Eine neue Studie von Paubox zeigt: Die IT-Verantwortlichen im Gesundheitswesen überschätzen ihre E-Mail-Sicherheit massiv. ITWelt.at hat sich den Report angesehen. [...]
E-Mail bleibt das größte Einfallstor für Cyberangriffe im Gesundheitswesen – und dennoch bestehen laut dem aktuellen Paubox-Report eklatante Sicherheitslücken. Veraltete Systeme, mangelnde Integration von KI-gestützter Bedrohungserkennung und nutzerunfreundliche Lösungen führen zu einer trügerischen Sicherheit. Trotz hoher Selbstsicherheit unter den IT-Leitern offenbaren Auditdaten und Nutzerverhalten eine bedenkliche Diskrepanz zwischen wahrgenommener und tatsächlicher Sicherheit.
Vertrauen ohne Kontrolle
Laut Studie zeigen sich 92 Prozent der befragten IT-Leiter im Gesundheitswesen zuversichtlich, E-Mail-basierte Datenlecks verhindern zu können. Doch bei genauerem Hinsehen fällt auf: Oft handelt es sich dabei um nicht geprüfte Annahmen, etwa dass Verschlüsselung korrekt eingerichtet sei oder Drittsysteme die Einhaltung von HIPAA-Vorgaben (Health Insurance Portability and Accountability Act) gewährleisten.
In vielen Fällen hängt die Sicherheit davon ab, dass Nutzer manuell Verschlüsselungsfunktionen aktivieren – ein potenzielles Einfallstor für Fehler. Weitere Schwächen zeigen sich bei nur teilweise konfigurierten Authentifizierungsverfahren wie SPF oder DMARC sowie beim Fehlen formalisierter Reaktionsprozesse für sicherheitsrelevante E-Mail-Vorfälle.
Komplexität und Ressourcenmangel bremsen Umsetzung
Die größten Hindernisse bei der Implementierung sicherer E-Mail-Lösungen liegen laut Umfrage in der technischen Komplexität (54 Prozent), fehlender Herstellerunterstützung (53 Prozent) sowie Personalengpässen (45 Prozent). Auch institutionelle Widerstände – wie mangelnde Unterstützung durch Führungskräfte (44 Prozent) – und die tiefgreifende Integration veralteter Systeme (41 Prozent) verzögern notwendige Maßnahmen.
Zusätzlich führen Budgeteinschränkungen und die Angst vor Störungen im Arbeitsablauf dazu, dass viele Organisationen auf halbherzige oder ineffektive Lösungen setzen. Insgesamt zeigt sich ein systemisches Versagen, das durch kulturelle, organisatorische und technische Faktoren gleichermaßen bedingt ist.
Künstliche Intelligenz kaum genutzt
Obwohl 89 Prozent der Befragten KI-basierte Bedrohungserkennung als essenziell einschätzen, setzen nur 44 Prozent entsprechende Technologien tatsächlich ein. Angesichts zunehmend KI-generierter Phishing-Angriffe, die täuschend echt und gezielt auf Fachabteilungen wie Abrechnung, Personal oder klinische Teams ausgerichtet sind, stellt dies eine erhebliche Gefährdung dar.
Stattdessen verlassen sich viele Einrichtungen noch immer auf regelbasierte Filter, die modernen Täuschungstechniken nicht gewachsen sind. Angreifer nutzen öffentlich verfügbare Informationen, etwa aus sozialen Netzwerken, um täuschend echte E-Mails zu verfassen, die herkömmliche Systeme mühelos umgehen.
Sicherheitslücken werden unterfinanziert
Die Diskrepanz zwischen Risikopotenzial und finanzieller Absicherung ist frappierend: Weniger als sechs Prozent des IT-Budgets fließen in der Regel in Cybersecurity – verglichen mit zwölf Prozent im Finanzsektor oder über 20 Prozent in anderen Industriezweigen. Besonders problematisch: E-Mail-Sicherheit ist häufig kein eigener Budgetposten und geht in allgemeinen IT-Ausgaben unter.
Dabei ist das Risiko real und teuer: Die durchschnittlichen Kosten eines E-Mail-basierten Datenschutzvorfalls im Gesundheitswesen belaufen sich laut Studie mittlerweile auf 9,8 Millionen US-Dollar. Diese umfassen Bußgelder, Rechtsstreitigkeiten und betriebliche Ausfallzeiten.
Sicherheit, die im Alltag stört, wird umgangen
Ein zentrales Problem: 86 Prozent der IT-Verantwortlichen geben an, dass ihre derzeit eingesetzten E-Mail-Sicherheitslösungen den Arbeitsfluss behindern. Komplizierte Passwortanforderungen, hohe Fehlalarmquoten bei Spam-Filtern, umständliche Benutzeroberflächen oder Verzögerungen durch Verschlüsselung führen dazu, dass Mitarbeitende absichtlich sichere Verfahren umgehen.
Beispiele aus der Praxis zeigen, dass sensible Daten über unverschlüsselte E-Mails oder sogar SMS verschickt werden, weil Patienten oder Mitarbeitende mit den vorgesehenen Systemen nicht zurechtkommen. Damit untergräbt die eingesetzte Technologie die eigene Sicherheitsstrategie.
Irrglaube: Compliance gleich Sicherheit
Ein weiterer verbreiteter Irrtum: Der Erwerb einer HIPAA-konformen Lösung wird oft fälschlich als Garantie für Sicherheit interpretiert. Tatsächlich hängt die Einhaltung der Vorschriften stark von korrekter Konfiguration, laufender Überwachung und regelmäßiger Anpassung an neue Bedrohungen ab.
Auch Schulungen werden überschätzt: Zwar helfen sie, das Bewusstsein für Risiken zu schärfen – dennoch bleiben menschliche Fehler häufige Ursachen für Sicherheitslücken. Laut Studie werden über 95 Prozent aller Phishing-Versuche trotz Training nicht gemeldet.
Realitätsschock statt Selbstzufriedenheit
Die Autoren der Studie plädieren für eine nüchterne Bestandsaufnahme: IT-Verantwortliche im Gesundheitswesen sollen ihre bestehenden Systeme kritisch prüfen, auf automatisierte Verschlüsselung setzen, KI-gestützte Bedrohungserkennung implementieren und in Werkzeuge investieren, die sich nahtlos in bestehende Arbeitsabläufe einfügen.
Die größte Gefahr besteht demnach nicht im Unwissen, sondern in der trügerischen Sicherheit durch veraltete Annahmen. Sicherheit ist laut Bericht keine Checkliste, die einmal abgehakt wird – sondern ein fortlaufender Prozess, der Agilität, Wachsamkeit und angemessene Ressourcen erfordert.
Das Fazit der ITWelt-Redaktion
Die Studie offenbart eine gefährliche Diskrepanz zwischen gefühlter Sicherheit und realem Risiko in der E-Mail-Kommunikation im Gesundheitswesen. Besonders besorgniserregend ist die hohe Abhängigkeit von menschlichem Verhalten und nicht automatisierten Prozessen. Wer Patientendaten effektiv schützen will, muss auf durchdachte, nutzerfreundliche und KI-gestützte Lösungen setzen – und den Mut aufbringen, bestehende Systeme radikal zu überdenken. Die Studie kann hier heruntergeladen werden.
Be the first to comment