
Welches sind die fünf größten Bedrohungen für die Datensicherheit im Gesundheitswesen?
Von Phishing und Malware bis hin zu XSS- und DDoS-Angriffen – Cybersecurity-Angriffe können Organisationen in nur wenigen Stunden Hunderttausende von Dollar kosten. Im Folgenden werden fünf der größten Bedrohungen für Krankenhäuser, Arztpraxen und andere Gesundheitssysteme erläutert.
1. Datenschutzverletzungen im Gesundheitswesen
Eine der häufigsten und bekanntesten Bedrohungen für Organisationen im Gesundheitswesen sind Datenschutzverletzungen.
Zwischen 2009 und 2022 wurden dem Office for Civil Rights des US-Gesundheitsministeriums über 5.150 Datenschutzverletzungen gemeldet. Diese Zahl steigt weiter an, denn allein in der ersten Hälfte des Jahres 2022 wird es im Gesundheitswesen 337 Datenschutzverletzungen geben, die über 19 Millionen Datensätze betreffen.
Allerdings hat sich die häufigste Art von Datenschutzverletzungen im Gesundheitswesen im Laufe der Zeit verändert. Während viele Datenlecks anfänglich den Verlust oder Diebstahl von Gesundheitsdaten betrafen, hat der Übergang zu digitalen Aufzeichnungen, Geräteverfolgung und Verschlüsselung diese Art von Vorfällen reduziert. Heute sind böswillige Hackerangriffe und IT-Vorfälle die Hauptursache für Datenschutzverletzungen, die seit 2015 deutlich zugenommen haben.
Bessere Sicherheitsmaßnahmen, Schulungen zum Sicherheitsbewusstsein und Zugangskontrollen können dazu beitragen, dieses Problem zu entschärfen, aber die Branche ist noch weit davon entfernt, Sicherheitsverletzungen gänzlich zu verhindern.
2. Ransomware-Angriffe im Gesundheitswesen
Wir alle haben die Statistiken über Ransomware gelesen. Sie nimmt zu, wird immer raffinierter und ihre Beseitigung wird immer teurer.
Aber Ransomware ist im Gesundheitswesen besonders heimtückisch, weil die Daten extrem sensibel sind. Viele Organisationen und Einzelpersonen sind bereit, erhebliche Lösegeldzahlungen zu leisten, um zu verhindern, dass ihre privaten Daten öffentlich zugänglich gemacht werden.
Ein Beispiel dafür ist der Angriff auf das finnische Gesundheitsunternehmen Vastaamo, bei dem die vertraulichen Daten von Zehntausenden von Psychotherapiepatienten offengelegt wurden. Viele Patienten zahlten schließlich das Lösegeld, nur um zu verhindern, dass ihre Behandlungsdaten von den Angreifern veröffentlicht wurden.
Andere Angriffe können so verheerend sein, dass sie Anbieter dazu zwingen, Patienten an andere Einrichtungen zu verweisen, ihre Dienste vorübergehend einzustellen oder sogar ihr Geschäft aufzugeben. So haben beispielsweise das Brookside ENT and Hearing Center in Michigan und Wood Ranch Medical in Kalifornien nach einem Ransomware-Angriff im Jahr 2019 endgültig geschlossen.
3. Insider-Bedrohungen durch Mitarbeiter im Gesundheitswesen
Entgegen der landläufigen Meinung beschränken sich Insider-Bedrohungen nicht auf unzufriedene Mitarbeiter, die geistiges Eigentum oder Geschäftsgeheimnisse preisgeben. Viele Insider-Bedrohungen geschehen unbeabsichtigt und sind eher das Ergebnis menschlichen Versagens als böswilliger Absicht. Im Gesundheitswesen kann dies so einfach sein wie das Senden von Patientendaten an die falsche E-Mail-Adresse oder über ein ungesichertes Konto.
Unbeabsichtigte Offenlegungen im Gesundheitswesen sind eine der häufigsten Ursachen für Datenschutzverletzungen in der Branche, gleich nach Hacking. Das Endergebnis ist zudem kostspielig: Laut dem Center for Internet Security sind persönliche Gesundheitsinformationen (PHI) für Cyberkriminelle wertvoller als gewöhnliche persönliche Informationen oder sogar Kreditkartendaten.
Zwar gibt es Vorschriften wie den Health Insurance Portability and Accountability Act (HIPAA), um Daten vor dieser Art von Szenario zu schützen, aber sie sind nicht narrensicher. Gesundheitsdienstleister müssen strenge Zugangskontrollen einführen, ungewöhnliche Aktivitäten überwachen und regelmäßige Schulungen zu bewährten Sicherheitspraktiken anbieten, um Insider-Bedrohungen in ihren Organisationen zu entschärfen.
4. Grundlegende Angriffe auf Webanwendungen (BWAA)
Einfache Webanwendungsangriffe (BWAA) zielen in erster Linie auf die am stärksten gefährdete Infrastruktur eines Unternehmens ab – in der Regel Webserver oder mit dem Internet verbundene Geräte. Angreifer verwenden oft Software oder Befehle, um ein unbeabsichtigtes Verhalten im System zu bewirken, in der Regel mit gestohlenen Anmeldedaten oder bekannten Schwachstellen.
Die BWAA umfasst bestimmte Arten von Angriffen wie Cross-Site-Scripting (XSS), SQL-Injection (SQLi) und Distributed-Denial-of-Service (DDoS)-Angriffe. Die Auswirkungen können von Ausfallzeiten bei Patientenportalen bis hin zu Unterbrechungen bei der Gehaltsabrechnung und darüber hinaus reichen.
Um sich vor BWAA zu schützen, sollten Unternehmen eine starke Webanwendungssicherheit implementieren und andere bewährte Datenschutzverfahren befolgen.
5. Sicherheitsbedrohungen durch Dritte im Gesundheitswesen
Gesundheitsdienstleister arbeiten bei der Verwaltung von Patientendaten häufig mit Drittanbietern zusammen, z. B. mit Anbietern von elektronischen Patientenakten (EHR). Diese Drittanbieter sind zwar ein wichtiger Bestandteil der Versorgung, können aber auch eine erhebliche Gefahr für die Datensicherheit darstellen.
Laut dem HHS-Cybersicherheitsprogramm der American Hospital Association sind verteilte Angriffsvektoren bei Angriffen im Gesundheitswesen immer häufiger zu finden. Dazu gehören Bedrohungen durch Dritte wie die Kompromittierung von Managed Service Providern und die Kompromittierung der Lieferkette. Im Jahr 2019 wurden beispielsweise 400 Zahnarztpraxen über einen einzigen kompromittierten Managed Service Provider mit Ransomware angegriffen.
Organisationen können das Risiko dieser Verletzungen durch Dritte verringern, indem sie strenge Zugangskontrollen einrichten und die Aktivitäten der Anbieter regelmäßig überwachen.
Was können wir gegen Bedrohungen der Datensicherheit im Gesundheitswesen tun?
Bedrohungen der Datensicherheit im Gesundheitswesen können sowohl für Patienten als auch für Gesundheitsdienstleister schwerwiegende Folgen haben. Aufgrund der Sensibilität der Patientendaten und der Anfälligkeit der medizinischen Systeme ist die Branche sehr anfällig für schädliche Angriffe.
Glücklicherweise gibt es verschiedene Maßnahmen, um die Auswirkungen dieser Cyber-Bedrohungen abzuschwächen und den Datenschutz und die Sicherheit zu verbessern. So können Anbieter beispielsweise eine robuste Verschlüsselung zum Schutz von Daten im Ruhezustand und bei der Übertragung einführen und sicherstellen, dass nur autorisiertes und authentifiziertes Personal Zugang zu Patientendaten hat.
Sie können auch umfassende Mitarbeiterschulungsprogramme anbieten, um das Gesundheitspersonal über alles Mögliche aufzuklären, von Phishing-Versuchen bis hin zu guten Passwort-Etiketten. Und sie können regelmäßige Risikobewertungen und Schwachstellentests durchführen, um ihre Fähigkeit zu verbessern, auf Sicherheitsvorfälle zu reagieren.
Schutz von Daten im Gesundheitswesen mit ShardSecure
Eine weitere Möglichkeit, starke Datensicherheit für Organisationen im Gesundheitswesen zu implementieren, ist die Data Control Platform von ShardSecure. Unser innovativer, agentenloser Verschlüsselungsansatz schützt unstrukturierte Daten vor unbefugten Benutzern und macht sie für Dritte in On-Premise-, Cloud- und Multi-Cloud-Umgebungen unlesbar. Dies gewährleistet einen starken Datenschutz, selbst wenn es einem Angreifer gelingt, sich Zugang zu einem Speicherort zu verschaffen.
Unsere Data Control Platform bietet außerdem eine hohe Datenresilienz, indem sie Hochverfügbarkeits- und Datenintegritätsprüfungen durchführt, um kompromittierte Daten bei Ausfällen und Angriffen zu rekonstruieren. Sie kann nahtlos und transparent in bestehende Anwendungen integriert werden und funktioniert mit bestehenden Gesundheitssystemen, ohne dass die Arbeitsabläufe neu gestaltet werden müssen.
Das Cybersicherheitsforschungsunternehmen TAG Cyber schrieb in einem Bericht über unsere Technologie Folgendes: „Der Vorteil von Microsharding für Teams im Gesundheitswesen besteht darin, dass sensible Daten auf Anwendungsebene, die in mehreren Clouds gespeichert sind, disaggregiert, getrennt und verschleiert werden können, um die Back-End-Bedrohung zu verringern. Im Gesundheitswesen kann dies ein wertvolles Instrument für die Cybersicherheit und die Einhaltung von Rahmenbedingungen sein.“
Die Bewältigung von Datensicherheitsbedrohungen im Gesundheitswesen erfordert eine vielschichtige Strategie. Erfahren Sie, wie ShardSecure ein effektiver Teil dieser Strategie werden kann, mit unserer Fallstudie zum Gesundheitswesen und anderen Ressourcen.
Sources
Hospital Cybersecurity Risks and Gaps: Review | Frontiers in Digital Health
Cyberattacks Are Particularly Costly in Health Care. Why? | Advisory Board
DDoS Attacks: In the Healthcare Sector | Center for Internet Security
‘Shocking’ Hack of Psychotherapy Records in Finland Affects Thousands | The Guardian
Healthcare Data Breaches: Insights and Implications | PMC
Data Breaches: In the Healthcare Sector | Center for Internet Security
Web Application Attacks in Healthcare | HHS.gov
Health Sector Cybersecurity: 2021 Retrospective and 2022 Look Ahead | American Hospital Association