Share
Beitragsbild zu Fünf Bedrohungen für die Datensicherheit im Gesundheitswesen

Fünf Bedrohungen für die Datensicherheit im Gesundheitswesen

Datenschutz- und Sicherheitsbedrohungen im Gesundheitswesen werden immer häufiger. Angesichts der riesigen Mengen an sensiblen Patientendaten, die Gesundheitseinrichtungen speichern und verarbeiten, ist es nicht verwunderlich, dass medizinische Einrichtungen zu wichtigen Zielen von Cyberangriffen geworden sind.

Ein Teil des Problems besteht darin, dass Technologien wie medizinische Geräte, Telemedizinsoftware und Patientendatensysteme für Angreifer anfällig sind. Zum anderen enthalten diese Systeme äußerst wertvolle persönliche Daten, die für Identitätsdiebstahl, Ransomware-Angriffe mit doppelter Erpressung, Versicherungsbetrug und vieles mehr verwendet werden können.

Kein Wunder also, dass 24 % aller Cyberangriffe im Jahr 2019 die Gesundheitsbranche betrafen oder dass das Gesundheitswesen mit durchschnittlichen Kosten von 10,1 Millionen US-Dollar pro Vorfall am stärksten von Datenschutzverletzungen betroffen ist.

Heute werden wir die fünf größten Bedrohungen für die Datensicherheit im Gesundheitswesen erörtern und erklären, warum sie so ernst sind. Außerdem zeigen wir Ihnen, wie Sie den Datenschutz und die Datensicherheit in Unternehmen des Gesundheitswesens stärken und die Auswirkungen dieser Angriffe abmildern können.

Welches sind die fünf größten Bedrohungen für die Datensicherheit im Gesundheitswesen?

Von Phishing und Malware bis hin zu XSS- und DDoS-Angriffen – Cybersecurity-Angriffe können Organisationen in nur wenigen Stunden Hunderttausende von Dollar kosten. Im Folgenden werden fünf der größten Bedrohungen für Krankenhäuser, Arztpraxen und andere Gesundheitssysteme erläutert.

1. Datenschutzverletzungen im Gesundheitswesen

Eine der häufigsten und bekanntesten Bedrohungen für Organisationen im Gesundheitswesen sind Datenschutzverletzungen.

Zwischen 2009 und 2022 wurden dem Office for Civil Rights des US-Gesundheitsministeriums über 5.150 Datenschutzverletzungen gemeldet. Diese Zahl steigt weiter an, denn allein in der ersten Hälfte des Jahres 2022 wird es im Gesundheitswesen 337 Datenschutzverletzungen geben, die über 19 Millionen Datensätze betreffen.

Allerdings hat sich die häufigste Art von Datenschutzverletzungen im Gesundheitswesen im Laufe der Zeit verändert. Während viele Datenlecks anfänglich den Verlust oder Diebstahl von Gesundheitsdaten betrafen, hat der Übergang zu digitalen Aufzeichnungen, Geräteverfolgung und Verschlüsselung diese Art von Vorfällen reduziert. Heute sind böswillige Hackerangriffe und IT-Vorfälle die Hauptursache für Datenschutzverletzungen, die seit 2015 deutlich zugenommen haben.

Bessere Sicherheitsmaßnahmen, Schulungen zum Sicherheitsbewusstsein und Zugangskontrollen können dazu beitragen, dieses Problem zu entschärfen, aber die Branche ist noch weit davon entfernt, Sicherheitsverletzungen gänzlich zu verhindern.

2. Ransomware-Angriffe im Gesundheitswesen

Wir alle haben die Statistiken über Ransomware gelesen. Sie nimmt zu, wird immer raffinierter und ihre Beseitigung wird immer teurer.

Aber Ransomware ist im Gesundheitswesen besonders heimtückisch, weil die Daten extrem sensibel sind. Viele Organisationen und Einzelpersonen sind bereit, erhebliche Lösegeldzahlungen zu leisten, um zu verhindern, dass ihre privaten Daten öffentlich zugänglich gemacht werden.

Ein Beispiel dafür ist der Angriff auf das finnische Gesundheitsunternehmen Vastaamo, bei dem die vertraulichen Daten von Zehntausenden von Psychotherapiepatienten offengelegt wurden. Viele Patienten zahlten schließlich das Lösegeld, nur um zu verhindern, dass ihre Behandlungsdaten von den Angreifern veröffentlicht wurden.

Andere Angriffe können so verheerend sein, dass sie Anbieter dazu zwingen, Patienten an andere Einrichtungen zu verweisen, ihre Dienste vorübergehend einzustellen oder sogar ihr Geschäft aufzugeben. So haben beispielsweise das Brookside ENT and Hearing Center in Michigan und Wood Ranch Medical in Kalifornien nach einem Ransomware-Angriff im Jahr 2019 endgültig geschlossen.

3. Insider-Bedrohungen durch Mitarbeiter im Gesundheitswesen

Entgegen der landläufigen Meinung beschränken sich Insider-Bedrohungen nicht auf unzufriedene Mitarbeiter, die geistiges Eigentum oder Geschäftsgeheimnisse preisgeben. Viele Insider-Bedrohungen geschehen unbeabsichtigt und sind eher das Ergebnis menschlichen Versagens als böswilliger Absicht. Im Gesundheitswesen kann dies so einfach sein wie das Senden von Patientendaten an die falsche E-Mail-Adresse oder über ein ungesichertes Konto.

Unbeabsichtigte Offenlegungen im Gesundheitswesen sind eine der häufigsten Ursachen für Datenschutzverletzungen in der Branche, gleich nach Hacking. Das Endergebnis ist zudem kostspielig: Laut dem Center for Internet Security sind persönliche Gesundheitsinformationen (PHI) für Cyberkriminelle wertvoller als gewöhnliche persönliche Informationen oder sogar Kreditkartendaten.

Zwar gibt es Vorschriften wie den Health Insurance Portability and Accountability Act (HIPAA), um Daten vor dieser Art von Szenario zu schützen, aber sie sind nicht narrensicher. Gesundheitsdienstleister müssen strenge Zugangskontrollen einführen, ungewöhnliche Aktivitäten überwachen und regelmäßige Schulungen zu bewährten Sicherheitspraktiken anbieten, um Insider-Bedrohungen in ihren Organisationen zu entschärfen.

4. Grundlegende Angriffe auf Webanwendungen (BWAA)

Einfache Webanwendungsangriffe (BWAA) zielen in erster Linie auf die am stärksten gefährdete Infrastruktur eines Unternehmens ab – in der Regel Webserver oder mit dem Internet verbundene Geräte. Angreifer verwenden oft Software oder Befehle, um ein unbeabsichtigtes Verhalten im System zu bewirken, in der Regel mit gestohlenen Anmeldedaten oder bekannten Schwachstellen.

Die BWAA umfasst bestimmte Arten von Angriffen wie Cross-Site-Scripting (XSS), SQL-Injection (SQLi) und Distributed-Denial-of-Service (DDoS)-Angriffe. Die Auswirkungen können von Ausfallzeiten bei Patientenportalen bis hin zu Unterbrechungen bei der Gehaltsabrechnung und darüber hinaus reichen.

Um sich vor BWAA zu schützen, sollten Unternehmen eine starke Webanwendungssicherheit implementieren und andere bewährte Datenschutzverfahren befolgen.

5. Sicherheitsbedrohungen durch Dritte im Gesundheitswesen

Gesundheitsdienstleister arbeiten bei der Verwaltung von Patientendaten häufig mit Drittanbietern zusammen, z. B. mit Anbietern von elektronischen Patientenakten (EHR). Diese Drittanbieter sind zwar ein wichtiger Bestandteil der Versorgung, können aber auch eine erhebliche Gefahr für die Datensicherheit darstellen.

Laut dem HHS-Cybersicherheitsprogramm der American Hospital Association sind verteilte Angriffsvektoren bei Angriffen im Gesundheitswesen immer häufiger zu finden. Dazu gehören Bedrohungen durch Dritte wie die Kompromittierung von Managed Service Providern und die Kompromittierung der Lieferkette. Im Jahr 2019 wurden beispielsweise 400 Zahnarztpraxen über einen einzigen kompromittierten Managed Service Provider mit Ransomware angegriffen.

Organisationen können das Risiko dieser Verletzungen durch Dritte verringern, indem sie strenge Zugangskontrollen einrichten und die Aktivitäten der Anbieter regelmäßig überwachen.

Was können wir gegen Bedrohungen der Datensicherheit im Gesundheitswesen tun?

Bedrohungen der Datensicherheit im Gesundheitswesen können sowohl für Patienten als auch für Gesundheitsdienstleister schwerwiegende Folgen haben. Aufgrund der Sensibilität der Patientendaten und der Anfälligkeit der medizinischen Systeme ist die Branche sehr anfällig für schädliche Angriffe.

Glücklicherweise gibt es verschiedene Maßnahmen, um die Auswirkungen dieser Cyber-Bedrohungen abzuschwächen und den Datenschutz und die Sicherheit zu verbessern. So können Anbieter beispielsweise eine robuste Verschlüsselung zum Schutz von Daten im Ruhezustand und bei der Übertragung einführen und sicherstellen, dass nur autorisiertes und authentifiziertes Personal Zugang zu Patientendaten hat.

Sie können auch umfassende Mitarbeiterschulungsprogramme anbieten, um das Gesundheitspersonal über alles Mögliche aufzuklären, von Phishing-Versuchen bis hin zu guten Passwort-Etiketten. Und sie können regelmäßige Risikobewertungen und Schwachstellentests durchführen, um ihre Fähigkeit zu verbessern, auf Sicherheitsvorfälle zu reagieren.

Schutz von Daten im Gesundheitswesen mit ShardSecure

Eine weitere Möglichkeit, starke Datensicherheit für Organisationen im Gesundheitswesen zu implementieren, ist die Data Control Platform von ShardSecure. Unser innovativer, agentenloser Verschlüsselungsansatz schützt unstrukturierte Daten vor unbefugten Benutzern und macht sie für Dritte in On-Premise-, Cloud- und Multi-Cloud-Umgebungen unlesbar. Dies gewährleistet einen starken Datenschutz, selbst wenn es einem Angreifer gelingt, sich Zugang zu einem Speicherort zu verschaffen.

Unsere Data Control Platform bietet außerdem eine hohe Datenresilienz, indem sie Hochverfügbarkeits- und Datenintegritätsprüfungen durchführt, um kompromittierte Daten bei Ausfällen und Angriffen zu rekonstruieren. Sie kann nahtlos und transparent in bestehende Anwendungen integriert werden und funktioniert mit bestehenden Gesundheitssystemen, ohne dass die Arbeitsabläufe neu gestaltet werden müssen.

Das Cybersicherheitsforschungsunternehmen TAG Cyber schrieb in einem Bericht über unsere Technologie Folgendes: „Der Vorteil von Microsharding für Teams im Gesundheitswesen besteht darin, dass sensible Daten auf Anwendungsebene, die in mehreren Clouds gespeichert sind, disaggregiert, getrennt und verschleiert werden können, um die Back-End-Bedrohung zu verringern. Im Gesundheitswesen kann dies ein wertvolles Instrument für die Cybersicherheit und die Einhaltung von Rahmenbedingungen sein.“

Die Bewältigung von Datensicherheitsbedrohungen im Gesundheitswesen erfordert eine vielschichtige Strategie. Erfahren Sie, wie ShardSecure ein effektiver Teil dieser Strategie werden kann, mit unserer Fallstudie zum Gesundheitswesen und anderen Ressourcen.

Sources

Hospital Cybersecurity Risks and Gaps: Review | Frontiers in Digital Health

Cyberattacks Are Particularly Costly in Health Care. Why? | Advisory Board

DDoS Attacks: In the Healthcare Sector | Center for Internet Security

‘Shocking’ Hack of Psychotherapy Records in Finland Affects Thousands | The Guardian

Healthcare Data Breaches: Insights and Implications | PMC

Data Breaches: In the Healthcare Sector | Center for Internet Security

Web Application Attacks in Healthcare | HHS.gov

Health Sector Cybersecurity: 2021 Retrospective and 2022 Look Ahead | American Hospital Association

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Featured image for “Wie man RMM-Software mit einer Firewall absichert”

Wie man RMM-Software mit einer Firewall absichert

Featured image for “Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024”

Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024

Featured image for “Konvergiert vs. Einheitlich: Was ist der Unterschied?”

Konvergiert vs. Einheitlich: Was ist der Unterschied?

Studien

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Featured image for “Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle”

Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle

Featured image for “Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart”

Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart

Featured image for “Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht”

Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht

Featured image for “Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen”

Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen

Whitepaper

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Featured image for “Sechs Vordenker in Sachen Cybersicherheit”

Sechs Vordenker in Sachen Cybersicherheit

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI