Gesundheitswesen: Sichere Zukunft in der Cloud
Der technologische Fortschritt im Gesundheitswesen ist allgegenwärtig. Schließlich ging es gerade in den letzten beiden Pandemiejahren mehr denn je darum, die Patientenversorgung trotz und entlang der weltweit geltenden Kontaktbeschränkungen in effiziente Bahnen zu lenken und digital zu unterstützen. Die massiv vorangetriebene Interkonnektivität und der Einsatz cloudbasierter Infrastrukturen sind in dem Zusammenhang offensichtliche Schlaglichter des Wandels.
Laut Angaben des Marktforschungsunternehmens Global Markets Insights umfasste der Markt für Cloud Computing im Gesundheitswesen im Jahr 2020 ein Gesamtvolumen von über 29 Milliarden US-Dollar. Bis 2027 soll dieser Wert nach Schätzungen der Analysten auf 79,3 Milliarden US-Dollar ansteigen – mit einer durchschnittlichen jährlichen Wachstumsrate von 13,4 Prozent. Anhand dieser Zahlen wird eines deutlich: Die Branche verändert sich sukzessive weiter und der Trend zur Cloud ist nicht aufzuhalten. Klar, dass in dem Zusammenhang auch Cyberkriminelle entsprechend vorbereitet auf den Plan treten.
Wonach suchen Cyberkriminelle, wenn sie den Gesundheitssektor angreifen?
Gesundheitsdaten sind sehr wertvoll und es gibt viele Möglichkeiten, solche Informationen im Dark Web auszuspielen und zu Geld zu machen. So können diese beispielsweise dazu verwendet wenden, um in den Besitz rezeptpflichtiger Medikamente zu gelangen oder Behandlungen zu erhalten, die eigentlich für jemand anderen bestimmt waren. Solch einschlägiger Missbrauch und die Geltendmachung falscher medizinischer Ansprüche stiftet in der Regel weitreichendes Chaos, das die vom Datendiebstahl betroffenen Personen meist erst viel später erreicht, dafür aber lange beschäftigt.
Die Ergebnisse des Data Breach Investigation Report von Verizon zeigen, dass Hacker, die es auf das Gesundheitswesen abgesehen haben, in erster Linie finanziell motiviert ans Werk gehen (95 Prozent). Deutlich seltener stehen hinter solchen Angriffen Spionageabsichten (4 Prozent) oder Beweggründe wie Bequemlichkeit (1 Prozent) und Missgunst (1 Prozent).
Sobald sich Hacker Zugang zum System einer Gesundheitseinrichtung verschafft haben, gehören allen voran personenbezogene Daten (58 Prozent), medizinische Details (46 Prozent) und Zugangsinformationen (29 Prozent) – neben anderen, nicht weiter spezifizierten Daten (29 Prozent) – zur bevorzugten Beute.
Hauptarten von Cyberangriffen auf das Gesundheitswesen
Vom hohen Wert der sensiblen personenbezogenen Daten ganz abgesehen, stellt das Gesundheitswesen aber auch aus einem anderen Grund ein attraktives Ziel für Cybergangster dar: Die Spielwiese für erfolgreiche Angriffe ist groß. Schließlich gibt es viele Faktoren, die die Systeme dieser Branche anfällig machen – angefangen beim Siegeszug des Internets der medizinischen Dinge (Internet of Medical Things, IoMT) und den damit einhergehenden Schlupflöchern bis hin zu unzulänglichen Sicherheitsvorkehrungen Im Zuge der Weitergabe von (medizinischen) Patientendaten. Oftmals wird auf Multifaktor-Authentifizierung ebenso verzichtet wie auf moderne Cybersicherheitslösungen, die in der Lage sind, die sich stetig weiterentwickelnden Bedrohungen abzuwehren. Gleichzeitig finden in die Jahre gekommene Anwendungssysteme nach wie vor breite Verwendung und um Schulungen der Mitarbeiter und Mitarbeiterinnen im Hinblick auf IT-Sicherheit ist es nicht immer gut bestellt.
Laut einer im März diesen Jahres durchgeführten Umfrage von H-ISAC liest sich die Top 5 der Bedrohungen, die IT-Verantwortliche im Gesundheitssektor zwischen 2021 und 2022 bewegten, wie folgt:
- Ransomware
- Phishing
- Datenschutzverletzungen auf Seiten Dritter
- Datenschutzverletzungen in den eigenen Reihen
- Insider-Bedrohungen
Dies deckt sich mit den Ergebnissen der HIMSS Healthcare Cybersecurity Survey 2021 – auch hier stehen Phishing und Ransomware an der Spitze, jedoch in umgekehrter Reihenfolge. Danach war Phishing in 45 Prozent der Security-Vorfälle der Auslöser. 17 Prozent lassen sich auf Ransomware zurückführen, gefolgt von Datenlecks (7 Prozent) und Social Engineering (5 Prozent).
Multifaktor-Authentifizierung (MFA): Unverzichtbar im Gesundheitswesen
Gerade wenn Mitarbeiterinnen und Mitarbeiter in Gesundheitsberufen darauf angewiesen sind, über ein klinisches Portal auf die elektronische Gesundheitsakte eines Patienten zuzugreifen, dürfen sicherheitskritische Aspekte niemals außer Acht gelassen werden. Es sollte zu jedem Zeitpunkt gewährleistet sein, dass nur autorisierte Personen Zugang zu den vertraulichen Informationen erhalten. Zudem empfiehlt sich, den Zugriff auf Gesundheitsdaten auf die wichtigsten Mitarbeiter zu beschränken und entsprechende Berechtigungen regelmäßig zu überprüfen.
Wenn der Zugriff über die Cloud erfolgt, ist die Implementierung einer MFA-Lösung zwingend erforderlich. Aber auch der Zugang zu klassischen Netzwerken und On-Premise-Anwendungen sollte aufgrund der hohen Vertraulichkeit der gespeicherten Daten auf diese Weise abgesichert werden. Einige Unternehmen heben die MFA-Anforderung auf, wenn sich die Nutzer physisch im Netzwerk befinden, und ignorieren dabei das Risiko, das insbesondere von Angriffen ausgeht, die sich „seitlich“ vollziehen. Die Strafe folgt dabei nicht selten auf dem Fuße: So wurde beispielsweise ein niederländisches Krankenhaus im Jahr 2021 von der nationalen Datenschutzbehörde (Dutch Data Protection Authority – DPA) aufgrund mangelnder Sicherheitsvorkehrungen zum Schutz von Patientendaten in den Jahren 2018 bis 2020 zu einer Geldbuße in Höhe von 440.000 Euro verurteilt. Es hatte keine adäquaten Lösungen im Einsatz, um den unbefugten Zugriff auf die Daten von Nutzern innerhalb des Netzwerks zu verhindern.
Trotz der hohen Relevanz kann von einem flächendeckenden MFA-Einsatz derzeit noch keine Rede sein. In der HIMSS-Umfrage bestätigten nur 34 Prozent der Teilnehmer, eine MFA-Lösung zu hundert Prozent unternehmensübergreifend implementiert zu haben. Die meisten Befragten gaben an, diese Art der Authentifizierung in ihren Einrichtungen in geringerem Umfang anzuwenden. Dies stellt ein unnötiges Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen dar.
Umso mehr sollten gerade IT-Security-Dienstleister (MSSP) von Unternehmen im Gesundheitswesen alles daransetzen, den Einsatz von Multifaktor-Authentifizierung auf Kundenseite zu etablieren und einschlägige Beratung zu geeigneten Lösungen bieten. Für Systeme des Gesundheitswesens, in denen hochsensible Daten wie die persönlichen, medizinischen Informationen der Patienten verwaltet werden, ist diese Anforderung längst Pflicht. Aber auch darüber hinaus gilt es, dem Thema IT-Sicherheit zusätzliche Aufmerksamkeit zu schenken und auf effektive Security-Mechanismen zu setzen, wie nicht zuletzt das Beispiel der Generalitat Valencia untermauert.