:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/c0/c0c0c02c15d4b3b9f5311897cf0645bb/0117914923.jpeg "Bei Ivanti-Produkten gibt es aktuell gravierende Sicherheitslücken, die Angreifern das Ausführen von Schadcode ohne Authentifizierung ermöglichen. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/1e/f41e565c5a48fd32459e72dc05aa0af6/0117932860.jpeg "Spam ist bei Business-E-Mails leider noch immer allgegenwärtig. Umso wichtiger, dass Unternehmen zum Schutz Ihrer Mitarbeiterinnen und Mitarbeiter eigene Antispam-Regeln für den Einsatz mit Microsoft 365 definieren. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/fe/b2fefe2b913b242b4922df21581b84b3/0117915396.jpeg "Angreifer können mit Tricks Audit-Protokolle umgehen und Downloads von SharePoint verheimlichen. Sicherheitsexperten empfehlen Zugriffsereignisse genau zu prüfen und ZTugriffsrechte streng zu kontrollieren. (Bild: spyarm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/ce/77cea77cba85756c9880d2146c54e3f8/0117820312.jpeg "Die Maschinenverordnung berücksichtigt erstmals explizit aktuelle Entwicklungen bei Künstlicher Intelligenz und Cybersecurity. (Bild: TÜV Süd)")
:quality(80)/p7i.vogel.de/wcms/33/d4/33d4d669933def82116dd5f9d5eb5519/0117363411.jpeg "Mit Network Stories für Cato XDR sei es schneller möglich, Probleme mit der Netzwerkqualität und Ausfälle schneller zu identifizieren, zu priorisieren und zu beheben. Hier fasst die generative KI-Engine eine Network Story zusammen. (Bild: Cato Networks)")
:quality(80)/p7i.vogel.de/wcms/e8/e4/e8e48855422afc9bf7964b46e747a734/0117976145.jpeg "Firewalls von Palo Alto sind aktuell Ziel von Cyberattacken. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/6b/666b57a654144848a07e23ca19bb71be/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/7e/fe7eb08f73b85be7fe7a86c471720e57/0117195447.jpeg "„Das Sicherheitsempfinden für die On-Premises-Lösung im Keller ist ein Trugschluss und die Public Cloud ein sicherer Hafen“, erklärt KPMG-Experte Daniel Wagenknecht im Gastbeitrag. (Bild: frei lizenziert ramicm - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a1/2f/a12f9615db0fcc73a1cc52c499add940/0117729006.jpeg "Durch das jüngste Update zählt Wind River Studio Developer nunmehr fünf Module, die unabhängig voneinander bereitgestellt werden können. (Bild: Wind River)")
:quality(80)/p7i.vogel.de/wcms/f5/c7/f5c71ded4332e09cfacab657b1cc8510/0117818281.jpeg "Derzeit gibt es verschiedene Schwachstellen in IBM Db2, einige davon sind als „kritisch“ eingestuft. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/ec/aeecd35745832b76170bef9cbd2bb41d/0117259649.jpeg "Parallels Browser Isolation bietet Echtzeiteinblicke in die Aktivitäten von Benutzern. (Bild: Alludo)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/7b/317b95ae8244fd3ab2c4465bd02b47fa/0117077065.jpeg "Lösungseleganz im Bereich IT-Legal-Management trägt dazu bei, dass die rechtliche Sicherheit gewährleistet wird und damit die Wertigkeit der IT-Strategie von Unternehmen steigt. (Bild: XaMaps - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/c8/67c822d9f2b8f66027e4f1ff8e7549ef/0116955915.jpeg "Die Work Recovery Time (WRT) ist eine wichtige Kenngröße eines Disaster-Recovery-Plans
und beschreibt die maximal tolerierbare Arbeitswiederherstellungszeit.
(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance-Check IT-Standards im deutschen Gesundheitswesen
In den USA regelt der HIPAA-Standard, wie der Gesundheitssektor persönliche Daten handhabt. Das IT-Sicherheitsgesetz und andere Datenschutz- sowie Compliance-Vorgaben werden das Thema auch In Deutschland befeuern. Doch welche Regularien müssen hierzulande wirklich eingehalten werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Wenn es um Sicherheitsverstöße im Healthcare-Bereich geht, sind die Compliance-Vorgaben wohl nirgendwo strenger als in den USA. Beispielweise muss der Verlust personenbezogener Informationen laut der „Breach Notification Rule“, die im Health Insurance Portability and Accountability Act (HIPAA) enthalten ist, zwingend gemeldet werden.
Sogar die Veröffentlichung in einer „List of Shame“ ist möglich. Dadurch werden Zwischenfälle für jedermann online einsehbar. Die HIPAA-Norm legt in den USA die Regeln für die Cybersicherheit im Gesundheitssektor fest.
Nach Inkrafttreten des IT-Sicherheitsgesetzes hat auch in Deutschland die Diskussion über Gesundheitsdaten an Bedeutung gewonnen. Die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) und die Datenschutzgrundverordnung (GDPR) der EU enthalten ebenfalls eine umfassende Definition von schützenwerten Patientendaten. Das Problem ist nun, wie diese Definition in die Praxis umgesetzt werden kann.
Die HIPAA-Norm wird hauptsächlich in den Vereinigten Staaten angewandt, aber auch das IT-Sicherheitsgesetz erwähnt die Notwendigkeit branchenspezifischer Sicherheitsstandards. Bisher gibt es hier nichts, was sich mit dem HIPAA vergleichen ließe.
In Deutschland gibt es keine spezielle IT-Verordnung, aber die ärztliche Schweigepflicht ist ein sehr heikles Thema. Man kann davon ausgehen, dass ein großes gesellschaftliches Interesse am Thema Schutz von Patientendaten besteht, allerdings gibt es noch keine Normen, die diesem Interesse Rechnung tragen.
Aktuelle Ergebnisse der letzten beiden Jahre zeigen, dass es eine Vielzahl erfolgreicher Angriffe gab, bei denen persönliche Gesundheitsinformationen (Personal Health Information (PHI)) von Millionen Menschen kompromittiert wurden. Dem Identity Theft Resource Center zufolge fanden 42,5 Prozent aller Datenverstöße im Gesundheitsbereich statt. Das Center berichtet auch, dass 91 Prozent aller Gesundheitsunternehmen meldeten, im Verlauf der letzten beiden Jahre von mindestens einem Datenverstoß betroffen gewesen zu sein.
Warum nehmen Hacker das Gesundheitswesen ins Visier?
Das Journal of the American Medical Association untersuchte die Datenbank des US-Gesundheitsministeriums auf HIPAA-Angaben zum Verlust von PHI, von dem zwischen 2010 und 2013 mehr als 500 Personen betroffen waren. Diese Studie fand heraus, dass es während dieser Zeit 949 Verstöße mit Auswirkungen auf insgesamt 29 Millionen Patientenakten gab.
Dieser Abwärtstrend setzt sich fort. Anfang dieses Jahres gab Anthem bekannt, Opfer eines erfolgreichen Angriffs geworden zu sein, bei dem die Daten von rund 80 Millionen Menschen betroffen waren.
Gesundheitsdaten werden in der Linie angegriffen, weil sie extrem wertvolle Informationen enthalten. Wertvoll deshalb, weil sie die PHI, Identitätsangaben (wie Geburtsdatum und Sozialversicherungsnummern) und auch Finanz- und Kreditkartendaten einer Person enthalten können.
Alle diese Daten lassen sich im Rahmen eines Identitätsdiebstahls verwenden. Die Information kann auch für gezielt ausgerichtete Phishing-Angriffe missbraucht werden. Die geraubten Daten sind derart persönlich, dass ein Autor einer bösartigen E-Mail seinen Angriff so personalisieren kann, dass es dem unschuldigen Opfer schwer fallen wird, sie zu ignorieren.
Zweitens gibt es einen zeitlichen Rückstand bei der Implementierung von neuen Technologien. Die Umgebungen der Branche haben höchst anspruchsvolle IT-Infrastrukturen und -Netzwerke, bei denen die Perimeter nicht mehr richtig definiert sind.
Die Bedrohungen werden täglich intelligenter, weshalb CIOs den richtigen Weg definieren müssen, wie ihre Gesundheitsorganisationen in der modernen und sich ständig weiterentwickelnden Bedrohungslandschaft geschützt werden können. Die zunehmende Abhängigkeit von vernetzten Medizingeräten hat zudem für eine erweiterte und anfällige Angriffsfläche gesorgt.
Während die USA bereits einen Schritt voraus sind und mit der zentralisierten Analyse der Verstöße beginnen, hat Deutschland noch einen langen Weg vor sich. Es gibt keine vergleichbare Einrichtung, die auf den Gesundheitssektor ausgerichtet ist und sich mit Patientendaten und -normen beschäftigt. Der HIPAA liefert ein Beispiel dafür, wie Standards in der Praxis umgesetzt werden können. In Deutschland ist das Risikobewusstsein nicht so weit entwickelt und Organisationen bevorzugen individuelle Strategien.
(ID:43764643)
:quality(80)/p7i.vogel.de/wcms/46/93/4693179c743a76e5621f61ebe234c176/0112115071.jpeg "HIPAA ist ein US-amerikanisches Gesetz zum Schutz von Daten des Gesundheitswesens. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e734ace2b48be43a44d7af9e05da/0112616008.jpeg "Eins wurde im Zuge der fortschreitenden Digitalisierung klar: Die Systeme in Gesundheitsorganisationen sind gefährdet – und zwar sehr. Check Point analysierte die Angriffslage im Gesundheitssektor genauer und setzt hier auf Zero-Trust-Sicherheitslösungen. (Bild: Olivier Le Moal - stock.adobe.com)")