Das Gesundheitswesen befindet sich schon seit einiger Zeit inmitten der digitalen Transformation – die COVID-19 beschleunigt den Einsatz von Cloud-Services und digitalen Tools zusätzlich. Eine weitere Veränderung der Branche: Immer mehr digital native sogenannte „Health-Tech“-Unternehmen drängen auf den Markt und ermöglichen die Digitalisierung gesundheitlicher Dienstleistungen.
Die Vorteile der digitalen Transformation sind in der Branche unumstritten, dennoch wird gerade das Gesundheitswesen immer mehr zum Angriffsziel von Cyber-Attacken. Besonders in diesem Bereich können Cyber-Angriffe gravierende Folgen haben: Neben den Auswirkungen auf das angegriffene Unternehmen oder Institution, können ebensolche Attacken im Zweifelsfall zu Verzögerungen bei der medizinischen Versorgung oder gar zum Verlust von Menschenleben führen.

Seit Beginn der COVID-19-Pandemie ist das Gesundheitswesen noch stärker in den Fokus der Hacker gerückt, um die anfällige Phase gezielt auszunutzen. Ein Beispiel aus den USA: Das U.S. Department of Health and Human Services berichtete vor Kurzem einen Anstieg von 50 Prozent bei den Verstößen gegen die Cybersecurity [1] von Krankenhäusern und Netzwerken von Gesundheitsdienstleistern – dies deutet auf eine verstärkte Ausrichtung auf die Gesundheitsbranche hin. In Düsseldorf legte im September 2020 ein Ransomware Angriff [2] das Universitätsklinikum lahm und führte zum Tod einer Patientin.

Die IT-Systeme des Gesundheitswesens sind einem erhöhten Sicherheitsrisiko ausgesetzt, denn immer mehr Endanwender setzen auf Technologien wie Telemedizin oder spezielle Gesundheits-Apps – und teilen damit sensible, persönliche Daten. Darüber hinaus besteht ein Großteil der medizinischen Infrastruktur aus veralteten und heterogenen Systemen mit offensichtlichen Sicherheitseinschränkungen.

Aber auch die Branche selbst ist ein attraktives Ziel für Cyber-Angriffe: Gesundheitsdienstleister bieten vermehrt Telemedizin, Apps, Services und vernetzte Endgeräte an und generieren damit große Datenmengen an sogenannten Protected Health Information (PHI). Diese sensiblen Daten werden im Dark Web hoch gehandelt. Und auch hochwertige Assets wie die Forschung und Entwicklung von Impfstoffen sind wertvolle Ziele für kommerzielle und politische Zwecke.

Das Gesundheitswesen ist ohne Zweifel systemrelevant und eine kritische Dienstleistung. Sowieso schon am Anschlag müssen Gesundheitsorganisationen und Dienstleiser mitten in der Pandemie ihre Sicherheit verbessern und die Cybersecurity stärken. Während die meisten Cybersicherheitslösungen branchenunabhängig sind, gibt es bestimmte Nuancen, die die Gesundheitsbranche berücksichtigen muss.

IT-Hygiene

Organisationen des Gesundheitswesens müssen einen „Null-Toleranz-Ansatz“ in Sachen IT-Hygiene verfolgen und dabei für die notwendigen Systeme und Steuerung beim Risikomanagement von Dritten sorgen. Dabei müssen die vorhandenen Richtlinien für Hochrisikosysteme wie Lebenserhaltungssysteme oder sensible Assets wie Impfstoffversuche drastisch verschärft werden.

Organisationen sollten sich strikt an die Software- und Hardware-Security halten, indem sie etwa für aktuelle Anwendungen und Betriebssysteme sorgen, veraltete oder nicht unterstützte medizinische Geräte austauschen und Sicherheitsmaßnahmen für remote vernetzte Geräte implementieren.

Zero Trust-Modell

Mit der zunehmenden Verbreitung der Telemedizin und der vermehrten Remote-Arbeit von Fachkräften im Gesundheitswesen reicht es nicht mehr aus, ausschließlich die Sicherheit der Perimeter zu gewährleisten – vielmehr benötigen Unternehmen neue, belastbare Modelle, die an die neue Umgebung angepasst sind.

Organisationen des Gesundheitswesens sollten generell nur limitiert Privilegien vergeben. So erhalten beispielsweise ausschließlich Personen Zugriff auf Daten, die sie für die Erledigung ihrer Aufgaben benötigen. Darüber hinaus sollten nur notwendige Anwendungen für den Remote-Zugriff freigegeben werden. Mithilfe von Netzwerksegmentierung können Firmen außerdem sicherstellen, dass geschäftskritische Systeme – etwa zur Lebenserhaltung oder für Forschung und Entwicklung – vom restlichen IT-Setup separiert sind.

Datensicherheit

Unternehmen sollten sich auf Datenminimierung konzentrieren. Auf diese Weise werden nur unbedingt notwendige Daten gesammelt, verarbeitet und (wenn möglich) anonymisiert. Um die Sicherheit sensibler Daten wie PHI sowie Forschungs- und Entwicklungs-Assets sowohl im Ruhezustand als auch bei der Übertragung zu gewährleisten, müssen Unternehmen automatisierte Systeme zur Datenidentifizierung und -klassifizierung sowie zur Vermeidung von Datenverlusten aufbauen.

Die Gesundheitsbranche muss zudem auch strengere Datenzugriffskontrollen einführen. Diese beschränken den Zugriff nur auf die Einzelperson und den Gesundheitsdienstleister sowie gegebenenfalls auf eine Regierungsbehörde, um die kommunale Gesundheitsversorgung wie im Fall von COVID-19 zu verwalten. Hochentwickelte Verschlüsselungsstandards sowie Data Masking-Lösungen und regelmäßige Kontrollen gewährleisten darüber hinaus, dass nur autorisierte Benutzer Zugriff erhalten.

Secure by Design

Moderne Unternehmen müssen sicherstellen, dass Cybersecurity bereits in der Entwicklungsphase berücksichtigt wird (Security by Design) und nicht erst im Nachhinein. Dies erfordert die Etablierung sicherer Kodier-Richtlinien und die Einführung von Praktiken wie DevSecOps.

Ebenso ist ein fortlaufendes Compliance-Management mit Echtzeit-Patching und Fokus auf Bedrohungen, Schwachstellen, Risiken und Vorfällen essenziell. Auch die Mitarbeiter müssen involviert werden: Nur mit einem fundierten Verständnis und Sensibilität für IT-Security können Mitarbeiter Sicherheitsrisiken intuitiv entschärfen – eine starke Security-Unternehmenskultur rundet dies ab.

Compliance und Risk Management

Das Ökosystem des Gesundheitswesens besteht aus einer Vielzahl von Partnern und Anbietern innerhalb der Wertschöpfungskette. In dieser vernetzten – aber ungleichen – Struktur muss jeder Beteiligte individuell für Cybersecurity sorgen.

Unternehmen müssen effektive Partner-Risikomanagement-Programme entwickeln und implementieren, um Daten zu sichern und vor Cyberangriffen zu schützen. Dies kann durch eine Bewertung der Sicherheitslage von Partnern erreicht werden, gefolgt von einer risikobasierten Partnersegmentierung sowie der Definition an „Zero-Trust“-Prinzipien in Sachen Konnektivität und Zugriffsmanagement für Partner.

Managed Detection und Response

Die Cyber-Bedrohungslandschaft entwickelt sich stetig weiter. Dies führt dazu, dass fast jeden zweiten Tag neue Bedrohungen auftauchen. Daher ist ein gut definiertes Playbook für die schnelle Erkennung von Bedrohungen und Sicherheitsverletzungen und die Reaktion darauf entscheidend.

Organisationen des Gesundheitswesens müssen KI-Systeme mit Machine Learning und Verhaltensanalysen einsetzen, um Anomalien und Bedrohungen proaktiv zu erkennen und schnelle Sandboxing- und Wiederherstellungsprozesse zu entwickeln. Nur dann können sie sich „cyber-resilient“ (widerstandsfähig) aufstellen und schützen.

Quellen und Referenzen:

[1] https://www.healthcarefinancenews.com/news/number-cybersecurity-attacks-increase-during-covid-19-crisis

[2] https://www.handelsblatt.com/technik/sicherheit-im-netz/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/26198688.html?ticket=ST-11072773-1fyZp6kj3dONtGYseX13-ap6