Contents
- Warum ist die Informationssicherheit im Gesundheitswesen in modernen Krankenhäusern von entscheidender Bedeutung?
- Was sind die häufigsten Cyberbedrohungen, denen Krankenhäuser heute ausgesetzt sind?
- Inwiefern erschweren veraltete Infrastruktur und die Sicherheit medizinischer Geräte den Schutz?
- Welche verborgenen betrieblichen Realitäten machen die Datensicherheit im Gesundheitswesen besonders schwierig?
- Wie wirken sich Personalfluktuation und Personalmangel auf die Sicherheitslage aus?
- Welche Lösungen zur Datensicherheit im Gesundheitswesen können moderne Cyberbedrohungen abmildern?
- Wie verläuft ein moderner Ransomware-Angriff im Gesundheitswesen typischerweise innerhalb eines Krankenhauses?
- Wie können Organisationen im Gesundheitswesen Bacula Systems nutzen, um ihre Widerstandsfähigkeit bei der Wiederherstellung nach Ransomware-Angriffen zu stärken?
- Wie sollten Einrichtungen des Gesundheitswesens sich auf Datenschutzverletzungen und Sicherheitsvorfälle vorbereiten?
- FAQ
Warum ist die Informationssicherheit im Gesundheitswesen in modernen Krankenhäusern von entscheidender Bedeutung?
Da die moderne Gesundheitsversorgung vollständig auf digitaler Infrastruktur basiert, ist die Informationssicherheit im Gesundheitswesen entscheidend für die Patientensicherheit und die Betriebskontinuität. Selbst geringfügige Datenverletzungen können das Leben von Patienten und den Krankenhausbetrieb gefährden sowie gegen Datenschutzgesetze verstoßen.
Die rasante Digitalisierung der Gesundheitsbranche macht es unerlässlich, digitale Umgebungen im Gesundheitswesen zu sichern. Andernfalls drohen Krankenhäusern und Rettungsdiensten schwerwiegende Betriebsstörungen.
Schließlich haben integrierte digitale Ökosysteme, die Papierakten ersetzt haben, die klinischen Ergebnisse deutlich verbessert, die Diagnostik beschleunigt und die Koordinierung der Versorgung nahtlos gestaltet.
Welche besonderen Merkmale von Gesundheitsdaten geben Anlass zu Sicherheitsbedenken?
Gängige Gesundheitsdaten geben Anlass zu Sicherheitsbedenken, da sie von hohem Wert sind. Sie enthalten dauerhafte persönliche, medizinische, finanzielle und genetische Informationen, die nach einem Diebstahl nicht ohne Weiteres geändert werden können. Es ist bekannt, dass auf kriminellen Märkten vollständige Krankenakten zum zehnfachen Wert gestohlener Kreditkarten verkauft werden.
Eine einzelne Akte enthält Diagnosen, Medikamentenverordnungen, genetische Daten und die Vorgeschichte psychischer Erkrankungen. Diese medizinischen Informationen verlieren in der Regel nicht ihre Gültigkeit. Eine gestohlene Krankenakte kann man nicht sperren oder neu ausstellen – was bei einer Kreditkarte nicht der Fall ist.
Der Zugriff auf sensible Patientendaten, darunter der HIV-Status sowie Aufzeichnungen zur psychischen und reproduktiven Gesundheit, kann dazu führen, dass Patienten bei der Arbeitssuche und im Versicherungswesen diskriminiert werden.
Inwiefern hängen Patientensicherheit, Schutz von Patientendaten und Datensicherheit zusammen?
Datensicherheit, Datenschutz und Patientensicherheit im Gesundheitswesen sind ein und dasselbe Anliegen, nur in unterschiedlichen Zeiträumen. Laut einer im „American Economic Journal“ veröffentlichten Studie steigt die Sterblichkeitsrate in Krankenhäusern während Ransomware-Angriffen erheblich an.
Wenn Systeme für elektronische Patientenakten (EHR) ausfallen, gehen Anästhesie-Checklisten verloren, werden Vitaldaten auf Intensivstationen (ICUs) nicht erfasst, und den Notärzten fehlen bei ihren Entscheidungen wichtige gesundheitsbezogene Daten wie Allergien und medikamentenbezogene Angaben.
Die Patientensicherheit hängt vom Datenschutz ab. Wenn Einrichtungen des Gesundheitswesens mit einem Datenleck konfrontiert sind, trägt die Systemverfügbarkeit dazu bei, den durch den Ausfall von Informationssystemen verursachten Qualitätsverlust in der Patientenversorgung zu vermeiden.
Welche regulatorischen und rechtlichen Verpflichtungen treiben Sicherheitsinvestitionen im Gesundheitswesen voran?
Die Sicherheitsvorschrift des Health Insurance Portability and Accountability Act (HIPAA) legt nationale Standards fest, die es Einrichtungen oder Geschäftspartnern ermöglichen, die von ihnen erstellten, empfangenen, genutzten oder gepflegten elektronischen geschützten Gesundheitsdaten (ePHI) von Patienten zu schützen.
Gemäß der Sicherheitsvorschrift müssen Einrichtungen oder Geschäftspartner angemessene administrative, physische und technische Sicherheitsvorkehrungen umsetzen, um elektronische geschützte Gesundheitsdaten (ePHI) vertraulich, sicher und verfügbar zu halten.
ePHI sind geschützte Gesundheitsdaten, die in elektronischer Form erstellt, gespeichert, übertragen oder empfangen werden.
Der „Health Information Technology for Economic and Clinical Health Act“ (HITECH-Gesetz) zielt darauf ab, die Durchsetzung zu stärken und die Meldepflichten bei Datenschutzverletzungen auszuweiten. Dieses Gesetz ist Teil des „American Recovery and Reinvestment Act“ von 2009, der die sinnvolle Nutzung elektronischer Patientenakten (EHRs) fördert und die Sicherheits- und Datenschutzbestimmungen des HIPAA weiter stärkt.
Darüber hinaus ermöglicht der HITECH Act die Ausweitung des HIPAA auf Geschäftspartner von betroffenen Einrichtungen, die für Verstöße gegen die HIPAA-Vorschriften haftbar gemacht werden können. Zu diesen Verstößen zählen unter anderem der unbefugte Zugriff von Mitarbeitern auf medizinische Akten sowie die unsachgemäße Entsorgung von Patientenakten. Schließlich legt dieses Gesetz auch Strafen für Verstöße gegen den HIPAA fest.
Im Dezember 2024 führte das US-Gesundheitsministerium (HHS) die erste umfassende Aktualisierung der HIPAA-Sicherheitsvorschrift ein. Infolgedessen wurde die Verschlüsselung verbindlich vorgeschrieben und war nicht mehr nur „empfehlenswert“.
Unternehmen im Gesundheitswesen, die Daten von Einwohnern der Europäischen Union (EU) verarbeiten, müssen gemäß der Datenschutz-Grundverordnung (DSGVO) mit Strafen von bis zu 4 % ihres weltweiten Jahresumsatzes rechnen und eine Meldefrist von 72 Stunden bei Datenschutzverletzungen einhalten .
Aufgrund von Landesgesetzen in Kalifornien, New York und Texas können für diese Organisationen zusätzliche Strafen anfallen. Ziel ist es, eine größere Konkretheit und eine strengere Durchsetzung zu gewährleisten.
Wie beeinflussen Reputation und Vertrauen die Sicherheitsprioritäten?
Das Vertrauen der Patienten ist mehr als nur ein geschäftliches Anliegen: Es ist eine klinische Grundvoraussetzung. Organisationen, die mit öffentlichkeitswirksamen Sicherheitsverletzungen konfrontiert sind, verlieren Patienten, haben Schwierigkeiten bei der Anwerbung von Ärzten und erleiden langfristigen Imageschaden.
Daher ist Sicherheit zu einem Wettbewerbsfaktor auf den Gesundheitsmärkten geworden. Unternehmen im Gesundheitswesen, die nach Wachstum streben oder Partnerschaften mit anderen Einrichtungen eingehen, sollten den Schwerpunkt auf Sicherheit legen, da externe Interessengruppen diesem Aspekt mittlerweile besondere Aufmerksamkeit schenken.
Was sind die häufigsten Cyberbedrohungen, denen Krankenhäuser heute ausgesetzt sind?
Die häufigsten Cyberbedrohungen im Gesundheitswesen sind Ransomware, Phishing, Insider-Bedrohungen, Schwachstellen bei medizinischen Geräten und Sicherheitsverletzungen durch Dritte.
Diese Cyber-Erpressungsangriffe gefährden die Patientensicherheit. Infolgedessen stören diese Angriffe die lebenswichtige Patientenversorgung und den Notfalldienst. Insbesondere können diese Angriffe den Zugriff auf elektronische Patientenakten blockieren und Diagnosegeräte wie Magnetresonanztomographen (MRT) und Computertomographen (CT) außer Betrieb setzen.
Laut der American Hospital Association gehörten das Gesundheitswesen und die öffentliche Pflege im Jahr 2025 zu den am stärksten von Cyberbedrohungen betroffenen Sektoren. Im Jahr 2025 kam es in diesem Sektor zu 460 Ransomware-Angriffen und 182 Datenschutzverletzungen.
Welche Rolle spielen Phishing und Social Engineering bei Datenschutzverletzungen im Gesundheitswesen?
Phishing ist die größte Cybersicherheitsbedrohung im Gesundheitswesen und untergräbt das Vertrauen sowie die Kultur der Reaktionsfähigkeit in Organisationen. Der Grund dafür ist, dass Versicherer, Pharmareferenten und Überweisungspartner eine große Menge an E-Mails an Mitarbeiter im Gesundheitswesen versenden.
Somit bieten diese E-Mails Angreifern zahlreiche Möglichkeiten, auf Gesundheitsdaten abzuzielen. Darüber hinaus nutzen Angreifer mittlerweile KI-Tools, um fehlerfreie Texte zu generieren, die es den Empfängern erschweren, Betrugsversuche zu erkennen.
Eine weitere zunehmende Variante des Phishing im Gesundheitswesen ist das Voice-Phishing (Vishing). Dabei handelt es sich um einen telefonbasierten Betrug, bei dem Hacker sich als vertrauenswürdige Personen oder Organisationen ausgeben, um das Opfer dazu zu bringen, sensible Patientendaten preiszugeben.
Der M-Trends-Bericht von Mandiant zeigt, dass Vishing das traditionelle E-Mail-Phishing offiziell überholt hat und nun eine der führenden Bedrohungsvarianten darstellt: Es macht 11 % der erfolgreichen Angriffe aus, verglichen mit nur 6 % durch E-Mail-Phishing.
Inwiefern unterscheiden sich Insider-Bedrohungen von externen Angriffen im Gesundheitswesen?
Die meisten Insider-Vorfälle werden eher durch Neugier oder Unachtsamkeit als durch böswillige Absicht verursacht. So kann es beispielsweise vorkommen, dass eine Pflegekraft die Unterlagen eines Nachbarn einsehen, ein Abrechnungsspezialist auf die Daten eines berühmten Patienten zugreifen oder ein Arzt die Akte eines Familienmitglieds überprüfen. Diese Vorfälle verstoßen gegen das HIPAA, ohne dass dabei eine schädliche Absicht vorliegt.
Was den Unterschied zwischen Insider- und externen Angriffen betrifft, so kann die Sicherheit an den Netzwerkgrenzen Insider nicht aufhalten, da diese über legitime Zugangsdaten und Zugriff auf autorisierte Systeme verfügen. Einrichtungen des Gesundheitswesens können solche Bedrohungen mithilfe von Verhaltensanalysen erkennen, die dabei helfen, ungewöhnliche Zugriffsmuster zu identifizieren, die für die klinische Rolle des Nutzers untypisch sind.
Mit welchen neuen Bedrohungen sollten Krankenhäuser rechnen?
Krankenhäuser sollten sich auf neue, KI-gestützte Angriffe einstellen. So erhalten Einrichtungen des Gesundheitswesens beispielsweise zunehmend überzeugende, personalisierte Textnachrichten, die von generativer KI erstellt wurden. Darüber hinaus nutzen Angreifer KI-basiertes Stimmklonen, um mittels Voice-Phishing (Vishing) sich als bekannte Kollegen oder IT-Mitarbeiter auszugeben. Angreifer sind dabei oft erfolgreich, da vernetzte medizinische Geräte (das Internet of Medical Things, kurz IoMT) kritische Sicherheitslücken aufweisen, wie beispielsweise veraltete Betriebssysteme und unverschlüsselte Kommunikation.
Eine kompromittierte Infusionspumpe oder ein kompromittiertes Bildgebungssystem ermöglicht es Hackern, Angriffe durchzuführen und von dem kompromittierten Gerät aus in elektronische Patientenakten-Systeme vorzudringen. Zudem sind staatlich gestützte Akteure, wie beispielsweise Gruppen aus Russland, China, Nordkorea und dem Iran, im Gesundheitssektor aktiv. Konkret zielen sie auf Gesundheitsdaten ab und versuchen, kritische Infrastrukturen in diesem Sektor lahmzulegen.
Was erkennen Einrichtungen des Gesundheitswesens nach einem Ransomware-Angriff in der Regel erst zu spät?
Einrichtungen des Gesundheitswesens erkennen oft nicht, dass die Zahlung des Lösegelds die Probleme im Zusammenhang mit der Patientenversorgung nicht löst und dass Angreifer möglicherweise bereits ihre Datensicherungen kompromittiert haben.
Deshalb ist es entscheidend, technisch auf Ransomware-Angriffe vorbereitet zu sein und über ausreichendes Sicherheitswissen zu verfügen, welche Schritte unternommen werden müssen, um Datenverlust oder -verletzungen zu verhindern, bevor es zu spät ist.
Warum kommt es in technisch konformen Krankenhäusern dennoch zu schwerwiegenden Sicherheitsversagen?
Technisch konforme Einrichtungen des Gesundheitswesens sind nach wie vor mit schwerwiegenden Cybersicherheitsversagen konfrontiert, da Compliance-Dokumentation und Datensicherheitsmaßnahmen zwar als Sicherheitspraktiken gelten, diese beiden Aspekte im Gesundheitswesen jedoch oft nicht Hand in Hand gehen.
Insbesondere besteht eine gefährliche Kluft zwischen den rechtlichen Schritten, die eine Einrichtung des Gesundheitswesens befolgen muss, um ein Audit zu bestehen (Compliance), und den tatsächlichen Maßnahmen, die sie ergreift, um reale Cyberbedrohungen zu vermeiden oder abzuwehren (Sicherheit).
Beispielsweise kann ein Krankenhaus die Vorgaben des Health Insurance Portability and Accountability Act (HIPAA) einhalten. Konkret kann es jeden Schritt dokumentieren, die Risiken bewerten und sein Personal schulen. Dies bedeutet jedoch nicht, dass das Krankenhaus seine Systeme und Zugangsdaten vollständig schützt.
Wie umgehen Notfallabläufe unbemerkt die Sicherheitskontrollen für Gesundheitsdaten?
Vorgesetzte tolerieren oft eine systematische Umgehung, die durch klinische Dringlichkeit verursacht wird. Warum? Weil strenge Sicherheitsmaßnahmen, die das Personal in Notfällen befolgen muss, das Leben der Patienten gefährden.
Insbesondere wenn Gesundheitsdienstleister über die übliche Authentifizierung nicht auf die Allergieunterlagen eines Patienten zugreifen können, umgehen sie die strengen Kontrollen, um sofortige Hilfe zu leisten.
Im Laufe der Zeit wendet das Personal dieselben Schritte für den Zugriff auf Unterlagen an, und der Austausch von Dokumenten wird zur gängigen Praxis, wodurch eine Grundlage für dauerhafte Angriffe geschaffen wird.
Warum sind Fehler bei der Datensicherung und -wiederherstellung oft schädlicher als der ursprüngliche Sicherheitsverstoß?
Fehler bei der Datensicherung und -wiederherstellung verursachen oft größeren Schaden als der ursprüngliche Sicherheitsverstoß, da ein Fehler bei der Datensicherung die Möglichkeit der Wiederherstellung zunichte macht. Infolgedessen kann ein schwerwiegender Vorfall für eine Einrichtung des Gesundheitswesens zu einem wirklich schwerwiegenden Betriebsvorfall werden. Hier ist der Grund dafür.
Angreifer, die es auf Backup-Systeme in einer Einrichtung des Gesundheitswesens abgesehen haben, sind sehr oft erfolgreich. Wenn Einrichtungen sowohl ihre Primärsysteme als auch ihre Backups verschlüsseln, besteht die Wahl in der Regel darin, entweder die Forderungen der Hacker zu erfüllen oder den Betrieb über Wochen hinweg von Grund auf neu aufzubauen.
Während dieser Krisenphase steigen die Fehlerquoten im klinischen Betrieb, Gesundheitsdienstleister sagen Eingriffe ab, und die Arbeit kann unhaltbare Arbeitszeiten erfordern, um sowohl die Patientenversorgung als auch die Umgehungslösungen für die Systeme zu bewältigen.
Inwiefern erschweren veraltete Infrastruktur und die Sicherheit medizinischer Geräte den Schutz?
Veraltete Infrastruktur und die Sicherheit medizinischer Geräte erschweren den Schutz aufgrund veralteter und nicht mehr unterstützter Systeme. Warum? Weil diese Systeme keinen angemessenen Schutz vor modernen Ransomware-Bedrohungen im Gesundheitswesen bieten können.
Einrichtungen des Gesundheitswesens nutzen diese Geräte weiterhin, da ein Austausch mit höheren Kosten verbunden ist und die klinische Nutzbarkeit beeinträchtigt würde.
Infolgedessen stellen sie ein Hochrisikoziel für Hackerangriffe dar, darunter Ransomware, Datenlecks und Betriebsstörungen.
Welche Herausforderungen bringen veraltete EHR-Systeme und Altanwendungen mit sich?
Unternehmen im Gesundheitswesen können Altanwendungen und elektronische Patientenakten-Systeme oft nicht aktualisieren, da der klinische Betrieb ohne Unterbrechungen weiterlaufen muss.
Darüber hinaus muss eine Einrichtung im Gesundheitswesen, wenn sie ein seit Jahren in Betrieb befindliches Altsystem ersetzt, den Ersatz validieren, ihr Personal neu schulen und Daten migrieren. Und dies geschieht nicht oft.
Infolgedessen werden Einrichtungen anfällig für Cyberbedrohungen.
Inwiefern schaffen vernetzte medizinische Geräte und das IoT neue Angriffsflächen?
Einrichtungen des Gesundheitswesens sind häufig von Datenlecks betroffen, die auf Schwachstellen in Geräten des „Internet of Medical Things“ (IoMT) zurückzuführen sind, wie beispielsweise Infusionspumpen und Patientenmonitore.
Insbesondere können Angreifer die Dosierung von Insulinpumpen aus der Ferne verändern und die Kommunikation von Herzschrittmachern stören.
Aus diesem Grund hat die US-amerikanische Food and Drug Administration (FDA) strengere Cybersicherheitsanforderungen für neue medizinische Geräte festgelegt. Dies erfolgt gemäß Abschnitt 524B des Federal Food, Drug, and Cosmetic Act.
Beispielsweise verlangen die Cybersicherheitsvorschriften der FDA von den Herstellern, ein detailliertes, maschinenlesbares Verzeichnis aller im Gerät enthaltenen Softwarekomponenten vorzulegen. Wenn ein Herzmonitor beispielsweise über eine Open-Source-Bluetooth-Kommunikationsbibliothek betrieben wird, muss der Gesundheitsdienstleister diese spezifische Version und ihre bekannten Abhängigkeiten dokumentieren, damit versteckte Schwachstellen nicht unentdeckt bleiben.
Welche Herausforderungen beim Schwachstellenmanagement verhindern eine zeitnahe Patching-Maßnahme in klinischen Umgebungen?
Um einen klinischen Server zu patchen, sollten Gesundheitsorganisationen die Risiken bewerten, Benachrichtigungen an Ärzte versenden, Ersatzkapazitäten organisieren und dokumentierte Verfahren für Ausfallzeiten befolgen. All diese Schritte müssen ohne klinische Fehler ausgeführt werden.
Im Vergleich zu anderen Branchen verläuft das Patchen im Gesundheitswesen langsamer. Zudem dauert es länger, eine Schwachstelle offenzulegen und sie gegen Cyberbedrohungen abzusichern.
Angreifer nutzen bekannte, durch Patches behebbare Schwachstellen erfolgreich aus, da Organisationen im Gesundheitswesen diese nicht innerhalb eines sicherheitsgerechten Zeitrahmens schließen können.
Wie wirken sich Lieferantenbeziehungen und die Wartung durch Drittanbieter auf die Gerätesicherheit aus?
Anbieter medizinischer Geräte können per Fernzugriff auf Geräte zugreifen, um Diagnosen durchzuführen, Firmware zu aktualisieren oder die Leistung zu überwachen. Ein solcher Zugriff trägt zum reibungslosen Ablauf des klinischen Betriebs bei, kann jedoch aus Sicherheitssicht eine Herausforderung darstellen. Aus diesem Grund steigt weltweit die Zahl der Personen, die von Angriffen auf externe Geschäftspartner im Gesundheitswesen betroffen sind.
Denn wenn ein Drittanbieter seine Zusammenarbeit mit einer Einrichtung des Gesundheitswesens beendet hat, erlöschen die für bestimmte Diagnosezwecke gewährten Zugriffsrechte nicht.
Welche verborgenen betrieblichen Realitäten machen die Datensicherheit im Gesundheitswesen besonders schwierig?
Die Datensicherheit im Gesundheitswesen birgt ganz eigene Schwierigkeiten, da sie mit einem ständigen Konflikt zwischen der Sicherheit von Gesundheitsdaten und der Sicherheit von Menschen verbunden ist.
Konkret besteht dieser Konflikt darin, Systeme vor Bedrohungen abzuschotten und gleichzeitig allen Beteiligten in Notfällen sofortigen Zugriff auf Krankenakten zu ermöglichen.
Warum können Krankenhäuser nicht einfach „alles absperren“, wie es traditionelle Unternehmen tun?
Organisationen im Gesundheitswesen können bei einer Cyberbedrohung oft nicht alles absperren, wie es manche traditionellen Unternehmen tun können. Der Grund dafür ist, dass Sicherheitsbarrieren den Patienten schaden können. In einer Unternehmensumgebung können Sicherheitsbarrieren hingegen Unannehmlichkeiten für die Mitarbeiter verursachen.
Wenn Gesundheitsdienstleister im Notfall aufgrund von Zugriffskontrollen nicht auf die Allergieakte eines Patienten zugreifen können, kann dies lebensgefährlich für den Patienten sein. Daher müssen Sicherheitskontrollen in Einrichtungen des Gesundheitswesens unter Berücksichtigung der klinischen Realität konzipiert werden. Andernfalls, wenn es zu inakzeptablen Zugriffsbeschränkungen kommt, werden medizinische Fachkräfte die Kontrollanforderungen umgehen.
Wie führen die Dringlichkeit der medizinischen Versorgung, Alarmmüdigkeit und gemeinsam genutzte Arbeitsplätze zu Sicherheitslücken?
Wenn medizinisches Fachpersonal mit mehreren Patienten in kritischem Zustand beschäftigt ist und jede Sekunde, die verloren geht, zu einem schwerwiegenden Betriebsvorfall führen kann, halten sie sich nicht an Sicherheitsverfahren: Sie konzentrieren sich ausschließlich darauf, Leben zu retten.
In solchen Situationen können gemeinsam genutzte Arbeitsplätze, an denen pro Schicht mehr als 15 medizinische Fachkräfte arbeiten, schwerwiegende Sicherheitsprobleme verursachen, wie beispielsweise den Zugriff auf sensible Patientendaten und Systemhacks. Denn die meisten Sicherheitsarchitekturen basieren auf dem Modell der individuellen Authentifizierung.
Schließlich ist Alarmmüdigkeit ein weiterer Faktor, der Sicherheitslücken in Einrichtungen des Gesundheitswesens verursacht. Denn wenn medizinisches Fachpersonal Authentifizierungsaufforderungen, Warnungen wegen abgelaufener Sitzungszeiten und Meldungen über verweigerten Zugriff erhält, betrachtet es diese als zusätzliche Belastung, die es ignoriert.
Warum erschweren klinische Umgebungen, die rund um die Uhr in Betrieb sind, die Durchsetzung der Cybersicherheit?
Krankenhäuser sind rund um die Uhr in Betrieb, was man vom Sicherheitspersonal nicht behaupten kann. Der Sicherheitsbetrieb bietet keine vollständige Abdeckung für Nachtschichten. Zudem nimmt die Analysekapazität im Hinblick auf Cyberbedrohungen ab. Und raffinierte Ransomware-Angreifer sind sich dessen sehr wohl bewusst.
Hacker nehmen Gesundheitscluster in den frühen Morgenstunden ins Visier, da die Reaktionsfähigkeit auf Cyberbedrohungen dann am geringsten ist und das medizinische Personal erschöpft ist. So führt beispielsweise ein Ransomware-Angriff um 3 Uhr morgens in einem Krankenhaus zu schwerwiegenderen Folgen als derselbe Vorfall um 10 Uhr morgens, selbst wenn dieselben technischen Schutzmaßnahmen vorhanden sind.
Welche personellen und menschlichen Faktoren erhöhen das Sicherheitsrisiko in Gesundheitssystemen?
Zu den personellen und menschlichen Faktoren, die das Sicherheitsrisiko in Gesundheitssystemen erhöhen, gehören Abkürzungen aufgrund von Burnout, mangelndes Cyber-Bewusstsein und Stress am Arbeitsplatz.
Wie wirken sich Personalfluktuation und Personalmangel auf die Sicherheitslage aus?
Wenn eine Einrichtung des Gesundheitswesens hohe Fluktuationsraten aufweist, bleiben die Konten ausscheidender Mitarbeiter in der Regel auch nach deren Ausscheiden aktiv. Und genau hier setzen Angreifer an, um Zugriff auf diese Konten zu erlangen. Darüber hinaus können auch ehemalige Mitarbeiter diese Konten ausnutzen.
Wie sieht es mit unterbesetzten Teams aus? Diese haben Schwierigkeiten, die Zugriffskontrollen und die Überwachung aufrechtzuerhalten sowie administrative Aufgaben und Sicherheitsverfahren ordnungsgemäß zu bewältigen. Infolgedessen sind Einrichtungen des Gesundheitswesens nur unzureichend vor Cyberbedrohungen geschützt.
Warum umgehen medizinische Fachkräfte manchmal Sicherheitskontrollen, und wie lässt sich dem begegnen?
Medizinische Fachkräfte umgehen Sicherheitskontrollen in Fällen, in denen das Leben von Patienten durch zeitaufwändige Sicherheitsmaßnahmen gefährdet werden könnte. Dies ist eines der Beispiele.
Konkret: Wenn eine unmittelbare klinische Notlage vorliegt und die medizinische Fachkraft bestimmte sicherheitsrelevante Schritte durchführen muss, um auf Patientenakten zuzugreifen, umgeht sie diese Schritte.
Und dies hängt mit der Konzeption und der Disziplin zusammen. Daher sollten Reibungsverluste im Arbeitsablauf beseitigt werden, anstatt das Umgehen von Sicherheitskontrollen zu bestrafen. So sollten Einrichtungen des Gesundheitswesens beispielsweise den Einsatz von Single Sign-On für die Authentifizierung und rollenbasierten Zugriff in Betracht ziehen. Denn effiziente, sichere Abläufe beseitigen Reibungsverluste und lassen Umgehungsmaßnahmen überflüssig werden.
Wie können Gesundheitsdienstleister zum Bewusstsein für Datensicherheit beitragen und menschliche Fehler reduzieren?
Vierteljährlich stattfindende Sicherheitsschulungen, die auf bestimmte Rollen und Szenarien zugeschnitten sind, verbessern das Sicherheitsbewusstsein erheblich und reduzieren menschliche Fehler – was man von allgemeinen jährlichen Compliance-Schulungen nicht behaupten kann.
Erfolgreiche Krankenhäuser organisieren Phishing-Simulationen, die auf spezifischen Vorwänden aus dem Gesundheitswesen basieren. So bauen sie diese Simulationen beispielsweise auf dringende versicherungsbezogene Benachrichtigungen, E-Mails zu regulatorischen Aktualisierungen und Überweisungslinks von Ärzten auf.
Solche Schulungen sollten dem medizinischen Personal verdeutlichen, dass ein Sicherheitsversagen eher Schaden für den Patienten als regulatorische Probleme verursachen kann.
Welche Governance-Modelle und Sicherheitsrichtlinien reduzieren durch Menschen verursachte Sicherheitsrisiken?
Einrichtungen des Gesundheitswesens sollten eine wirksame Governance anwenden, um durch menschliches Versagen verursachte Sicherheitsrisiken zu verringern. Eine solche Governance sollte auf einer in klinischer Sprache verfassten Richtlinie, der konsequenten Durchsetzung von Sicherheitsmaßnahmen für alle Mitarbeiter unabhängig von ihrer Dienstzeit sowie einer Kultur beruhen, in der Sicherheitsbedenken unverzüglich angegangen werden.
Wenn Richtlinien lediglich der Erfüllung von Compliance-Anforderungen dienen, das klinische Personal sie jedoch nicht versteht, werden sie nicht zu operativen Kontrollmaßnahmen.
Inwiefern verstärken Interoperabilität und Datenaustausch die Sicherheitsherausforderungen?
Interoperabilität und Datenaustausch setzen Einrichtungen des Gesundheitswesens einem höheren Risiko von Datenschutzverletzungen aus. Infolgedessen nehmen die Sicherheitsherausforderungen zu und werden komplexer.
Welche Risiken entstehen, wenn Einrichtungen des Gesundheitswesens Patientendaten zwischen verschiedenen Einrichtungen austauschen?
Wenn Einrichtungen des Gesundheitswesens Patientendaten austauschen, schaffen sie eine potenzielle Schwachstelle. Und jedes empfangende System wird zu einer potenziellen Quelle für einen Datenleck.
Die Sicherheit der ausgetauschten Daten hängt vom schwächsten System im Austauschnetzwerk ab.
Häufig verfügt dieses System nur über minimale Sicherheitsressourcen und ist nicht in der Lage, modernen Cyberbedrohungen entgegenzuwirken. Das Problem wird noch komplexer, wenn es um den Datenaustausch zwischen großen Gesundheitssystemen geht.
Wenn Angreifer Gesundheitsinformationsbörsen, Clearingstellen und Datenaggregatoren ins Visier nehmen, sind alle Organisationen betroffen, die Informationen mit diesen austauschen. Daraus ergeben sich Haftungs- und Meldepflichten, die sich nicht nur auf die betroffene Einrichtung beziehen.
Wie verändern APIs, FHIR und Anwendungen von Drittanbietern die Sicherheitslandschaft?
Fast Healthcare Interoperability Resources-APIs, die auf dem 21st Century Cures Act basieren, haben den Datenaustausch und die Anzahl von Drittanbieter-Anwendungen im Zusammenhang mit Patienten erweitert.
Der FHIR-Standard (Fast Healthcare Interoperability Resources) legt fest, wie gängige Web-Tools und -Regeln genutzt werden können, um die Vernetzung von Gesundheitssystemen zu gewährleisten.
Der 21st Century Cures Act beschleunigt die Entwicklung medizinischer Produkte und bietet Patienten neue Innovationen und Fortschritte für eine schnellere und effizientere Gesundheitsversorgung.
Jede Anwendungsprogrammierschnittstelle (API) dient als Mechanismus, der es Softwarekomponenten ermöglicht, über spezifische Sicherheitsprotokolle und -definitionen miteinander zu kommunizieren, und stellt somit einen Angriffsvektor im Bereich der Cybersicherheit im Gesundheitswesen dar. Denn Anwendungen von Drittanbietern verfügen möglicherweise nur über begrenzte Sicherheitsressourcen und es fehlt ihnen an einer wirksamen Sicherheitsüberwachung.
Wenn die zunehmende Verbreitung von APIs im Gesundheitswesen eine Angriffsfläche schafft, fehlt es an einem ordnungsgemäß geregelten Ökosystem externer Anwendungen, um den systemübergreifenden Fluss von Patientendaten zu sichern.
Welche Fragen sollten Krankenhäuser zum Umgang mit Daten durch Anbieter und zur Integrationssicherheit stellen?
Krankenhäuser sollten spezifische Fragen zum Umgang mit Daten durch Anbieter und zur Integrationssicherheit stellen, die ihnen helfen können, Patientendaten sicher zu schützen. Antworten auf die folgenden Hauptfragen helfen Organisationen im Gesundheitswesen dabei, sich ein klareres und genaueres Bild von anbieterbezogenen Themen zu machen, anstatt sich lediglich auf Business-Associate-Vereinbarungen zu verlassen:
- „Auf welche spezifischen Kategorien von geschützten Gesundheitsdaten (PHI) greift der Anbieter zu? Wo werden diese gespeichert?“
- „Wer innerhalb der Anbieterorganisation hat Zugriff, und nach welchem Zugriffskontrollmodell?“
- „Sind die Integrationszugangsdaten statisch oder werden sie regelmäßig geändert?“
- „Wird bei der Integration das Prinzip der geringsten Berechtigungen angewendet?“
- „Welche Protokollierung gibt es auf Seiten des Anbieters, und steht diese für Krankenhausprüfungen zur Verfügung?“
- „Wie sieht der Zeitplan des Anbieters für die Benachrichtigung bei Datenschutzverletzungen aus?“
- „Wurde der Notfallplan des Anbieters getestet?“
- „Wie sieht die Historie der Sicherheitsvorfälle aus, einschließlich derer, die die Meldeschwellen nicht erreicht haben?“
Wie können Organisationen einen Ausgleich zwischen dem Datenaustausch zur Versorgungskoordination und dem Schutz der Privatsphäre sowie der Sicherheit schaffen?
Organisationen im Gesundheitswesen können durch Datenminimierung ein Gleichgewicht zwischen dem Datenaustausch zur Versorgungskoordination und der Sicherheit herstellen.
Konkret bedeutet dies, dass sie nur die für bestimmte klinische Fälle unbedingt erforderlichen Informationen weitergeben sollten. Darüber hinaus sollten sie den Zugriff auf diese Informationen streng regeln.
| Sicherheitsdomäne | Schlüsselmaßnahme | Spezifische Überlegungen für das Gesundheitswesen |
|---|---|---|
| Zugriffskontrolle | MFA + rollenbasierter Zugriff | Muss gemeinsam genutzte Arbeitsplätze und klinische Dringlichkeiten berücksichtigen |
| Netzwerksicherheit | Segmentierung + Zero-Trust | Isolierung klinischer Technologie-Assets ohne Unterbrechung der klinischen Arbeitsabläufe |
| Endgeräteschutz | EDR/XDR | Ältere klinische Geräte unterstützen möglicherweise keine Agenteninstallation |
| Datenschutz | Verschlüsselung im Ruhezustand und während der Übertragung | Die vorgeschlagene HIPAA-Aktualisierung würde die Verschlüsselung verpflichtend machen |
| Sicherung und Wiederherstellung | Unveränderliche Backups mit Air-Gap | Die Wiederherstellungszeit muss den klinischen Betriebsanforderungen entsprechen |
| Überwachung | SIEM mit Verhaltensanalyse | Muss auf die Basismuster klinischer Arbeitsabläufe abgestimmt sein |
| Anbietermanagement | BAAs sowie regelmäßige Zugriffsprüfungen | Der Zugriff durch Anbieter ist notwendig, wird jedoch durchweg übermäßig gewährt |
| Reaktion auf Vorfälle | Erprobte Playbooks mit Verfahren für klinische Ausfallzeiten | Der klinische Betrieb darf für Sicherheitsmaßnahmen nicht unterbrochen werden |
Erfolgreiche Organisationen setzen auf einen zweckgebundenen Datenaustausch und setzen die automatisierte Durchsetzung von Datenaustauschrichtlinien auf API-Ebene um. Dies hilft ihnen dabei, durch einen eingeschränkten Zugriff auf Patientenakten die Vernetzung zum Schutz von Patientendaten zu gewährleisten.
Vor welchen Herausforderungen in den Bereichen Regulierung, Compliance und Datenschutz stehen Organisationen im Gesundheitswesen?
Zu den wichtigsten regulatorischen, Compliance- und Datenschutzherausforderungen für Organisationen im Gesundheitswesen zählen der Schutz sensibler Gesundheitsdaten vor Cyberangriffen sowie die Einhaltung gesetzlicher Rahmenbedingungen wie des Health Insurance Portability and Accountability Act (HIPAA) und der Datenschutz-Grundverordnung (DSGVO).
Eine weitere zentrale Herausforderung ist die Verwaltung und Integration medizinischer IoT-Geräte und künstlicher Intelligenz im Zusammenhang mit dem Health Information Technology for Economic and Clinical Health (HITECH).
Inwiefern überschneiden sich HIPAA, HITECH und DSGVO für Organisationen im Gesundheitswesen?
Der „Health Insurance Portability and Accountability Act“ legt die Anforderungen für den Schutz von Patientendaten im Gesundheitswesen und die Meldung von Datenschutzverletzungen fest.
Der „Health Information Technology for Economic and Clinical Health Act“ legt die Anforderungen fest, die die Durchsetzung des Datenschutzes im Gesundheitswesen stärken und zivilrechtliche Geldstrafen vorsehen. Organisationen im Gesundheitswesen müssen bei vorsätzlicher Vernachlässigung bis zu 1,9 Millionen US-Dollar pro Verstoßkategorie und Jahr zahlen.
Die Datenschutz-Grundverordnung (DSGVO) gilt für Organisationen im Gesundheitswesen, die Daten von in der Europäischen Union (EU) ansässigen Personen verarbeiten. Dieses Gesetz führt strengere Einwilligungsanforderungen ein, verpflichtet Organisationen, Aufsichtsbehörden innerhalb von 72 Stunden über eine Datenschutzverletzung zu informieren, und verhängt Strafen in Höhe von bis zu 4 % des weltweiten Jahresumsatzes.
Bei Überschneidungen der Anforderungen müssen Organisationen im Gesundheitswesen die strengeren Standards für die Datensicherheit im Gesundheitswesen unter den genannten Anforderungen erfüllen.
Welche betrieblichen und rechtlichen Auswirkungen hat eine Datenschutzverletzung im Gesundheitswesen?
Eine Datenschutzverletzung im Gesundheitswesen kann zu einer sofortigen Beeinträchtigung der betroffenen Systeme führen. Mitarbeiter werden von der Patientenversorgung abgezogen und in das Vorfallmanagement eingebunden. Die Führungskräfte konzentrieren sich mehr auf die Krisenbewältigung als auf die organisatorische Leitung.
Aus rechtlicher Sicht können Ermittlungen und Verfahren der Generalstaatsanwaltschaft Jahre dauern. Gerichte lassen zunehmend erweiterte Haftungstheorien zu, wie beispielsweise den inhärenten Wert der Privatsphäre und klinische Schäden durch die Verfälschung von Krankenakten. Dies hat die Schwelle für die Zulassung von Sammelklagen und das finanzielle Risiko gesenkt.
Welche Sicherheitsmaßnahmen und Best Practices zur Informationssicherheit im Gesundheitswesen verbessern die Cyber-Resilienz im Gesundheitswesen?
Organisationen im Gesundheitswesen können mithilfe der Zero-Trust-Architektur eine stärkere Resilienz beim Datenschutz erreichen. Zero Trust bedeutet, dass standardmäßig niemandem innerhalb oder außerhalb des Netzwerks vertraut werden darf.
Darüber hinaus sollten Organisationen Multi-Faktor-Authentifizierung einsetzen, medizinische IoT-Geräte segmentieren, regelmäßige Backup-Übungen durchführen und eine KI-gestützte Bedrohungsüberwachung anwenden, um eine unterbrechungsfreie Patientenversorgung zu gewährleisten.
Welche rechtlichen Risiken ergeben sich aus unzureichenden Sicherheitskontrollen oder einer verzögerten Reaktion auf Datenschutzverletzungen?
Gemäß dem Health Insurance Portability and Accountability Act (HIPAA) haben Organisationen nach der Entdeckung einer Datenschutzverletzung 60 Tage Zeit.
Kann eine Organisation keinen klaren, dokumentierten Entdeckungsprozess nachweisen, ziehen das Büro für Bürgerrechte des Ministeriums für Gesundheit und Soziales (Department of Health and Human Services Office for Civil Rights) sowie Gerichte in Zivilverfahren nachteilige Schlussfolgerungen. Dazu können die Schlussfolgerung auf eine vermutete Nichteinhaltung der Fristen und die Schlussfolgerung auf „vorsätzliche Vernachlässigung“ gehören.
Bei vorsätzlicher Vernachlässigung geht es um bewusstes und absichtliches Handeln, das zu einem Versäumnis führt. Zudem geht es um rücksichtsloses Missachten rechtlicher, beruflicher oder vertraglicher Verpflichtungen.
Die Vermutung der mutmaßlichen Nichteinhaltung der Fristen bezieht sich auf das Versäumnis, innerhalb eines akzeptablen oder gesetzlich vorgeschriebenen Zeitrahmens zu handeln oder Informationen bereitzustellen.
Infolgedessen schreiben die staatlichen Vorschriften im Gesundheitswesen eine 30-Tage-Frist vor, was im Hinblick auf den Health Insurance Portability and Accountability Act (HIPAA) problematisch sein kann.
Welche Lösungen zur Datensicherheit im Gesundheitswesen können moderne Cyberbedrohungen abmildern?
Um moderne Cyberbedrohungen im Gesundheitswesen, darunter Ransomware, Phishing und Schwachstellen bei medizinischen Geräten, abzuwehren, müssen Organisationen im Gesundheitswesen eine mehrschichtige Verteidigungsstrategie umsetzen, die auf Maßnahmen wie Risikobewertung und Bedrohungsmodellierung basiert.
Hier ist ein Reifegradmodell für die Sicherheit in Krankenhäusern:
| Stufe | Merkmale |
| Grundlegend | Reaktiv |
| Mittelstufe | Segmentierung |
| Fortgeschritten | Zero Trust |
| Ausgereift | Automatisierte Erkennung |
Sehen wir uns an, wie diese und weitere gängige Maßnahmen zur Datensicherheit im Gesundheitswesen helfen können.
Wie lassen sich Risikobewertungen und Bedrohungsmodellierung auf Krankenhäuser zuschneiden?
Risikobewertung im Gesundheitswesen hilft Organisationen im Gesundheitswesen dabei, die klinischen Auswirkungen von Sicherheitsmaßnahmen auf mögliche Bedrohungen zu bewerten und Schwachstellen zu ermitteln, wie beispielsweise den uneingeschränkten Zugriff auf Gesundheitsinformationen und den Austausch von Patientendaten.
Bedrohungsmodellierung ist ein proaktiver Cybersicherheitsprozess, der Organisationen im Gesundheitswesen dabei unterstützt, potenzielle Sicherheitsbedrohungen für ein System zu identifizieren, zu analysieren und zu priorisieren, bevor ein Angriff stattfindet. Die Bedrohungsmodellierung sollte auf konkreten Szenarien basieren, die von Phishing bis hin zum Missbrauch von Zugangsdaten reichen.
Welche Rolle spielen Netzwerksegmentierung, Mikrosegmentierung und Zero Trust im Gesundheitswesen?
Die Netzwerksegmentierung ist eine äußerst wertvolle Investition in die Sicherheit, da sie Organisationen im Gesundheitswesen dabei hilft zu verhindern, dass sich ein einzelner kompromittierter Arbeitsplatz zu einem krankenhausweiten Betriebsvorfall ausweitet. Durch die Segmentierung von Netzwerken verhindern Organisationen, dass Hacker Zugriff auf EHR-Server oder die Backup-Infrastruktur erhalten.
Zero Trust geht noch einen Schritt weiter: Es erfordert die Überprüfung jeder Zugriffsanfrage. Wichtig ist, dass Zero Trust im Gesundheitswesen unter Berücksichtigung der Authentifizierungsgeschwindigkeit und der Kompatibilität mit klinischen Arbeitsabläufen konzipiert wird.
Wie effektiv sind Endpunkt-Erkennungs-, EDR- und XDR-Lösungen in klinischen Umgebungen?
Endpoint Detection and Response (EDR), auch Endpoint Threat Detection and Response (ETDR) genannt, ist eine Cybersicherheitstechnologie, die einen „Endpunkt“ – wie beispielsweise ein Mobiltelefon oder einen Laptop – ständig überwacht, um bösartige Cyberbedrohungen zu beseitigen.
Extended Detection and Response (XDR) ist eine der modernen Sicherheitstechnologien, die laterale Bewegungen, den Zugriff mit Anmeldedaten sowie Erkundungsaktivitäten erkennt und Bedrohungsdaten von Endpunkten bis hin zu Netzwerken analysiert, wodurch die Bedrohungssuche und -abwehr beschleunigt wird.
Gesundheitsorganisationen, die solche Erkennungsagenten einsetzen, während sie mit dem Netzwerk verbundene medizinische Geräte unbeaufsichtigt lassen, genießen einen höheren Schutz vor Cyberbedrohungen.
Wie können Verschlüsselung und Identitätsmanagement geschützte Gesundheitsdaten (PHI) und andere personenbezogene Daten schützen?
Verschlüsselung macht Gesundheitsdaten für unbefugte Nutzer unzugänglich und schützt elektronische Patientendaten (ePHI) in Datenbanken, Sicherungskopien, tragbaren Geräten sowie während der Übertragung zwischen Systemen.
Identitäts- und Zugriffsmanagement (IAM) bildet die Grundlage für die Einhaltung des Health Insurance Portability and Accountability Act (HIPAA). Dieser Mindeststandard bezieht sich auf rollenbasierte Zugriffskontrolle und regelmäßige Zugriffsprüfungen, die Organisationen im Gesundheitswesen zur Sicherung von Patientendaten anwenden sollten.
Die Kombination aus Verschlüsselung und Identitäts- und Zugriffsmanagement ermöglicht es Organisationen, eine unbefugte Datennutzung nach einer Sicherheitsverletzung zu verhindern. Zudem verhindert sie, dass Insider mit übermäßigen Berechtigungen auf Patienteninformationen zugreifen oder kompromittierte Anmeldedaten nutzen, um auf Gesundheitsakten zuzugreifen.
Welche Rolle spielen Sicherheitsorchestrierung, Automatisierung und die Planung von Reaktionen auf Vorfälle?
Plattformen für Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) ermöglichen es Organisationen im Gesundheitswesen, erste Warnmeldungen und gängige Reaktionsmaßnahmen zu automatisieren. Dazu gehört beispielsweise, stundenlange manuelle Koordinationsarbeiten auf wenige Minuten automatisierter Ausführung zu verkürzen.
Im Gesundheitswesen müssen Plattformen für Sicherheitsorchestrierung, -automatisierung und -reaktion auf den klinischen Kontext abgestimmt sein. So unterscheidet beispielsweise im Gesundheitswesen eine klinisch orientierte Automatisierungslogik zwischen verschiedenen Endgerätetypen.
Wichtig ist, dass Pläne zur Reaktion auf Vorfälle anhand realistischer Szenarien getestet werden. Andernfalls bleiben sie reine Theorie. Und Entscheidungsfindung auf der Grundlage regelmäßiger Übungen unter simulierten Krisenbedingungen ermöglicht es Organisationen im Gesundheitswesen, Patientendaten wirksam vor Cyberbedrohungen zu schützen.
Wie verläuft ein moderner Ransomware-Angriff im Gesundheitswesen typischerweise innerhalb eines Krankenhauses?
Hier ein Beispiel für einen Angriffsablauf:
Tag 1: Ein Abrechnungskoordinator erhält eine Phishing-E-Mail, die einer Benachrichtigung der Krankenkasse ähnelt. Die Angreifer stehlen Anmeldedaten mithilfe einer gefälschten Anmeldeseite. Anschließend stellen sie eine Verbindung über VPN her. Das Sicherheitsteam erhält keine Warnmeldungen, da die Angreifer gültige Anmeldedaten verwendet haben. Zudem weicht die IP-Adresse nicht vom normalen Standortmuster des Benutzers ab.
Tage 3–8: Das Hackerteam identifiziert Domänencontroller, Server für elektronische Patientenakten und die Backup-Infrastruktur. Die Hacker verschaffen sich privilegierten Zugriff über veraltete, nicht gepatchte Arbeitsplätze und erlangen Anmeldedaten des Domänenadministrators.
Tage 9–20: Die Hacker stehlen systematisch Patientendaten. Darüber hinaus lokalisieren sie Backup-Systeme, nutzen kompromittierte Anmeldedaten, um darauf zuzugreifen, und löschen oder verschlüsseln die Daten für die letzte Phase.
Tag 21: Ransomware befällt Server für elektronische Patientenakten, Bildgebungs- und Verwaltungssysteme, Arbeitsstationen sowie die Backup-Infrastruktur. Der klinische Betrieb wird auf Papierbasis umgestellt. Das medizinische Personal verschiebt Operationen. Der Rettungsdienstbetrieb ist beeinträchtigt. Die Angreifer versenden Lösegeldforderungen mit gestohlenen Patienten-Datenproben und drohen mit deren Veröffentlichung.
Wie gelangen Angreifer vom Phishing zur Kompromittierung des EHR-Systems?
Hacker gelangen vom Phishing zu elektronischen Gesundheitssystemen, indem sie Zugangsdaten stehlen, um sich Netzwerkzugang zu verschaffen. Anschließend nutzen sie legitime Tools und Zugangsdaten, verschaffen sich privilegierten Zugriff über ungepatchte Schwachstellen oder die Wiederverwendung von Zugangsdaten und erlangen schließlich über Zugangsdaten auf Domänenebene Zugriff auf elektronische Patientenakten.
Gesundheitsorganisationen müssen Technologien zur Bedrohungssuche und zur Erkennung von Verhaltensanomalien einsetzen, um einen Einbruch aufzudecken, bevor Ransomware die Systeme beeinträchtigt.
Warum werden Backup-Systeme und Wiederherstellungsinfrastrukturen zunehmend zum Ziel von Hackern?
Hacker nehmen zunehmend Backup-Systeme und Wiederherstellungsinfrastrukturen ins Visier, da Backups es Angreifern nicht ermöglichen, das Lösegeld zu erhalten. Aus diesem Grund konzentrieren sich Ransomware-Gruppen als standardmäßigen Schritt vor dem Einsatz auf die Zerstörung von Backups.
Einrichtungen des Gesundheitswesens verfügen über Backups, die Hacker auf Domänenebene leicht zerstören können. Um Ransomware-Angriffe im Gesundheitswesen wirksam zu bekämpfen, sollten Backup-Systeme über „Air-Gapped“-Kopien verfügen, die keinen Netzwerkpfad zur Produktionsumgebung aufweisen.
Darüber hinaus sollten sie mit unveränderten Speicherkonfigurationen ausgelegt sein, die Hacker nicht modifizieren können. Schließlich sollten die für Backup-Systeme verwendeten Zugangsdaten getrennt von der Produktionsdomäne verwahrt werden.
Welche Betriebsstörungen treten auf, nachdem Angreifer Zugriff auf Daten im Gesundheitswesen erlangt haben?
Nachdem Hacker Zugriff auf Gesundheitsdaten erlangt haben, greift die angegriffene Einrichtung wieder auf Papierdokumente zurück und sagt elektive Eingriffe ab. Möglicherweise werden Notfallpatienten auch an benachbarte Einrichtungen umgeleitet.
Benachbarte Einrichtungen nehmen die umgeleiteten Patienten auf und sehen sich mit unerwarteten Herausforderungen konfrontiert, wie beispielsweise ungeplanten Operationen und Diagnostikmaßnahmen, die den Gesamtbetrieb beeinträchtigen.
Dies ist das Ausmaß der betrieblichen Auswirkungen, das sich auf Schäden, Ausfälle oder Kettenreaktionen bezieht, die durch einen einzelnen Vorfall, eine Explosion oder einen Systemfehler verursacht werden.
Im Gesundheitswesen kann ein einziger Angriff die Versorgung im gesamten regionalen Gesundheitssystem beeinträchtigen.
Wie können Organisationen im Gesundheitswesen Bacula Systems nutzen, um ihre Widerstandsfähigkeit bei der Wiederherstellung nach Ransomware-Angriffen zu stärken?
Bacula Systems bietet Datenschutz- und Wiederherstellungslösungen, die speziell für die besonderen Bedrohungslagen im Gesundheitswesen entwickelt wurden. Die Backup-Lösungen von Bacula für das Gesundheitswesen bieten Widerstandsfähigkeit gegen Ransomware, die auf drei Prinzipien beruht:
Architektonische Trennung: Air-Gapped-Backup-Kopien ohne jegliche Netzwerkverbindung zur Produktionsumgebung. Unveränderte Speicherkonfigurationen, bei denen Hacker die Backup-Daten selbst mit kompromittierten Administrator-Zugangsdaten weder ändern noch löschen können.
Dadurch verhindert Bacula die Möglichkeit der Backup-Zerstörung, die für Ransomware-Gruppen zur gängigen Praxis geworden ist.
HIPAA-konformer Datenschutz: Advanced Encryption Standard (AES)-256-Verschlüsselung von Backup-Daten sowohl im Ruhezustand als auch während der Übertragung. AES-256 ist ein praktisch unknackbarer symmetrischer Verschlüsselungsalgorithmus, der einen 256-Bit-Schlüssel verwendet, um Klartext in eine verschlüsselte Form umzuwandeln.
Darüber hinaus bietet Bacula eine rollenbasierte Zugriffssteuerung für die Backup-Infrastruktur sowie eine umfassende Protokollierung aller Backup- und Wiederherstellungsvorgänge. Dadurch verfügen Organisationen im Gesundheitswesen über die für Compliance-Audits und Untersuchungen bei Datenschutzverletzungen erforderlichen Unterlagen.
Geprüfte Wiederherstellungsfähigkeit: Automatisierte Integritätsprüfungen, um sicherzustellen, dass Daten planmäßig wiederhergestellt werden können. Dadurch erhalten Organisationen im Gesundheitswesen dokumentierte Nachweise über die Wiederherstellbarkeit von Daten innerhalb der für die Patientensicherheit erforderlichen klinischen Wiederherstellungszeitziele (Recovery Time Objectives, RTO).
Dank Bacula Systems können ältere Betriebssysteme in einer Gesundheitsumgebung auf klinischen Geräten neben modernen Plattformen betrieben werden.
Bacula bietet für die wichtigsten Datenbankplattformen für elektronische Patientenakten anwendungskonsistente, hochsichere Backups. Dadurch sind wiederhergestellte Daten klinisch nutzbar und nicht nur technisch wiederhergestellt, aber funktional unbrauchbar.
Wie sollten Einrichtungen des Gesundheitswesens sich auf Datenschutzverletzungen und Sicherheitsvorfälle vorbereiten?
Um sich auf Datenschutzverletzungen vorzubereiten, sollten Einrichtungen des Gesundheitswesens eine robuste Sicherheitskultur aufbauen. Dazu ist es entscheidend, das Personal regelmäßig zu schulen, strenge Zugriffskontrollen wie die Multi-Faktor-Authentifizierung durchzusetzen und einen gründlich getesteten Incident-Response-Plan (IRP) zu pflegen, der dazu beitragen kann, die Auswirkungen von Vorfällen zu minimieren.
Hier ist ein Beispiel für eine Checkliste zur Cybersicherheit im Gesundheitswesen:
- MFA aktiviert
- Backup-Tests abgeschlossen
- Medizinische Geräte inventarisiert
- Zugriff von Lieferanten überprüft
- Reaktion auf Vorfälle getestet
Was sollte ein Vorfallreaktionsplan für Krankenhäuser beinhalten, und wer sollte einbezogen werden?
Neben dem Sicherheitsteam einer Einrichtung des Gesundheitswesens sollte auch die klinische Leitung in einen wirksamen Vorfallreaktionsplan einbezogen werden. Sicherheitspläne müssen auf einem Erkennungs- und Eskalationsverfahren mit definierten Benachrichtigungsschwellen basieren.
Zudem muss er ein Protokoll für klinische Ausfallzeiten enthalten, das regelt, wie die Patientenversorgung fortgesetzt wird, wenn Systeme nicht verfügbar sind. Darüber hinaus muss der Plan ein Kommunikationskonzept umfassen, das die interne Eskalation, die Benachrichtigung der Aufsichtsbehörden, die Benachrichtigung der Patienten sowie den Umgang mit den Medien abdeckt.
Schließlich muss der Plan Wiederherstellungsmaßnahmen enthalten, bei denen die Systeme nach ihrer klinischen Kritikalität priorisiert werden, und festlegen, wie die Organisationen mit externen Incident-Response-Unternehmen und Rechtsberatern kommunizieren sollen.
Wie können Organisationen ihre Reaktionspläne testen, ohne die Patientenversorgung zu beeinträchtigen?
Um Reaktionspläne für Cyberangriffe zu testen, ohne die Patientenversorgung zu beeinträchtigen, sollten Einrichtungen des Gesundheitswesens realitätsnahe Simulationen mit dem wichtigsten Einsatzpersonal durchführen.
Diese Simulationen sollten sich nicht auf die Frage „Was sieht der Plan vor?“ konzentrieren, sondern auf die Frage: „Was tun Sie in dieser konkreten Situation um 3 Uhr morgens an einem Samstag, wen rufen Sie an und welche klinischen Entscheidungen treffen Sie?“
Eine solche Vorbereitung hilft dabei, unklare Rollenverteilungen, unzureichende Ausfallverfahren und unrealistische Annahmen zu vermeiden. Wichtig ist, dass alle derartigen unzureichenden und unrealistischen Szenarien behoben werden, bevor der tatsächliche Vorfall eintritt, um Versagen während der Krise zu vermeiden.
Wann und wie sollten Krankenhäuser Strafverfolgungsbehörden, Aufsichtsbehörden und externe Einsatzkräfte einbeziehen?
Die Cyberabteilung des Federal Bureau of Investigation (FBI), die Internetkriminalität untersucht und strafrechtlich verfolgt, sollte bei bestätigten Ransomware-Vorfällen frühzeitig einbezogen werden. Die Ransomware-Gruppen des FBI verfügen möglicherweise über Entschlüsselungstools und können Bedrohungsinformationen bereitstellen, die als Grundlage für Reaktionsentscheidungen dienen.
Einrichtungen des Gesundheitswesens haben nach der Entdeckung einer Datenschutzverletzung 60 Tage Zeit, sich an das Büro für Bürgerrechte des US-Gesundheitsministeriums (US Department of Health and Human Services Office for Civil Rights) zu wenden. Was die Rechtsberatung betrifft, sollte die Einbindung nicht erst nach dem Vorfall erfolgen.
Dadurch wird die Zusammenarbeit zwischen Anwalt und Mandant nicht kompliziert, und die Fristen für die Benachrichtigung lassen sich im Rahmen des HIPAA und der geltenden Landesgesetze problemlos einhalten.
Zudem kann eine solche rechtzeitige Einbindung dazu beitragen, Versäumnisse hinsichtlich der Benachrichtigungsfristen zu vermeiden, die bereits zu erheblichen Durchsetzungsmaßnahmen geführt haben.
Wie lassen sich Erkenntnisse aus dem Vorfall integrieren, um die Abwehrmaßnahmen für die Zukunft zu stärken?
Organisationen im Gesundheitswesen sollten innerhalb von Wochen, nicht Monaten, Nachuntersuchungen durchführen. Schließlich helfen effektive und zeitnahe Untersuchungen dabei, die zugrunde liegenden Ursachen statt nur die Symptome zu identifizieren. Dies ist wichtig, um bestimmten Verantwortlichen innerhalb bestimmter Fristen konkrete Abhilfemaßnahmen zuzuweisen.
Aus den gewonnenen Erkenntnissen zu lernen, hilft Organisationen dabei, Informationen besser vor Cyberbedrohungen im Gesundheitswesen zu schützen. Konkret können erfolgreiche Phishing-Angriffe als Lehre dafür dienen, wie häufig Organisationen ihre Mitarbeiter schulen sollten. Oder ein Fehler bei der Integrität von Backups kann einer Organisation zeigen, wie automatisierte Wiederherstellungstests erfolgreich implementiert werden können.
Welche finanziellen und organisatorischen Hindernisse stehen einer Verbesserung der Sicherheit im Weg?
In finanzieller Hinsicht können begrenzte Betriebsbudgets, hohe Kosten für Abhilfemaßnahmen und die Abhängigkeit von Altsystemen Hindernisse für die Sicherheit in Organisationen des Gesundheitswesens darstellen. Organisatorisch können der Mangel an Fachkräften im Bereich Cybersicherheit und hohe klinische Arbeitsbelastungen zu systemischen Benutzerfehlern führen.
Wie können Führungskräfte im Gesundheitswesen Sicherheitsinvestitionen gegenüber Vorständen und Interessengruppen rechtfertigen?
Sicherheitsinvestitionen umfassen Patientensicherheit, finanzielle Leistung und den Ruf der Organisation. Konkret umfassen die Kosten Umsatzverluste durch klinische Ausfallzeiten aufgrund verschobener Eingriffe, das Risiko behördlicher Strafen sowie die Auswirkungen auf den Ruf, die sich auf das Patientenaufkommen auswirken.
Obwohl das Bewusstsein für Cyberabwehr bei Organisationen im Gesundheitswesen wächst, verwenden die meisten Organisationen nach wie vor keine Mittel aus ihren IT-Budgets für die Cybersicherheit im Krankenhaus.
Welche Modelle gibt es, um die Rendite von Sicherheitsausgaben in Krankenhäusern zu quantifizieren?
Die erwartete Verlustminderung ist der nützlichste Ansatz zur Quantifizierung der Rendite von Sicherheitsausgaben in Einrichtungen des Gesundheitswesens. Sie hilft dabei, die Rendite von Investitionen in die Cybersicherheit zu quantifizieren, indem die mit einem Sicherheitstool verbundenen Kosten dem finanziellen Risiko gegenübergestellt werden, das dadurch vermieden wird.
Einrichtungen, die robuste Kontrollmaßnahmen implementieren und diese dokumentieren, erzielen unmittelbare, wiederkehrende Einsparungen, die die Kosten für Sicherheitsinvestitionen teilweise ausgleichen.
Inwiefern verzögern Beschaffungsprozesse, Haushaltszyklen und konkurrierende Prioritäten Sicherheitsprojekte?
Die Investitionszyklen im Gesundheitswesen verlaufen jährlich: Im ersten Jahr werden Schwachstellen identifiziert, im zweiten Jahr budgetiert und im dritten Jahr behoben. Diese Zyklen führen zu der erwähnten dreijährigen Lücke zwischen der Identifizierung einer Schwachstelle und der Umsetzung der Abhilfemaßnahmen.
Während dieses Zeitraums konzentrieren sich Angreifer darauf, Schwachstellen innerhalb der Organisationen auszunutzen. Und die schwerwiegendsten Sicherheitsversagen im Gesundheitswesen sind nicht auf ausgefeilte Fähigkeiten zurückzuführen. Sie werden durch mangelhafte Budgetzyklen, konkurrierende Prioritäten und organisatorische Trägheit verursacht, die es ermöglichten, dass Schwachstellen ausgenutzt wurden.
Welche Anreize oder Finanzierungsmechanismen können notwendige Sicherheitsupgrades beschleunigen?
In der Regel beschleunigen gezielte staatliche Zuschüsse, öffentlich-private Resilienzprogramme, tarifbasierte regulatorische Anreize und Innovationsfonds für Dual-Use-Anwendungen Sicherheitsupgrades.
Beispielsweise können Organisationen im Gesundheitswesen Mittel beantragen, die vom US-Gesundheitsministerium (Department of Health and Human Services) aus dem Medicare Hospital Insurance Trust Fund bereitgestellt werden. Konkret können diese Mittel im Rahmen des Rahmenwerks „Healthcare Cybersecurity Performance Goals“ für Cybersicherheits-Upgrades in Krankenhäusern mit hohem Bedarf verwendet werden.
Darüber hinaus stellen die Cybersecurity and Infrastructure Security Agency (CISA), die Cyberabteilung des FBI und das Health Information Sharing and Analysis Center (Health-ISAC) Bedrohungsinformationen, Rahmenwerke für bewährte Verfahren sowie technische Unterstützung bereit.
FAQ
Warum sind Einrichtungen des Gesundheitswesens trotz erheblicher Investitionen in die Cybersicherheit häufig Ziele von Ransomware-Angriffen?
Das Gesundheitswesen gilt für Angreifer als optimales Ziel für Ransomware, da in Einrichtungen des Gesundheitswesens hochwertige Daten vorhanden sind, deren Erlangung und Erpressung sich lohnt. Darüber hinaus ist der Gesundheitssektor mit lebensbedrohlichen Notfällen verbunden, was die Opfer unter Druck setzt, schnell zu zahlen. Schließlich werden operative Kontrollen von medizinischem Personal oft umgangen, da Patienten sofort versorgt werden müssen.
Welche Lösungen zur Datensicherheit im Gesundheitswesen sind am wirksamsten gegen Insider-Bedrohungen und den Missbrauch von Zugangsdaten?
Die User and Entity Behavior Analytics (UEBA)-Plattformen erkennen böswillige Zugriffe durch Insider und die Nutzung kompromittierter Zugangsdaten am effektivsten. Diese technischen Lösungen decken Muster auf, die nicht mit der klinischen Rolle eines Benutzers vereinbar sind. Wichtig ist, dass diese Plattformen auf das Umfeld im Gesundheitswesen zugeschnitten sind. Schließlich sollte auch eine strenge Zugriffssteuerung angewendet werden, einschließlich rollenbasierter Zugriffskontrolle, regelmäßiger Zugriffsprüfungen und der umgehenden Entziehung von Zugriffsrechten für ausscheidende Mitarbeiter.
Wie sollten Krankenhäuser die Reihenfolge der Wiederherstellung priorisieren, wenn eine Datenschutzverletzung im Gesundheitswesen mehrere klinische Systeme betrifft?
Die Reihenfolge der Wiederherstellung sollte sich nach der klinischen Dringlichkeit und nicht nach praktischen Erwägungen richten. Zunächst sollten sich Gesundheitsorganisationen auf die Patientensicherheit konzentrieren. Bei der Systemwiederherstellung sollten Organisationen lebensrettende Systeme in Bezug auf Patientenüberwachung, Medikamentenverabreichung und Notaufnahmen priorisieren. Danach folgt die Infrastruktur der elektronischen Patientenakten (EPA). Als Nächstes kommen Bildarchivsysteme, Verwaltungssysteme und schließlich Abrechnungssysteme.