Krankenhäuser, Pflegeheime, Arztpraxen und andere Gesundheitseinrichtungen stehen in der Regel ganz oben auf der Angriffsliste von Cyberkriminellen und Malware-Anbietern. [...]
Während Krankenhäuser sich hauptsächlich darum kümmern müssen, die Patientenversorgung zu optimieren und auszuweiten (auch durch die Einführung moderner Technologien wie dem Internet der Dinge (IoT)), können sich Hacker darauf konzentrieren, die Schwachstellen, die sich aus solchen modernen Technologien ergeben, als Einfallstüren zu nutzen. Als Reaktion darauf haben Cyber Security-Lösungen inzwischen ein Schutzniveau erreicht, das schon fast militärische Standards erreicht, um die Vertraulichkeit von Patientendaten zu gewährleisten und hohe Bußgelder sowie Sammelklagen zu vermeiden.
Was bedeutet das für MSPs und IT Service Provider? Die Möglichkeit, die Sicherheits- und Backup-Systeme von Gesundheitsdienstleistern mit einer integrierten Schutzlösung zu modernisieren, mit der eine undurchdringliche Barriere zwischen den personenbezogenen Patientendaten und den Cyberkriminellen, die versuchen, jede Systemschwäche auszunutzen, erstellt werden kann.
Die Hacker haben die Nase weit vorn
Während der Pandemie haben die Menschen personenbezogene Daten wie noch nie zuvor geteilt – beispielsweise bei virtuellen Arzt-Visiten oder Remote-Untersuchungen. Sensible Daten wurden von Gesundheitsunternehmen jedoch auch schon vor 2020 in großen Mengen gespeichert.
Leider machen veraltete Systeme und begrenzte Budgets die Medizinbranche besonders anfällig für Cyberangriffe. Laut einem Bericht des US-amerikanischen Security Magazines gibt es insbesondere drei Gründe, warum Gesundheitsunternehmen mehr Angriffe erleben: weil sie mit hoher Wahrscheinlichkeit Lösegeld zahlen, weil Patientendaten besonders wertvoll sind und weil es oft unzureichende Sicherheitsvorkehrungen gibt. Patientendaten sind daher mittlerweile zu einem Top-Ziel von Kriminellen geworden. Geschützte Gesundheitsinformationen (PHI) gehören zu den begehrtesten Gütern im Dark Web. So beziffert die große Wirtschaftsauskunftei Experian den Wert einer gestohlenen Patientenakte durchschnittlich mit 1.000 US-Dollar.
Auf welche Weise dringen Cyberkriminelle in Arztpraxen, Kliniken und Hospitäler ein?
- Über E-Mail. Phishing-E-Mails sind einer der häufigsten Einstiegspunkte für Cyberkriminelle. So stieg beispielsweise im letzten Jahr in einem Zeitraum von sechs Monaten (bis Oktober 2022) die Zahl solcher Angriffe im Vergleich zum Vorjahr um 61% an. Laut einem Bericht von CNBC nahm dabei außerdem auch die Raffinesse solcher Angriffe zu. Das US-Gesundheitsministerium (HHS)untersucht mehr als 850 offene Fälle von Datenschutzverletzungen bei nicht ausreichend geschützten Gesundheitsdaten (laut dem HITECH-Gesetz muss die Behörde Datenschutzverletzungen veröffentlichen, die 500 oder mehr Personen betreffen). Viele dieser Angriffe sind über E-Mails erfolgt. Ein typisches Beispiel dafür ist der Krankenversicherungsanbeiter Highmark Inc, bei dem im Februar 2023 fast 240.000 Personen von einem E-Mail-Hack betroffen waren.
- Über medizinische Geräte. Die gleichen böswilligen Akteure nutzen aber noch andere Wege, um in Netzwerk-Server einzudringen. Aus einer Studie des Online-Marktplatzanbieters Capterra vom Ende letzten Jahres geht hervor, dass Gesundheitsunternehmen mit vernetzten Medizingeräten einer größeren Anzahl von Cyberangriffen ausgesetzt sind. Fast die Hälfte (48%) dieser Verstöße betraf die Krankenversorgung, während bei zwei Dritteln (67%) Patientendaten betroffen waren. Mehrere ähnliche Studien haben gezeigt, dass es bei vielen Datenschutzverletzungen die medizinischen Geräte (von MRT-Maschinen bis zu Herzfrequenzmessgeräten) sind, die eine Schwachstelle in der Cyberabwehr eines Krankenhauses darstellen.
Unternehmen des Gesundheitswesens sollten jetzt handeln
Datenschutzverletzungen können für Dienstleister und andere Unternehmen im Gesundheitswesen sehr kostspielig werden. Die gesetzlichen Regelungen (wie die US-amerikanischen HIPAA-Vorschriften) zum Schutz von Patientendaten sind extrem streng und die zuständigen Behörden können bei Verstößen hohe Geldstrafen verhängen, sodass Cyberkriminelle mit ihren Lösegeldforderungen am längeren Hebel sitzen.
Behördliche oder unternehmensinterne Strafen sind nur eine Folge von Cyberangriffen. CommonSpirit Health, eine der größten gemeinnützigen Krankenhausketten in den USA, sieht sich derzeit mit Sammelklagen konfrontiert, weil es 2022 in einigen Einrichtungen der Kette aufgrund eines Cyberangriffs zu Betriebsstörungen gekommen war. Einigen Berichten zufolge wurden bei diesem Vorfall die vertraulichen und potenziell sensiblen Informationen von mehr als 623.700 Personen exponiert. Dieser Vorfall zeigt, wie schnell ein einziger Angriff zu Schadenersatzforderungen in Millionenhöhe führen kann – zusätzlich zu den gesetzlichen Bußgeldern sowie den Kosten für die Wiederherstellung von Systemen und Daten.
Cyberkriminelle versuchen weiterhin, über Phishing-E-Mails und schwache Kennwörter unbefugt auf Netzwerke zuzugreifen. Auch nach außen exponierte Server und Datenbanken, die nicht mit angemessenen Cyber Security-Maßnahmen/-Technologie geschützt werden, ermöglichen leichte Zugriffe auf gespeicherte sensiblen Daten. Zwei gängige Maßnahmen, die MSPs ergreifen können, um ihre Kunden aus dem Gesundheitswesen effizienter zu schützen, sind Mitarbeiter- bzw. Sensibilisierungsschulungen sowie die Absicherung solcher Systeme, die bisher zu leicht zugänglich waren.
Auch das Stichwort „Edge Security“ wird immer wichtiger, wenn es um mehr Cyberhygiene und weniger Sicherheitsrisiken geht. Laut einem kürzlich veröffentlichten Bericht planen 44% der befragten Gesundheitsunternehmen, zukünftig zwischen 11% und 20% ihres gesamten IT-Budgets für diesen Bereich auszugeben.
Dies sind nur einige der vielen Datenschutzbelange im Gesundheitswesen, bei denen MSPs durch Acronis unterstützt werden können. Acronis Cyber Protect kann beispielsweise IT-Dienstleistern die zuverlässige Erkennung und Blockierung von solchen Malware-Varianten ermöglichen, die typischerweise für Datenschutzverletzungen und Ransomware-Angriffe eingesetzt werden. Die mehrschichtigen Schutzfähigkeiten und KI-basierten Verhaltenserkennungstechnologien der Plattform (zu denen auch eine integrierte Disaster Recovery-Option gehört) ermöglichen es, die Geschäftskontinuität von Unternehmen aller Größen zu gewährleisten – egal ob es sich um Arzt- oder Zahnarztpraxen, Krankenhäuser, Kliniken oder andere Gesundheitseinrichtungen handelt.
*Der Autor Candid Wüest ist VP Acronis Cyber Protection Research.
Be the first to comment