Das Gesundheitswesen ist mit Hinblick auf die Cybersecurity mit keiner anderen Branche vergleichbar. Kriminelle sind bereit, die Anfälligkeit des Healthcare-Sektors voll auszunutzen: Betrifft die Bedrohung ihre privaten Daten und ihr Wohlbefinden, sind Menschen viel eher bereit, sich Forderungen zu fügen. Ende 2020 stiegen die Cyberangriffe auf Einrichtungen im Gesundheitswesen weltweit um 45 %. Darüber hinaus ist der Druck durch gesetzliche Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder den Health Insurance Portability and Accountability Act (HIPAA) ebenfalls eine große Motivation zu mehr Datenschutz. Die meisten Unternehmen und Organisationen wären kaum in der Lage, die Geldstrafen zu zahlen, sollte es zu einer Datenschutzverletzung aufgrund unzureichender Schutzmaßnahmen kommen.

Wie in den meisten Branchen zog die Pandemie auch in der IT einschneidende Veränderungen nach sich, da viele Mitarbeiter von zu Hause aus arbeiten mussten. Auch wenn dies nicht für alle Mitarbeiter im Gesundheitswesen galt, mussten die Institutionen dennoch Möglichkeiten für Remote Work einrichten – etwas, was zuvor nicht unbedingt eine große Rolle spielte. Die vorhandenen VPNs waren daher nicht den Anforderungen gewachsen und wurden zu erheblichen Sicherheitslücken. Dies eröffnete Cyberkriminellen neue Möglichkeiten.

Auch Geld ist ein wichtiger Faktor in der Entwicklung von Cybersecurity-Praktiken geworden. Vielen kleineren medizinischen Einrichtungen fehlt das Budget, um ein hochmodernes Sicherheitssystem zu implementieren – und Kriminelle sind sich dessen bewusst. Aus diesem Grund gehören kleinere Unternehmen zu den beliebtesten Zielen für Hacker, da diese wissen, dass dort die Abwehrmechanismen schwächer und leichter zu durchdringen sind. Die wichtigsten Teile des Healthcare-Datensicherheit-Puzzles zu kennen, wird dabei helfen, den Einrichtungen und ihren Patienten eine sichere Zukunft zu ermöglichen.

Der Aufstieg in die Cloud

Die Migration in die Cloud ist für Unternehmen oft der erste Schritt zur digitalen Transformation. Die größere Flexibilität, die Zugänglichkeit und die Sicherheit der Cloud sind für Unternehmen attraktive Vorteile. Dennoch gibt es immer noch einige Hindernisse für den Fortschritt im Gesundheitswesen. Oftmals verfügen etablierte Institutionen über mehrere Legacy-Systeme und sind daher weniger bereit, eine Cloud einzuführen. Diese Systeme können nicht immer mit der Cloud synchronisiert werden. Zudem gehen Legacy-Systeme oft mit veralteten Rechenzentren einher, die nicht mit den neuesten Sicherheitsupdates übereinstimmen. Dies macht sie wiederum anfällig für Cyberangriffe. Die Daten aus dem alten System in die Cloud zu übertragen, ist – angesichts der schieren Menge an Daten, die sich über die Jahre angesammelt hat – keine leichte Aufgabe. Einrichtungen denken dabei oft, dass sie bereits so viel in ihre Rechenzentren investiert haben, dass ihnen die Umstellung auf eine Cloud als unnötiger Aufwand und Kostenpunkt erscheint.

Neuere Unternehmen und Organisationen starten jedoch direkt mit der Cloud. Dadurch ist die Implementierung mit deutlich weniger Aufwand verbunden. Die Cloud ist beispielsweise bei Start-ups beliebt, da diese nicht unbedingt die Kosten und das Personal für die Verwaltung eines Rechenzentrums aufbringen können. Zudem sind sie nicht von Altsystemen abhängig, die ihnen Probleme bei der Cloud-Migration bereiten könnten. Allerdings bietet auch die Cloud viele Möglichkeiten für Hacker – wenn nicht die erforderlichen Sicherheitsmaßnahmen ergriffen werden.

Bedrohungen auf beiden Seiten des Perimeters

Die Cloud bietet Unternehmen zwar diverse Vorteile, fügt aber auch eine neue Ebene an Komplexität für Sicherheitsteams hinzu. Die Aufrechterhaltung eines hohen Sicherheitsniveaus im gesamten Unternehmensnetzwerk wird deutlich schwieriger, wenn die Teams über mehrere Umgebungen verteilte Daten lokalisieren und sichern müssen.

Eine der größten Bedrohungen ist jedoch das falsche Sicherheitsgefühl, das oft mit einem sicheren Perimeter um die Cloud einhergeht. Unternehmen müssen die Cloud als physische Erweiterung ihrer Infrastruktur behandeln, so dass sie die gleichen Sicherheiten wie ein Rechenzentrum erhält. Einige glauben jedoch, dass mit den Sicherheitsmaßnahmen am äußeren Perimeter (wie Firewall und Co.) auch die Netzwerke im Inneren gleichermaßen geschützt sind. Dies ist leider nicht der Fall. Phishing-E-Mails und andere Bedrohungsvektoren können Angreifern Zugang zum Inneren des Unternehmens verschaffen – und Hacker werden in ihren Techniken immer raffinierter. Einige Cyberangriffe können selbst die fortschrittlichsten E-Mail-Sicherheitssysteme umgehen. Alternativ können auch interne Bedrohungen wie unzufriedene Mitarbeiter durch das Durchsickernlassen privater Anmeldedaten oder anderer vertraulicher Informationen erheblichen Schaden anrichten.

Healthcare-Einrichtungen sollten sich auch der Risiken durch Dritte bewusst sein. Auch wenn die eigene Cybersicherheit den geltenden Anforderungen entspricht, bedeutet dies nicht zwangsläufig, dass die Supply Chain die gleichen Vorkehrungen getroffen hat. Die Auswirkungen können allerdings ebenso verheerend sein. So kam es beispielsweise bei der San Diego Family Care zu einem Datendiebstahl, bei dem sensible Daten von 125.000 Patienten kompromittiert wurden. Die Sicherheitslücke wurde nicht von der Einrichtung, sondern von dem Cloud-Anbieter verursacht. Trotzdem wurde das Unternehmen aufgrund der Vorschriften verantwortlich gemacht und musste die Versicherungen der Betroffenen auszahlen.

Compliance vs. Sicherheit

Einrichtungen im Gesundheitswesen sollten außerdem die Unterschiede zwischen Compliance und Sicherheit kennen. Die Einhaltung von Vorschriften wie DSGVO oder HIPAA schützt Unternehmen zwar vor Geldstrafen, falls es zu einem Datenleck kommen sollte, sie gewährleistet jedoch nicht die erforderlichen Sicherheitsmaßnahmen. Stattdessen wird sie zu gegebener Zeit zu einer Art Pflichtübung, der anschließend aber nicht mehr nachgegangen wird.

Security-Teams sollten deshalb den umgekehrten Weg gehen: Ein sicheres System wird auch Compliance gewährleisten. Die Verordnungen wurden erlassen, um Unternehmen zu ermutigen, die erforderlichen Schutzmaßnahmen gegen Cyberangriffe zu ergreifen – und nicht, um sich mit dem Minimum zufriedenzugeben.

Also, was sind nun die notwendigen Sicherheitsvorkehrungen?

Die Best Security Practices für das Gesundheitswesen

Es gibt mehrere Methoden, die medizinische Einrichtungen für ihre IT-Sicherheit in Betracht ziehen sollten – und keine davon muss zwangsläufig das Budget sprengen. Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Schutzebene für vertrauliche Daten und alles außerhalb der Organisation. Ob VPN, E-Mail-Accounts oder Webanwendungen – MFA kann helfen, Angriffe abzuwehren.

Vulnerability Scans geben nur Aufschluss darüber, welche Komponenten des Systems angreifbar sind. Penetrationstests gehen einen Schritt weiter: Hier versuchen Testing-Experten, sich in das System zu hacken, und prüfen, wie weit sie kommen. Indem man nicht nur weiß, welche Art von Schwachstelle vorhanden ist, sondern auch, wie weit diese reicht, lassen sich Sicherheitsvorkehrungen auf lange Sicht verbessern.

Die wichtigste Erkenntnis für Healthcare-Einrichtungen ist, dass jeder Bereich des Netzwerks geschützt werden muss, nicht nur der äußere Perimeter. Die Geschwindigkeit, mit der sich Cyberangriffe entwickeln, macht es unmöglich, Bedrohungen vorherzusehen. Wir können nie wirklich voraussagen, wie jemand versuchen wird, auf das Netzwerk zuzugreifen. Daher ist es wichtig, ein angemessenes Sicherheitsniveau auf das gesamte System anzuwenden. Einrichtungen im Gesundheitswesen sind für die Sicherheit tausender vertraulicher Dateien verantwortlich und müssen das Vertrauen der Patienten aufrechterhalten. Daher gilt es, nicht nur die eigenen Cloud-Systeme mit ausreichenden Sicherheitslösungen auszustatten. Auch bei Drittanbietern muss sichergestellt werden, dass alle Zugangspunkte zum Netzwerk – einschließlich denen in der Lieferkette – abgedeckt sind.

Unabhängig von der Unternehmensgröße wird die Gesundheitsbranche eines der lukrativsten Ziele für Cyberkriminelle bleiben – und die Branche muss darauf vorbereitet sein, den Angreifern frontal zu begegnen.