Schätzungen zufolge waren im Jahr 2024 von den beiden größten Cybervorfällen im Gesundheitswesen über 100 Millionen Menschen betroffen, darunter Patienten und Anbieter in einer vernetzten digitalen Landschaft von Versicherern und Gesundheitsdienstleistern. Bis Oktober 2024 wurden in den USA 386 Cybersecurity-Angriffe gegen das Gesundheitswesen und Drittanbieter gemeldet, wobei Change Healthcare und Kaiser Permanente zu den bedeutendsten Verstößen gehörten. Es war objektiv gesehen das schlimmste Jahr aller Zeiten für Sicherheitsverletzungen im Gesundheitswesen.
Da ein Ransomware-Angriff Systeme und angeschlossene Geräte als Geiseln halten kann, bis ein Lösegeld gezahlt wird, wissen bösartige Akteure, dass das Gesundheitswesen ein Hauptziel ist; sie setzen auf den Wunsch, Unterbrechungen bei kritischen Patienten zu reduzieren, als starke Motivation für die Zahlung. Die Bedrohung der Gesundheitssysteme weltweit ist so ernst, dass die Vereinten Nationen sie als "globale Bedrohung, die nicht ignoriert werden kann" bezeichnet haben. Der Generaldirektor der UNO stellte fest: "Ransomware und andere Cyberangriffe auf Krankenhäuser und andere Gesundheitseinrichtungen sind nicht nur eine Frage der Sicherheit und Vertraulichkeit, sondern können über Leben und Tod entscheiden. Im besten Fall führen diese Angriffe zu Störungen und finanziellen Verlusten. Im schlimmsten Fall untergraben sie das Vertrauen in die Gesundheitssysteme, auf die die Menschen angewiesen sind, und führen sogar zu Schäden und zum Tod von Patienten."
Der Direktor für Cybersicherheit von McLaren Health, Doug Vondera, diskutierte kürzlich mit der Direktorin für strategische Allianzen von Censys , Celestine Jahren, über aktuelle Entwicklungen im Bereich der Cybersicherheit im Gesundheitswesen, wobei der Schwerpunkt auf den Herausforderungen - und Chancen - lag, mit denen Sicherheitsverantwortliche konfrontiert sind. Hier sind einige der wichtigsten Erkenntnisse aus ihrem Gespräch.
Herausforderungen für die Sicherheit im Gesundheitswesen
Mit der Weiterentwicklung der Cybersicherheits-Tools haben sich auch die Methoden böser Akteure weiterentwickelt. Ihre Taktiken entwickeln sich ebenso schnell weiter wie die Sicherheitstools, die entwickelt werden, um sie zu stoppen. Wie Vondera und Jahren erörterten, gibt es einige wichtige Aspekte, die das Gesundheitswesen besonders anfällig für Bedrohungen machen.
Das Gesundheitswesen hat erhebliche Probleme mit der Technologieverschuldung
Fusionen und Übernahmen liegen in der Natur moderner Gesundheitsnetze. Die Zusammenführung mehrerer Organisationen, die jeweils über ihre eigene Technologie verfügen, kann zu erheblichen technischen Schulden und Sicherheitslücken führen. Dies macht es böswilligen Akteuren leichter, Schwachstellen durch Phishing, nicht gepatchte Software und sogar Existenzsicherungstechniken auszunutzen.
Beschäftigte im Gesundheitswesen sind keine Sicherheitsexperten
Krankenhauspersonal, Klinikmitarbeiter, Forscher und alle anderen, die an vorderster Front des Gesundheitswesens tätig sind, melden sich täglich tausende Male bei Gesundheitsportalen an, ziehen ihre Ausweise und verbinden sich auf andere Weise mit ihnen. Sie sind ein entscheidendes Glied in der Sicherheitskette - aber keiner dieser Menschen hat sich für die IT entschieden, erinnert uns Vondera. Sicherheitsverantwortliche haben die Aufgabe, Sicherheitsbedürfnisse und -risiken kurz und prägnant zu vermitteln und den Endbenutzer zu entlasten, denn ihre Aufgabe ist es, sich um die Patienten zu kümmern.
Vernetzte Geräte sind unverzichtbar, aber auch sehr anfällig
Ein ständiges Problem für die Sicherheitsteams im Gesundheitswesen ist die Frage, wie die Tausenden von vernetzten Geräten, die für die Patientenversorgung von entscheidender Bedeutung sind, gesichert und gleichzeitig betriebsbereit gehalten werden können. Die schiere Anzahl der Geräte und die Notwendigkeit ständiger Konnektivität machen es schwierig, sie zu patchen, zu warten und sogar zu inventarisieren. Jedes angeschlossene Gerät kann jedoch als Zugangspunkt dienen, der, wenn er verletzt wird, zu einer seitlichen Bewegung im Netzwerk und zu einer erheblichen Datenexposition führen kann.
Die Gesundheitsversorgung wird durch finanzielle Ressourcen eingeschränkt
Im Großen und Ganzen haben Organisationen im Gesundheitswesen nicht die gleichen Investitionsprioritäten wie andere Unternehmen. Ihre Sicherheitsbudgets sind viel kleiner als in anderen Branchen: Nur 4-7 % des IT-Budgets eines Gesundheitssystems werden für Cybersicherheit aufgewendet, im Vergleich zu etwa 15 % in anderen Branchen. Organisationen des Gesundheitswesens müssen bei ihren Sicherheitsinvestitionen strategisch vorgehen, denn mehr Tools bedeuten auch mehr Kosten. Bösewichte wissen das und zielen konsequent auf Bereiche mit geringerer Transparenz und geringerem Schutz ab - Bereiche, die normalerweise durch teurere Tools sicherer gemacht würden.
Die Möglichkeiten für Sicherheitsverantwortliche im Gesundheitswesen
Vondera leitet seit fast zwei Jahrzehnten Sicherheits- und IT-Betriebsteams und verfügt über umfassende Erfahrung darin, Sicherheitsteams dabei zu helfen, mit den ihnen bereits zur Verfügung stehenden Ressourcen etwas zu bewirken. In seinem Gespräch mit uns sprach er über Empfehlungen, die seiner Meinung nach dazu beitragen können, einen ganzheitlichen Ansatz für mehrschichtige Sicherheit in Gesundheitsumgebungen zu unterstützen.
Untersuchen Sie die Rolle der Automatisierung
Die Einrichtung der Automatisierung ist eine der unmittelbarsten Möglichkeiten, um mit kleinen, unterbesetzten Teams mehr zu erreichen. Es ist fast unmöglich, eine Angriffsfläche manuell zu verfolgen und zu verwalten. Wenn Sie die Automatisierungsfunktionen der von Ihnen bereits verwendeten Tools vollständig ausschöpfen, können Sie das Risiko verringern und gleichzeitig wertvolle Ressourcen in Ihrem Team freisetzen. Dazu gehört auch, dass Sie die Rolle von KI in Ihrer Sicherheitstechnologie verstehen. Wenn Sie wissen, wie Sie richtig mit generativen KI-Tools interagieren, können Sie erhebliche Automatisierungsgewinne erzielen.
Berücksichtigen Sie den Endnutzer
Die Nutzererfahrung ist wichtig, und wenn man den Nutzern ein Mitspracherecht bei den von ihnen verwendeten Tools einräumt, fördert dies die Akzeptanz. Vondera empfiehlt, mit Gesundheitsdienstleistern zusammenzuarbeiten und Ärzte um ihre Meinung zu UX zu bitten, um Reibungsverluste zu erkennen und zu beseitigen.
Einen Rahmen verwenden
"Wenn Sie nicht wissen, was Sie haben, wissen Sie auch nicht, wie Sie es schützen können", erinnert Vondera die Teams. Das Center for Internet Security Critical Security Controls unterstützt Sicherheitsteams bei der Anpassung an die sich entwickelnden Industriestandards und Frameworks mit einer schrittweisen Roadmap zur Stärkung Ihrer Cyberabwehr - und das beginnt mit der Bestandsaufnahme Ihrer Ressourcen, damit Sie ein klares Bild von Ihrer Angriffsfläche haben. Sicherheitsexperten, die die Grundlagen vernachlässigen, haben es oft schwer, aber die Arbeit mit einem stark strukturierten Ansatz wie CIS hilft Unternehmen, ihre Sicherheitsprogramme schneller auszubauen. Für Unternehmen des Gesundheitswesens könnte die Reife so aussehen, dass sie mit der Makrosegmentierung von Anlagen beginnen, eine Mikrosegmentierungsstrategie entwickeln und dann eine dynamische Mikrosegmentierungsrichtlinie einführen, die bei einem Cybervorfall automatisch Geräte ausschließen kann.
Der richtigen Bildung den Vorrang geben
Cybersicherheitsschulungen umfassen Benutzerschulungen und Coaching für Endbenutzer, aber die Konzentration auf spezielle Schulungsmöglichkeiten für Ihr IT-Personal kann dazu beitragen, Ihre Sicherheitsergebnisse zu verbessern. Investitionen in Zertifizierungen wie "Systems Security Certified Practitioner" und "Certified Information Systems Security Professional" können eine große Wirkung entfalten, indem sie kleineren Teams mit weniger Ressourcen ein tieferes, fortgeschritteneres Know-how ermöglichen.
Wissen, was ein starkes Team ausmacht
Vonderas oberste Priorität bei der Einstellung von Mitarbeitern ist die organisatorische Eignung, wobei ein besonderer Schwerpunkt darauf liegt, "Leute zu finden, die das Engagement verstehen". Das bedeutet, dass man offen dafür ist, Entwickler, Architekten und andere technische Mitarbeiter mit unterschiedlichem Hintergrund einzustellen, um ein abgerundetes Spektrum an Fähigkeiten zu bieten. Teamleiter sollten sich auch die Zeit nehmen, um das mit der Cybersicherheit verbundene Burnout zu verstehen, da es erhebliche Auswirkungen auf die Sicherheitsergebnisse haben kann.
Wenn man nicht weiß, was man hat, weiß man auch nicht, wie man es schützen kann - Doug Vondera, McLaren Health Care
Die Sicherheitslage im Gesundheitswesen wird immer dringlicher werden. Hacks im Gesundheitswesen sind ein wachsendes Problem für die US-Gesetzgeber. Teams aus Führungskräften des Gesundheitswesens, Anwälten und Kongressabgeordneten arbeiten daran, Sicherheitsänderungen für die Gesundheitsbranche gesetzlich zu verankern und Finanzmittel zur Unterstützung von Infrastrukturverbesserungen und anderen notwendigen Verbesserungen zu erhalten.
Censys ermöglicht es Organisationen des Gesundheitswesens, proaktiv auf diese Risiken zu reagieren. Unser umfassender Einblick in anfällige Geräte, Risiken von Drittanbietern und sich entwickelnde Infrastrukturen hilft dabei, Patientendaten und wichtige Systeme vor Cyberangriffen zu schützen. Unsere Informationen helfen Sicherheitsteams dabei, Risiken aufzudecken und Anlagen zu schützen, um die Gefährdung von Patientenakten zu reduzieren, die Einhaltung von Vorschriften zu unterstützen und telemedizinische Besuche zu überwachen und zu sichern.
Wenn Sie einen tieferen Einblick in die Risiken und Empfehlungen zur Cybersicherheit im Gesundheitswesen erhalten möchten, sehen Sie sich das vollständige Webinar mit Vondera an, das hier auf Abruf verfügbar ist.
