Cyber-Crime-Attacken auf Ziele, hinter denen Patientendaten zu vermuten sind. So waren Organisationen im Gesundheitsbereich im ersten Quartal 2023 pro Woche durchschnittlich mehr als 1.500 Angriffen ausgesetzt. Es ist damit zu rechnen, dass das Gesundheitswesen im Jahr 2023 unter den Branchen, die am häufigsten angegriffen werden, auf den dritten Platz klettern wird – noch vor der Kommunikationsbranche und dem Finanz- und Versicherungssektor.
Solche alarmierenden Zahlen erklären sich damit, dass der Gesundheitssektor eine Goldgrube an Daten über Verbraucher bietet, die von Cyber-Kriminellen kaum anderswo gemeinsam abgegriffen werden können. Zudem wird ein großer Teil dieser Daten mit veralteten IT-Systemen verwaltet, die Kriminellen leichtes Spiel bieten. So verwenden laut einer Umfrage der Healthcare Information and Management Systems Society (HIMSS) 73 Prozent der Organisationen im Gesundheitswesen alte IT-Systeme, die häufig Sicherheitslücken aufweisen und schwer zu warten sind. Für kriminelle Akteure, die Ransomware einsetzen, verspricht der Sektor lukrative Ziele, deren „Datenschätze“ sich ohne größeren Aufwand entwenden lassen.
In einem durchschnittlichen Krankenhaus mit 500 Betten finden sich inzwischen bis zu 10.000 vernetzte IoT-(Internet-of-Things)-Geräte zur Überwachung, Speicherung und Übertragung von sensiblen Daten und Patienteninformationen. Dem mit der zunehmenden Vernetzung und Digitalisierung einhergehenden Sicherheitsrisiko entspricht allerdings nicht immer eine adäquate Sicherheitsstrategie. Entsprechend hatte auch schon das Journal of the American Medical Association (JAMA) gewarnt, die Häufigkeit von Cyberangriffen auf Krankenhäuser und Gesundheitssysteme werde sich zwischen 2016 und 2021 mehr als verdoppeln. Nun wendet sich Itai Greenberg, CSO bei Check Point Software Technologies, mit einem Apell direkt an die Gesundheitsbranche: „Genauso wie es besser ist, einen Patienten zu impfen, um ihn vor einer Infektion zu schützen, ist es besser, Cyberangriffe zu erkennen und zu verhindern, bevor sie ein Netzwerk erreichen.“ Mit der fortschreitenden Digitalisierung ihrer Dienste dehnen die Organisationen des Gesundheitswesens ihre Netzwerke immer weiter aus, Anstrengungen im Bereich der Cyber-Sicherheit müssen aber mit dem Innovationstempo Schritt halten.
Die Umsetzung von Zero-Trust-Prinzipien, da sind sich Experten mehrheitlich einig, ist für Organisationen im Gesundheitswesen unerlässlich, um die Sicherheit von Patientendaten und kritischen Infrastrukturen zu gewährleisten. „Daten müssen auch klassifiziert werden“, so Greenberg, „um auf die richtige Weise geschützt zu werden. Die Sicherung unstrukturierter Daten wie Text-, Foto-, Video- und Audiodaten oder die Fernchirurgie mit Robotersystemen wie ‚Da Vinci‘ erfordern alle ein unterschiedliches Maß an Schutz und Kontrolle.“ Organisationen im Gesundheitswesen können sich den Herausforderungen durch Cyber-Risiken stellen, indem sie eine kontinuierliche Identitätsüberprüfung implementieren und präventive Sicherheitsmaßnahmen in Echtzeit einführen. Das zugrundeliegende Prinzip sollte, so Greenberg, „Never trust, always verify (Vertraue niemals, überprüfe immer) lauten. „Wenn Gesundheitsorganisationen den kommenden Sturm überleben wollen“, da ist sich Sicherheitsexperte Greenberg sicher, „müssen sie diese Cyberkultur übernehmen“.