Über 60 % der Gesundheitsorganisationen sind nach wie vor nicht gegen Datenschutzverletzungen geschützt

Die Analyse von Red Sift von Gesundheitsorganisationen, die dem Department of Health & Human Services (HHS) in den Jahren 2023-2024 große Sicherheitsverletzungen gemeldet haben, deckte einen beunruhigenden Trend auf: 61 % bleiben nach einer Sicherheitsverletzung aufgrund schwacher oder nicht vorhandener DMARC-Richtlinien ungeschützt gegen Phishing und Domain-Spoofing.

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein weithin anerkannter Sicherheitsstandard, der Angreifer daran hindert, sich per E-Mail als Organisationen auszugeben. Trotz eines erheblichen Datenlecks haben viele Einrichtungen des Gesundheitswesens diesen wichtigen Schutz jedoch noch nicht vollständig übernommen, sodass sie weiterhin anfällig für Angriffe sind.

Was sagen uns die Daten?

Eine von Red Sift durchgeführte Untersuchung ergab:

• 61 % der analysierten Organisationen sind nicht geschützt, wobei 33 keine DMARC-Richtlinie haben und bei 28 keine Daten verfügbar sind.
• Nur 39 % setzen DMARC durch, wobei 24 „Ablehnen“ (stärkster Schutz) und 16 „Quarantäne“ (mäßige Sicherheit) verwenden.
• In der EMEA-Region sind 49 % der 100 größten Gesundheitsunternehmen nach wie vor ungeschützt, während nur 31 % über eine „Ablehnungsrichtlinie“ verfügen.

Diese Momentaufnahme zeigt eine erhebliche Lücke bei der Einführung von DMARC und ist wahrscheinlich ein Hinweis auf die Unreife der Cybersicherheit in diesem Sektor, wodurch die meisten Unternehmen anfällig für Phishing- und Spoofing-Angriffe sind. Die sicherste Gruppe, die eine „Ablehnungsrichtlinie“ implementiert, weist auf bessere Praktiken hin, macht aber immer noch weniger als ein Viertel der Gesamtanalyse aus.

E-Mails gelten als Hauptvektor für Kriminelle, um sich Zugang zu Personen und Netzwerken zu verschaffen. Im Gesundheitswesen führen schlecht gesicherte E-Mails häufig zu kostspieligen Angriffen auf geschäftliche E-Mails und Ransomware. Gesundheitsorganisationen müssen strengere Sicherheitsmaßnahmen ergreifen, um einen robusten und proaktiven Schutz vor potenziell verheerenden Cyberangriffen zu gewährleisten und die Integrität und Verfügbarkeit kritischer Gesundheitsdienste und Patientendaten zu gewährleisten.

Die zunehmende Bedeutung von Datenschutzverletzungen

Gesundheitsakten sind nach wie vor die wertvollste Art von Daten auf dem Schwarzmarkt, was Gesundheitsorganisationen zu Hauptzielen macht. Bedrohungsakteure streben nach maximaler Auszahlung, und daher nehmen Cyberangriffe auf das Gesundheitswesen zu. Phishing ist nach wie vor der führende Angriffsvektor und für schätzungsweise 90 % der erfolgreichen Angriffe verantwortlich. Eine IBM-Studie aus dem Jahr 2024 berichtet, dass Datenschutzverletzungen Organisationen weltweit durchschnittlich 4,9 Millionen US-Dollar kosten, wobei Datenschutzverletzungen im Gesundheitswesen in den USA fast doppelt so viel kosten. Darüber hinaus wurden allein im Jahr 2024 über 190 Millionen Gesundheitsakten kompromittiert – eine Rekordzahl, von der über die Hälfte der US-Bevölkerung betroffen ist. Teurere behördliche Maßnahmen, Bußgelder und Sammelklagen haben tiefgreifende Auswirkungen auf die gesamte Gesundheitsbranche.

Größte Datenschutzverletzungen im US-Gesundheitswesen 2023–2024: DMARC-Analyse

Warum DMARC für das Gesundheitswesen wichtig ist

DMARC ist eine bewährte Lösung zur Verhinderung von Phishing, Domain-Spoofing und Business Email Compromise (BEC)-Angriffen. Organisationen, die DMARC auf der Ebene einer „Ablehnungsrichtlinie“ durchsetzen, reduzieren das Risiko von E-Mail-basierten Cyberbedrohungen erheblich.

Dennoch sind viele Organisationen im Gesundheitswesen nach wie vor ungeschützt, wodurch sensible Patientendaten, Finanzinformationen und die betriebliche Infrastruktur ungeschützt bleiben. Der Gesundheitssektor muss eine stärkere E-Mail-Sicherheit priorisieren, um zukünftige Sicherheitsverletzungen zu verhindern und kritische Systeme vor Cyberkriminellen zu schützen.

Die Zukunft des Gesundheitswesens mit OnDMARC sichern

Die Ergebnisse von Red Sift zeigen, dass eine größere DMARC-Akzeptanz in allen Organisationen des Gesundheitswesens dringend erforderlich ist. Unternehmen ohne DMARC sollten zunächst eine Überwachungsrichtlinie „p=none“ implementieren, bevor sie zur vollständigen Durchsetzung „p=reject“ übergehen. Unternehmen mit „Quarantäne“-Richtlinien sollten umgehend auf „reject“ umstellen, um maximalen Schutz zu gewährleisten.

Da E-Mails nach wie vor einer der am häufigsten ausgenutzten Einfallstore für Cyberkriminelle sind, müssen Gesundheitsdienstleister jetzt Maßnahmen ergreifen, um diese Sicherheitslücken zu schließen, und sich für einen DMARC-Lösungsanbieter wie Red Sift OnDMARC entscheiden. Die neue Realität von heute bedeutet, dass die Implementierung von DMARC nicht mehr nur in der Verantwortung der IT-Abteilung liegt – sie ist ein entscheidender Schritt zum Schutz von Patientendaten, der Betriebssicherheit und des Markenrufs und sollte auf Vorstandsebene diskutiert und umgesetzt werden.

Erfahren Sie mehr darüber, wie Red Sift Organisationen dabei unterstützt, mit Red Sift OnDMARC die vollständige DMARC-Konformität zu erreichen und Ihre E-Mail-Sicherheit zu stärken.

Diese Studie erschien erstmals in Betanews.

Source: Red Sift-Blog

---

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Julian Wulff, Director Cyber Security Central Europe at Red Sift

* Kontakt über LinkedIn

Red Sift bei LinkedIn

---

Bild/Quelle: https://depositphotos.com/de/home.html