{{{sourceTextContent.title}}}

CYBERSICHERHEIT IM GESUNDHEITSWESEN: BEDROHUNGEN UND DEREN VERMEIDUNG

{{{sourceTextContent.subTitle}}}

Schutz der Patienten sowohl virtuell als auch im Krankenhaus

{{{sourceTextContent.description}}}

Der Gesundheitssektor hat von der weit verbreiteten Nutzung des Internets und spezialisierter medizinischer Computer enorm profitiert. Elektronische Gesundheitsakten, Telemedizin und Geräte des Internets der Dinge (IoT) sind nur einige der Vorteile, die Krankenhäuser und Praxen in diesem digitalen Zeitalter genießen.

Leider sind all diese Daten, die zwischen elektronischen Geräten des Gesundheitswesens hin und her übertragen werden, ein bevorzugtes Ziel für Cyberkriminelle. Bis zum 22. September 2023 untersuchte das Office of Civil Rights des U.S. Department of Health and Human Services allein in den letzten 24 Monaten 907 Datenschutzverletzungen. Jede dieser Verletzungen betraf mindestens 500 Personen, wobei die größte Verletzung über 11 Millionen Menschen betraf. Cybersicherheit im Gesundheitswesen ist nicht nur eine Angelegenheit für IT-Teams, sondern ein wichtiges Anliegen für jeden Mitarbeiter auf allen Ebenen der Branche.

Datensensibilität im Gesundheitswesen

Daten im Gesundheitswesen, einschließlich medizinischer Aufzeichnungen, persönlicher Daten und Versicherungsinformationen, sind äußerst sensibel und vertraulich:

Persönliche Gesundheitsinformationen (PHI): PHI umfassen Informationen über die Krankengeschichte, Diagnosen, Behandlungen und Verschreibungen einer Person. Der unbefugte Zugriff auf diese Daten kann zu Identitätsdiebstahl und Versicherungsbetrug führen oder sogar das Leben des Patienten gefährden, wenn medizinische Aufzeichnungen geändert oder missbraucht werden.

Finanzielle Informationen: Krankenakten enthalten oft Abrechnungs- und Versicherungsdaten, was sie für Cyberkriminelle attraktiv macht, um finanzielle Gewinne zu erzielen.

Eine Datenpanne im Gesundheitswesen kann dazu führen, dass das Vertrauen zwischen Patienten und Gesundheitsdienstleistern verloren geht. Die Patienten erwarten, dass ihre sensiblen Daten geschützt werden, und Verstöße können das Vertrauen in die Gesundheitseinrichtungen untergraben.

Hauptakteure der Cybersicherheit im Gesundheitswesen

Mehrere Interessengruppen sind für die Cybersicherheit im Gesundheitswesen verantwortlich, darunter Patienten, Führungskräfte, Mitarbeiter und Gerätehersteller/Lieferanten. Alle Beteiligten sollten bewährte Verfahren für die Cybersicherheit befolgen.

Patienten müssen darüber aufgeklärt werden, wie sie sicher mit ihren Gesundheitsdienstleistern kommunizieren können. Sie müssen auch die Datenschutz- und Sicherheitsrichtlinien verstehen und wissen, wie sie ihre persönlichen Daten schützen können. Dies ist besonders wichtig, wenn sie virtuell mit ihrem Anbieter interagieren, beispielsweise über Telemedizin-Plattformen.

Die Führungsebene legt die Richtlinien fest, die den Ansatz einer Gesundheitsorganisation in Bezug auf die Cybersicherheit bestimmen. Viele Unternehmen beschäftigen inzwischen einen Chief Information Security Officer (CISO), der dem Chief Financial Officer oder Chief Marketing Officer gleichgestellt ist. Die Aufgabe des CISO besteht darin, sich auf die allgemeine Cybersicherheitsstrategie des Unternehmens zu konzentrieren, während die ihm unterstellten Mitarbeiter diese umsetzen.

Die Mitarbeiter von Gesundheitseinrichtungen sind dafür verantwortlich, die Datenschutz- und Sicherheitsrichtlinien ihrer Organisation zu verstehen. Sie müssen außerdem regelmäßig in bewährten Verfahren der Cybersicherheit geschult werden, in der Lage sein, diese Richtlinien den Patienten zu erklären, und wissen, was in einem Cybersicherheitsnotfall zu tun ist.

Hersteller und Marktanbieter müssen Produkte mit strengen Optionen für Cybersicherheit und Datenschutz anbieten. Da die Anbieter oft über erhöhte Zugangsdaten oder Privilegien bei mehreren Gesundheitseinrichtungen verfügen, müssen sie besonders darauf achten, dass es bei ihnen nicht zu einer Datenpanne kommt, damit diese kompromittierten Zugangsdaten nicht gegen ihre Kunden verwendet werden können.

Häufige Cybersecurity-Bedrohungen im Gesundheitswesen

Cyberkriminelle verfügen über ein ganzes Arsenal an Taktiken und Werkzeugen, um in ein Netzwerk im Gesundheitswesen einzubrechen und Daten zu stehlen. Dies sind nur einige der Möglichkeiten, wie ein Hacker das Netzwerk einer Gesundheitsorganisation angreifen kann.

Phishing

Beim Phishing wird in betrügerischer Absicht versucht, Personen zur Preisgabe vertraulicher Informationen, wie z. B. Anmeldeinformationen oder persönliche Daten, zu verleiten, indem man sich als vertrauenswürdiges Unternehmen ausgibt, das dem Empfänger bekannt ist. Cyberkriminelle verwenden häufig gefälschte E-Mails oder Textnachrichten, um die Zielperson aufzufordern, einen Link zu öffnen oder ein Programm herunterzuladen, für das sie ihre Anmeldedaten oder andere persönliche Informationen angeben muss, die später missbraucht werden sollen

So kann beispielsweise ein Angestellter eine scheinbar legitime E-Mail erhalten, in der er aufgefordert wird, seine Anmeldedaten zu aktualisieren, und so unwissentlich Cyberkriminellen Zugang gewährt.

Phishing ist eine weit verbreitete Form der Cyberkriminalität, die nur einen minimalen Aufwand für den Kriminellen erfordert und eine der schwächsten Stellen in jedem Sicherheitssystem ausnutzt - den Menschen. Dies kann zu unbefugtem Zugriff auf Patientendaten, finanziellem Betrug oder der Einschleusung von Malware in Gesundheitssysteme führen.

Ransomware

Ransomware ist eine bösartige Software, die die Daten einer Organisation verschlüsselt und sie unzugänglich macht, bis ein Lösegeld an den Angreifer gezahlt wird. Einrichtungen des Gesundheitswesens sind aufgrund des kritischen Charakters der Patientendaten ein bevorzugtes Ziel.

Wenn das Opfer das Lösegeld nicht zahlt, laden die Hacker die gestohlenen Daten oft ins Internet hoch oder deaktivieren das Gerät, das sie in ihre Gewalt gebracht haben, dauerhaft. Ransomware-Angriffe gefährden die Privatsphäre und Sicherheit der Patienten und können das System der Einrichtung lahmlegen.

Allein im Jahr 2022 wurde das Gesundheitswesen Ziel von 210 gemeldeten Ransomware-Angriffen. Von einem der größten Angriffe auf CommonSpirit Health waren über 620 000 Patienten betroffen.

Man-in-the-Middle-Angriffe (MITM)

Bei einem MITM-Angriff fangen Cyberkriminelle übermittelte Daten ab, während sie ein Netzwerk durchlaufen.

Eine der einfachsten Möglichkeiten, dies zu tun, ist das Öffnen von Wi-Fi-Hotspots an einem öffentlichen Ort, z. B. in einem Krankenhaus. Diese Hotspots tragen oft den Namen des Ortes im Netzwerk, werden aber in Wirklichkeit von bösartigen Akteuren betrieben. Bei anderen fortgeschrittenen Techniken imitieren die Kriminellen IP-Adressen, um die Nutzer auf ihre gefälschten Websites umzuleiten, anstatt sie an ihr eigentliches Ziel zu führen.

Unabhängig von ihren Methoden kann ein MITM-Angreifer, der sich Zugang zu Ihren Nachrichten verschafft, versuchen, diese zu entschlüsseln und zu lesen. Sobald dies geschehen ist, kann der Angreifer die gehackten Nachrichten nutzen, um Identitätsdiebstahl zu begehen, den Geschäftsbetrieb zu stören oder - je nach Inhalt der abgefangenen Nachrichten - sogar noch Schlimmeres anzurichten.

Physische Sicherheit

Trotz der vielfältigen Möglichkeiten der Ferninfiltration ist eine der einfachsten Möglichkeiten für Hacker, sich Zugang zu einem Netzwerk zu verschaffen, ein in diesem Netzwerk verwendetes Gerät in die Hände zu bekommen. Einmal gestohlen, können Hacker das Gerät nutzen, um auf Patientenakten, Versicherungsdaten und vieles mehr zuzugreifen. Schlimmer noch: Da sie ein registriertes Gerät im Netzwerk verwenden, werden ihre Aktionen erst dann als unrechtmäßig erkannt, wenn es zu spät ist, sie zu stoppen. Aus diesem Grund sind Sicherheitsfunktionen wie SSO und RFID, die nur autorisiertem Personal die Nutzung der Geräte einer Gesundheitsorganisation erlauben, so wichtig.

Verteilte Denial-of-Service-Angriffe (DDoS)

Ein DDoS-Angriff besteht aus einer Flut von gefälschten Verbindungsanfragen, die auf denselben Server gerichtet sind. Dies führt zu einer Verlangsamung oder einem Absturz des Servers, da er mit der überwältigenden Anzahl von Anfragen nicht mehr Schritt halten kann. Im Gesundheitswesen kann dies dazu führen, dass Netzwerkressourcen unbrauchbar werden und Gesundheitsdienstleister nicht mehr auf Gesundheitsdaten von Patienten zugreifen oder ihre Geräte verwenden können.

DDoS-Angriffe werden oft in Verbindung mit anderen Arten von Cyberkriminalität eingesetzt. So kann beispielsweise ein Gerät, das bereits durch Malware kompromittiert ist, als Teil eines DDoS-Angriffs verwendet werden, ohne dass der Besitzer dies überhaupt bemerkt.

Folgen von Cybersecurity-Datenverletzungen im Gesundheitswesen

Gesundheitsdienstleister, die von einer Datenpanne betroffen sind, müssen mit verschiedenen schmerzhaften Konsequenzen rechnen, die von finanziellen Verlusten bis hin zu rechtlichen Auswirkungen reichen.

Bedenken hinsichtlich der Privatsphäre der Patienten

Daten aus dem Gesundheitswesen sind auch deshalb ein so verlockendes Ziel für Kriminelle, weil sie so viele private Informationen enthalten. Zu den Daten, die bei einem Datenschutzverstoß gefährdet sein können, gehören beispielsweise Gesundheitszustände, Behandlungen und persönliche Identifikationsdaten wie Kontaktdaten, Sozialversicherungsnummern und finanzielle Informationen.

Wenn diese Daten aufgrund einer Sicherheitsverletzung in die falschen Hände geraten, kann dies zu schwerwiegenden Datenschutzproblemen führen, einschließlich:

Identitätsdiebstahl: Cyberkriminelle können gestohlene Patientendaten verwenden, um Identitätsdiebstahl zu begehen, Kreditlinien zu eröffnen, medizinische Leistungen zu erhalten oder unter dem Namen des Opfers betrügerische Aktivitäten zu unternehmen.

Stigmatisierung: Patienten können sozial stigmatisiert oder diskriminiert werden, wenn ihre medizinische Vorgeschichte, z. B. psychische Diagnosen oder Behandlungen wegen Drogenmissbrauchs, öffentlich bekannt wird.

Emotionale Belastung: Das Wissen, dass ihre privaten Gesundheitsdaten kompromittiert wurden, kann für die Patienten eine erhebliche emotionale Belastung darstellen und das Vertrauen in Anbieter und Einrichtungen des Gesundheitswesens untergraben.

Auswirkungen auf die Patientenversorgung

Eine Datenpanne kann schwerwiegende Folgen haben, z. B. den Verlust des Netzwerkzugangs oder die vollständige Abschaltung eines Geräts. Dies kann zu frustrierenden Situationen führen, wie z. B. der Unmöglichkeit, auf die elektronischen Gesundheitsdaten eines Patienten zuzugreifen, oder in extremen Fällen dazu, dass lebenserhaltende Geräte ohne Vorwarnung abgeschaltet werden.

Ausfallzeit: Angriffe wie Ransomware können zu Systemausfällen führen, die das medizinische Personal daran hindern, auf Patientenakten zuzugreifen, und wichtige medizinische Verfahren verzögern.

Datenintegrität: Sicherheitsverletzungen können die Integrität von Patientenakten beeinträchtigen, was zu fehlerhaften Behandlungsentscheidungen und potenziell schädlichen Folgen für die Patienten führen kann.

Verlust von Vertrauen: Patienten können das Vertrauen in Anbieter und Einrichtungen des Gesundheitswesens verlieren, was zu einer Zurückhaltung bei der Weitergabe sensibler Informationen oder der Inanspruchnahme von Leistungen führt.

Umleitung von Ressourcen: Durch die Reaktion auf Cybersicherheitsvorfälle werden Ressourcen von der Patientenversorgung abgezogen, was sich auf die Abläufe im Gesundheitswesen und die Produktivität der Mitarbeiter auswirkt.

Finanzielle Verluste

Kosten für die Wiederherstellung von Daten, Rechtskosten und Rufschädigung führen dazu, dass sich die durchschnittlichen Kosten für Datenschutzverletzungen im Gesundheitswesen im Jahr 2023 auf etwa 11 Millionen US-Dollar belaufen. Das ist fast doppelt so viel wie in der zweitteuersten Branche, dem Finanzsektor, mit 5,9 Millionen Dollar pro Datenschutzverletzung. Diese Kosten ergeben sich aus der Unterbrechung lebenswichtiger Dienste, deren Ausfall sich Krankenhäuser nicht leisten können, und aus der Häufigkeit von Ransomware-Angriffen auf Gesundheitsdienstleister.

Leider nehmen die Zahl der Datenschutzverletzungen und die damit verbundenen Kosten jährlich zu, da immer mehr Cyberkriminelle erkennen, was für ein verlockendes Ziel die Gesundheitsbranche ist.

Rechtliche und regulatorische Konsequenzen

Selbst nachdem die Datenschutzverletzung erkannt und versiegelt wurde, fangen die Probleme eines Gesundheitsdienstleisters möglicherweise erst an. Gesundheitsdaten von Patienten unterliegen strengen Vorschriften, und wenn ein Unternehmen oder ein Anbieter nachlässig mit der Speicherung oder dem Schutz dieser Daten umgeht, kann dies erhebliche rechtliche Konsequenzen nach sich ziehen. Verstöße gegen den HIPAA können beispielsweise zwischen 100 und 50.000 US-Dollar pro Verstoß kosten. Besonders fahrlässige Verstöße können sogar mit Gefängnisstrafen geahndet werden.

Ein weiteres Problem stellen Sammelklagen von Privatpersonen dar. So wurde beispielsweise das Johns Hopkins Health System vor kurzem verklagt, nachdem es zu einer Datenpanne gekommen war. In der Klage wird Johns Hopkins vorgeworfen, sich der "mangelhaften" IT-Sicherheit bewusst gewesen zu sein, aber nicht gehandelt und die von der Sicherheitsverletzung betroffenen Personen nicht rechtzeitig benachrichtigt zu haben.

Bewährte Praktiken für die Cybersicherheit im Gesundheitswesen

Organisationen des Gesundheitswesens müssen bewährte Verfahren für die Cybersicherheit anwenden, um Bedrohungen und Folgen abzumildern.

Zugriffskontrolle und Authentifizierung

Medizinische Computer verfügen häufig über Zugangskontrollmethoden wie RFID-Lesegeräte oder Smartcards, um die physische Sicherheit zu gewährleisten. Personen, die versuchen, den Computer ohne die richtige Identifizierung zu benutzen, werden ausgesperrt. Selbst so etwas Einfaches wie ein Sichtschutz kann verhindern, dass neugierige Augen den Computer ausspähen, während ein Gesundheitsdienstleister sein Passwort eingibt.

Mitarbeiterschulung und Sensibilisierung

Die häufigste Art von Cyberangriffen, das Phishing, beruht darauf, dass das Ziel unaufmerksam und übermäßig vertrauensvoll ist. Wenn die Mitarbeiter lernen, Phishing-Taktiken zu erkennen und zu melden und Spam-Filter richtig zu nutzen, können sie verhindern, dass es überhaupt zu Sicherheitsverletzungen kommt.

Ähnliche Schulungen für eine prompte Reaktion auf eine Benachrichtigung über einen Sicherheitsverstoß, die Verwendung der Multi-Faktor-Authentifizierung und andere Grundlagen der Cybersicherheit können einen großen Beitrag zum Schutz von Organisationen im Gesundheitswesen leisten.

Verschlüsselung und Datenschutz

Die Implementierung der Verschlüsselung sensibler Daten ist ein wichtiger Bestandteil der Cybersicherheit. Dadurch wird sichergestellt, dass böswillige Akteure zwar Zugang zu Ihren Daten erhalten, aber nichts damit anfangen können, wenn sie nicht im Besitz der Entschlüsselungsschlüssel sind. Aus diesem Grund sollten Sie standardmäßig nur medizinische Tablets und Computer mit Verschlüsselungssoftware wie Imprivata verwenden.

Sichern Sie außerdem regelmäßig kritische Gesundheitsdaten und -systeme, um die Wiederherstellung der Daten im Falle eines Vorfalls zu gewährleisten.

Internet der Dinge

Moderne Krankenhäuser stützen sich zunehmend auf drahtlose Gerätenetzwerke, die als Teil eines "Internets der Dinge" miteinander interagieren So kann beispielsweise das Herzfrequenzmessgerät eines Patienten Informationen drahtlos an den Computer eines Gesundheitsdienstleisters zur Fernüberwachung übermitteln.

Das Problem bei diesen Geräten ist jedoch, dass sie oft eine stärkere Cybersicherheit benötigen. Dies gilt insbesondere für ältere Systeme, auf die sich viele Krankenhäuser noch verlassen. Durch den Anschluss dieser älteren Geräte an einen moderneren medizinischen Computer kann ein Krankenhaus sie weiter verwenden und gleichzeitig modernere Cybersicherheitsmaßnahmen einführen.

Reaktion auf Vorfälle und Wiederherstellung

Wenn das Schlimmste eintritt und Ihre Gesundheitseinrichtung von einer Datenpanne betroffen ist, ist es wichtig zu wissen, wie man darauf reagiert. Betrachten Sie die Reaktion auf einen Vorfall wie einen Evakuierungsplan für den Brandfall, d. h. als etwas, das vorbereitet, aktualisiert und trainiert wird. Je schneller Ihre Organisation ihre Systeme sichern und Sicherheitslücken schließen kann, desto geringer ist der Schaden, den Sie erleiden.

Entwickeln Sie einen umfassenden Plan für die Reaktion auf Vorfälle, in dem die Schritte festgelegt sind, die im Falle eines Verstoßes gegen die Cybersicherheit zu unternehmen sind.

Testen und aktualisieren Sie den Reaktionsplan regelmäßig, um sicherzustellen, dass er wirksam bleibt.

Erstellen Sie klare Kommunikationsprotokolle, um die Beteiligten, einschließlich Patienten und Aufsichtsbehörden, im Falle einer Datenschutzverletzung zu informieren.

Verhindern Sie Cyberangriffe mit den richtigen medizinischen Computern

Die Zahl der Cyberangriffe auf Einrichtungen des Gesundheitswesens und die damit verbundenen Kosten nehmen stetig zu. Angesichts der schwerwiegenden Folgen müssen Gesundheitseinrichtungen der Cybersicherheit höchste Priorität einräumen.

Wenn Ihre Organisation ihre Cybersicherheit verbessern möchte, sollten Sie das Angebot an spezialisierten medizinischen Computern von Cybernet Manufacturing in Betracht ziehen. Unsere Computer wurden nicht nur speziell für medizinische Umgebungen entwickelt, sondern verfügen auch über mehrere Funktionen, die sie besser vor Bedrohungen durch Cyberkriminalität schützen, z. B. Imprivata-Verschlüsselung und RFID-Scanner, um unbefugten Zugriff auszuschließen. Wenden Sie sich noch heute an unsere Experten; wir helfen Ihnen gerne bei der Auswahl des richtigen medizinischen Computers für die Anforderungen Ihres Unternehmens.