Verstärkung des Schutzes von Gesundheitsdaten
Organisationen des Gesundheitswesens müssen wachsam sein in ihren Bemühungen, hochwertige Daten vor neuen Bedrohungen zu schützen und gleichzeitig die spezifischen Herausforderungen zu meistern, die sich beim Schutz ihrer Daten, Infrastruktur und Anwendungen ergeben.
Die Daten des Gesundheitswesens gehören zu den wertvollsten auf dem Markt. Patientendaten, Finanzinformationen und geistiges Eigentum sind äußerst wertvolle Güter, die Gesundheitseinrichtungen zu bevorzugten Zielen für Cyberangriffe machen. Um eine qualitativ hochwertige Versorgung zu gewährleisten, müssen Organisationen im Gesundheitswesen die Herausforderungen im Bereich der IT-Sicherheit bewältigen und ihre Verteidigungsmaßnahmen zum Schutz wichtiger Informationen verstärken.
Vielen Unternehmen fehlt es jedoch an Budget, Spitzenkräften und Tools, die für einen optimalen Schutz von Daten und Infrastrukturen erforderlich sind, was böswilligen Akteuren Möglichkeiten eröffnet.
Organisationen im Gesundheitswesen müssen sich dieser typischen Cyber-Bedrohungen und ihrer Gefährdung der Sicherheit und des Datenschutzes von Patienten besonders bewusst sein:
- Ransomware-Angriffe: Das Gesundheitswesen ist einer ernsthaften Bedrohung durch Ransomware ausgesetzt, die den Betrieb stören, Patientendaten gefährden und finanzielle Ressourcen aufbrauchen kann. Um Ransomware zu bekämpfen, müssen Unternehmen regelmäßig Sicherungskopien ihrer kritischen Daten erstellen und diese für die Notfallplanung isolieren, regelmäßige Zugriffszertifizierungskampagnen durchführen, Cloud-Speicher nutzen und umfangreiche Ransomware-Identifizierungskampagnen mit Tabletop-Übungen durchführen, um eine frühzeitige Erkennung und Eindämmung zu fördern.
- Phishing- und Social-Engineering-Angriffe: Phishing-Taktiken können sensible Daten gefährden, indem sie Mitarbeiter dazu verleiten, vertrauliche Informationen preiszugeben. Bei einem Social-Engineering-Angriff verschafft sich ein Angreifer unbefugten Zugang zu Gesundheitssystemen, indem er sich als vertrauenswürdige Person ausgibt oder Beziehungen ausnutzt.
Unternehmen bekämpfen Phishing in der Regel durch regelmäßige Mitarbeiterschulungen, aktive Phishing-Simulationen und durch E-Mail-Filterlösungen, die Phishing-Versuche erkennen und blockieren. Die Verringerung des Risikos von Social-Engineering-Angriffen erfordert die Implementierung von Multi-Faktor-Authentifizierung (MFA) und die Stärkung von Vertrauensprüfungsverfahren.
- Insider-Bedrohungen: Interne Mitarbeiter können unbeabsichtigt oder in böswilliger Absicht Schwachstellen aufdecken und damit ein erhebliches Risiko für Gesundheitsdaten darstellen. Organisationen des Gesundheitswesens müssen Insider-Bedrohungen begegnen, indem sie die Aufgabentrennung aufrechterhalten, starke detektivische Kontrollen für den Zugriff auf Datensätze und Systeme einrichten und das Personal mit gut durchdachten rollenbasierten Zugriffskontrollen (RBAC) ausstatten, die für alle Zugriffskontrollen gelten.
- Distributed-Denial-of-Service (DDoS)-Angriffe : Aufgrund der sensiblen und oft in Echtzeit ablaufenden Vorgänge sind Gesundheitseinrichtungen ein bevorzugtes Ziel für DDoS-Angriffe, die ein Chaos verursachen und die lebenserhaltende Kommunikation unterbrechen, wodurch Patienten in Gefahr geraten können. Unternehmen müssen einen Reaktionsplan für DDoS-Vorfälle entwickeln, um im Falle eines Angriffs schnell reagieren zu können, und sollten auch Investitionen in Lösungen zur DDoS-Abwehr und zur Segmentierung kritischer Arbeitslasten in Betracht ziehen.
Herausforderungen bei Infrastruktur und Talenten
Robuste physische und datentechnische Sicherheitsmaßnahmen sind für Organisationen im Gesundheitswesen unerlässlich, um ihre Infrastruktur und Patientendaten zu schützen. Die physische Sicherheit sollte die Implementierung von Zugangskontrollen, obligatorischer Besucher-/Lieferantenregistrierung, Ausweislesegeräten und adaptiven Überwachungssystemen umfassen, um die physische Infrastruktur zu sichern, während sich die Datensicherheit auf Verschlüsselung, Berechtigungskontrollen, Datentrennung und die Vermeidung von Datenverlusten konzentrieren sollte, um Patientenakten und sensible Daten zu schützen.
- Ältere Geräte und Infrastruktur. Die ältesten und unantastbarsten Geräte können oft das schwächste Glied in der Cyber-Resilienz eines Unternehmens sein. Leider können sie aber auch die stärksten Auswirkungen haben. Ältere medizinische Geräte und Gebäudesteuerungssysteme werden nach wie vor in Netzwerken des Gesundheitswesens eingesetzt und stellen aufgrund ihrer langen Aktualisierungszyklen ein Risiko dar. Außerdem können langwierige FDA-Zulassungsverfahren dazu führen, dass ein neu auf den Markt kommendes Gerät, das zum Zeitpunkt seiner Entwicklung über die neuesten Sicherheitsfunktionen verfügte, in seinen Fähigkeiten zurückbleibt, wenn es auf den Markt kommt. Eine weitere Tatsache, die das Infrastrukturmanagement erschwert, ist die Anzahl der angeschlossenen Geräte in flachen Netzen von verschiedenen Anbietern. Das Ergebnis ist oft ein verworrenes Kommunikationsnetz, das für Angreifer anfällig ist.
- Unsichere medizinische Geräte und Ausrüstungen. Medizinische Umgebungen werden schnell zu riesigen Ansammlungen von vernetzten Geräten, von denen viele mit dem Internet verbunden sind. Internet of Things (IoT)-Geräte sind für ihre mangelnde Sicherheit bekannt, und Internet of Medical Things (IoMT)-Geräte sind nicht anders. Sie bieten Angreifern neue Angriffs- und Zugangspunkte, die leicht ausgenutzt werden können, um sich Zugang zu Patientendaten und medizinischen Systemen zu verschaffen.
Mikrosegmentierung
Die Segmentierung isoliert großzügig die Risikoprofile von Netzwerken im Gesundheitswesen: Altgeräte, IoT-Geräte, medizinische Geräte, gemeinsam genutzte Arbeitsstationen, Anbieter/Lieferanten, Internetzugang von Patienten, Gastärzte und Vertragspersonal. Dadurch wird verhindert, dass ein Risikoprofil den Schweregrad eines anderen beeinträchtigt. Da die Segmentierung bereits eine wirksame Strategie ist, kann die Mikrosegmentierung die Wirksamkeit noch erhöhen. Die Mikrosegmentierung erfordert jedoch eine eingehende Kenntnis der Verbindungen zwischen Geräten und Anwendungen, und es muss abgewogen werden, ob sich der Aufwand lohnt.
Der Übergang zur Resilienz
IT-Teams müssen sorgfältig entscheiden, welche Geräte als risikoreich/geringfügig oder als risikoreich/hochgefährlich eingestuft werden. In jedem klinischen Netzwerk müssen IT-Teams ein Gleichgewicht zwischen Sicherheit und Zugänglichkeit finden und sorgfältig die Folgen übermäßiger Sicherheitsprotokolle abwägen, wenn lebenswichtige Geräte berührt werden.
Das Gesundheitswesen insgesamt hat Schwierigkeiten, Top-Talente im Bereich Cybersicherheit anzuziehen, was auf eine Reihe von Wahrnehmungen zurückzuführen ist, darunter niedrige Gehälter, konservative Ausgaben und Entscheidungsfindung, weniger Karrieremöglichkeiten und die Ansicht, dass das Gesundheitswesen als Branche ein technologischer Nachzügler ist.
Viele Fachleute werden jedoch in diesem Umfeld Erfolg haben, wenn sie sich einer Aufgabe verschreiben, Erfahrungen aus anderen Branchen mitbringen oder sich an Innovationen beteiligen, die es nur im Gesundheitswesen gibt. Es ist üblich, dass Unternehmen auf Anbieter zurückgreifen, um neue Initiativen zu starten oder Funktionen auszulagern.
Das Erkennen von Sicherheitslücken und -möglichkeiten ist ein wichtiger erster Schritt zur Gewährleistung von Datenschutz und Patientensicherheit. Die Bewältigung der spezifischen Sicherheitsherausforderungen in der IT des Gesundheitswesens und die Implementierung umfassender Sicherheitsmaßnahmen können die Abwehrkräfte stärken und wertvolle Daten schützen.

Bewältigung der Herausforderungen der modernen Logistik, des Transports und der Schifffahrt durch Nutzung der Datenmodernisierung
About the Authors

Manager, Global Cloud Security Solutions
Scott Schlueter
Scott Schlueter has over 20 years of experience in information technology across diverse industries including higher education, enterprise and managed IT, and healthcare. As an Information Security expert specializing in security architecture and risk-based strategies maximizing security goals, he has become a dynamic leader and articulate communicator with a talent for building business processes with an emphasis on automation and fostering relationships among business units and principles. He is a certified information security professional with extensive experience in enterprise project management, mergers and acquisitions, and maximizing effectiveness of security controls.
Read more about Scott Schlueter