Die größten Schwachstellen im Gesundheitswesen
Diese Zahlen sind beängstigend: Unmittelbar nach einem Cyberangriff am 3. Juni 2024 auf ein Londoner Krankenhaus wurden 400 Gigabyte gestohlener Daten veröffentlicht und mehr als 3.000 Krankenhaus- und Hausarzttermine gestört.
Die Aufgaben des Gesundheitswesens im Bereich der Cybersicherheit sind immens: Patientendaten müssen ständig geschützt werden, und eine große Anzahl verbundener Geräte muss konsistent und sicher in einer Umgebung arbeiten, in der Patienten, Ärzte, nicht-medizinisches Personal, die IT-Abteilung und externe Auftragnehmer unterschiedliche Zugriffsebenen auf das System benötigen.
Wenn man die Herausforderungen beim Schutz einer solchen Umgebung und den hohen Wert der Patientendaten bedenkt, wird klar, warum das Gesundheitswesen die Branche ist, die am häufigsten ins Visier von Hackern gerät. Eine typische elektronische Gesundheitsakte enthält Informationen wie Name, Sozialversicherungsnummer, Krankengeschichte, Bank- und Kreditkarteninformationen, Namen von Familienmitgliedern und vieles mehr – Informationen, die für Hacker von großem Wert sind.
Im Jahr 2023 bezifferte das Weltwirtschaftsforum die durchschnittlichen Kosten für eine Datenschutzverletzung auf 10,93 Millionen US-Dollar pro Vorfall, fast doppelt so viel wie der Finanzsektor, der mit durchschnittlichen Kosten von 5,9 Millionen US-Dollar an zweiter Stelle lag. Darüber hinaus gab es allein in den USA in den letzten vier Jahren einen 239-prozentigen Anstieg der dem Office for Civil Rights (OCR) gemeldeten schwerwiegenden Datenschutzverletzungen durch Hacker und einen 278-prozentigen Anstieg der Ransomware-Angriffe. Im Jahr 2023 waren mehr als 88 Millionen Menschen von größeren Sicherheitsverletzungen betroffen, 60 % mehr als im Vorjahr.
Untersuchung der Schwachstellen
Um besser zu verstehen, wie die IT im Gesundheitswesen gesichert werden kann, ist es unerlässlich, sich mit den spezifischen Schwachstellen und deren Behebung zu befassen:
-
Verbundenes IoT und Geräte
Eine der größten Schwachstellen in der Gesundheitsbranche ist die IT-Infrastruktur, die in der Regel eine sehr große Anzahl von Zugangspunkten aufweist – angefangen bei angeschlossenen MRT-Geräten, über iPads für das Personal, Desktop-Computer auf Pflegestationen, Laptops auf Wagen, bis hin zu drahtlosen Repeatern, die allesamt mit einem Netzwerk verbunden sind. Ohne angemessene Sicherheitsvorkehrungen kann jeder dieser Zugangspunkte als Gateway zum größeren System verwendet werden. Dies führt zu einer weiteren Schwachstelle im Gesundheitswesen: unterbesetzte und unterfinanzierte IT-Abteilungen.
-
Unzureichendes IT-Personal
Krankenhäuser und andere Organisationen im Gesundheitswesen konzentrieren sich in erster Linie auf die Patientenversorgung. Da sich die Budgets jedoch auf die Patientenversorgung konzentrieren, bleibt oft nur sehr wenig für die IT-Abteilung übrig.
Die IT-Teams sind oft klein und haben nur ein begrenztes Budget, obwohl sie viele Aufgaben bewältigen müssen, einschließlich strenger Sicherheitsvorschriften. Dies führt häufig zu einer hohen Arbeitsbelastung oder sogar Überlastung der Teams. Kleine, überlastete IT-Teams können daher eine Schwachstelle sein, da sie nicht alle Anforderungen der Cybersicherheit erfüllen können.
-
Fremdfirmen und Drittanbieter
Aufgrund der oftmals hohen Beslastung der IT-Teams im Gesundheitswesen, werden häufig externe Anbieter mit der Durchführung bestimmter Aufgaben beauftragt. Für die Wartung und Kalibrierung von Hightech-Geräten sind lizenzierte Techniker erforderlich.
Für diese Arbeiten wird Auftragnehmern oft ein privilegierter Zugriff auf das System gewährt, entweder aus der Ferne oder vor Ort. Wenn dieser Zugang nicht genau überwacht und eingeschränkt wird, hat der externe Dienstleister innerhalb des Systems oftmals freie Hand und kann über ein bestimmtes Netzwerk auf andere wertvolle Ziele springen. Dies stellt eine potenzielle Schwachstelle in puncto Sicherheit und Datenschutz. Mit unangemessenem Zugriff kann ein Auftragnehmer Patientendaten einsehen oder lebensrettende Geräte beschädigen und damit gegen Cybersicherheitsprotokolle und Compliance-Maßnahmen wie NIS2 und GDPR (innerhalb der EU), HIPPA, HITECH und PCI DSS (in den USA) oder UK-GDPR und Data Protection Act 2018 (in UK) verstoßen.
Maßnahmen zur Behebung der Schwachstellen
In Anbetracht der besonderen Anforderungen und des Umfelds eines Gesundheitsdienstleisters muss jede Lösung, die diese Schwachstellen schließen soll, mehrere wichtige Eigenschaften aufweisen. Eine angemessene Lösung…
- darf die gesamte IT insgesamt nur geringfügig beeinträchtigen, damit die Gesundheitsversorgung nicht gefährdet wird,
- muss wirksam sein, um Schwachstellen effektiv zu schließen,
- muss einfach zu implementieren sein, um schnell und möglichst unterbrechungsfrei eingesetzt zu werden,
- muss die Grundsätze des „Security by Design“ einbeziehen, um den IT-Aufwand zu minimieren und gleichzeitig die Sicherheit im gesamten System zu maximieren.
Nur, wenn diese Punkte gegeben sind, wird die Lösung dazu beitragen, sensible Patientendaten zu schützen und die Cybersicherheit im Gesundheitswesen zu verbessern.
Das wirksame Heilmittel: Privileged Access Management
Eine robuste Privileged Access Management (PAM)-Lösung kann diese Anforderungen erfüllen, aber nur, wenn sie mehrere Schlüsselkomponenten umfasst, die zusammenarbeiten. Erstens muss sie über eine Zugriffsverwaltungskomponente verfügen, die den Sicherheitsteams die Kontrolle und den Überblick über den privilegierten Zugriff ermöglicht. Manager müssen in der Lage sein, für jeden Benutzer Privilegien zu definieren, um sicherzustellen, dass er nur Systeme einsehen und Aufgaben ausführen kann, für die er berechtigt ist.
Darüber hinaus müssen Sitzungsmanagement-Funktionen sowohl in Echtzeit als auch automatisiert zur Verfügung stehen. Der Sitzungsmanager muss in der Lage sein, unangemessene Sitzungsaktivitäten zu erkennen und solche Sitzungen automatisch zu beenden oder Echtzeitwarnungen zu erzeugen. Er sollte alle Sitzungen protokollieren, was in einer Umgebung des Gesundheitswesens von entscheidender Bedeutung ist, um einen Prüfpfad für die Einhaltung von Vorschriften sowie als Schulungsinstrument und Diagnoseressource bereitzustellen.
Zu guter Letzt muss eine adäquate PAM-Lösung über eine starke Passwortverwaltungskomponente verfügen, die sicherstellt, dass die Passwörter ausreichend stark sind und regelmäßig erneuert werden. Sitzungsbasierte Passwortabläufe sind besonders nützlich für Auftragnehmer, da sie sicherstellen, dass Passwörter nicht ohne die Zustimmung des Sicherheitsteams wiederverwendet werden können.
Durch die Behebung dieser kritischen Schwachstellen mit einer umfassenden PAM-Lösung können Gesundheitsdienstleister ihre Cybersicherheit erheblich verbessern, sensible Patientendaten schützen und die Einhaltung strenger gesetzlicher Vorschriften gewährleisten.
