Seit vergangenem Jahr gibt es in Deutschland die elektronische Patientenakte. Informationen über Medikamente, die eine Patientin oder ein Patient nimmt, Vorerkrankungen und Befunde können darin digital gespeichert werden. Dadurch stehen sie nicht nur in einer Praxis zur Verfügung, sondern können auch von anderen Ärztinnen und Ärzten sowie in Krankenhäusern abgerufen werden. Das soll unter anderem dafür sorgen, dass Informationen schneller zur Verfügung stehen, doppelte Untersuchungen vermieden werden und der Behandlungserfolg insgesamt verbessert wird.
Auch das Internet of Things (IoT) gewinnt im Gesundheitssektor an Bedeutung. In Krankenhäusern werden Geräte zunehmend vernetzt, um den Gesundheitszustand von Patientinnen und Patienten effizienter überwachen zu können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont zwar die Vorteile von digitaler Gesundheitsversorgung. Die funktioniere allerdings nicht ohne Informationssicherheit. Das BSI will die Cybersicherheit im Gesundheitswesen unter anderem mit einheitlichen Sicherheitsstandards stärken. Denn durch Cyberangriffe können sensible Patientendaten gestohlen oder vernetzte Geräte manipuliert werden. Doch in der Praxis zeigen sich Schwachstellen.
Erpressung mit Ransomware nimmt zu
So ist beispielsweise die Zahl der Ransomware-Angriffe im Gesundheitswesen zuletzt stark gestiegen. Bei Ransomware handelt es sich um Erpressungstrojaner. Cyberkriminelle verschlüsseln damit Daten und fordern dafür Lösegeld. Laut einer Branchenanalyse des IT-Sicherheitsunternehmens Sophos stieg die Zahl der Organisationen im Gesundheitswesen, die weltweit Opfer von Ransomware wurden, von 2020 auf 2021 um mehr als 90 Prozent. Vergangenes Jahr waren demnach zwei von drei Organisationen von solchen Angriffen betroffen.
„Ransomware im Gesundheitswesen ist in Bezug auf Schutz und Wiederherstellung differenzierter als in anderen Branchen“, sagt John Shier, Senior Security Experte bei Sophos. Verschärft wird das Problem dadurch, dass typische Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung oder Zero-Trust-Verteidigungstaktiken beim Zugriff auf Patientendaten nicht immer eingesetzt werden können. Schließlich müssen zu viele unterschiedliche Bereiche etwa in Kliniken unkompliziert und schnell auf Daten zugreifen können.
Doch gerade diese Daten sind sensibel und damit extrem wertvoll. „Dies macht Organisationen des Gesundheitswesens besonders verwundbar, und wenn sie betroffen sind, entscheiden sie sich möglicherweise dafür, Lösegeld zu zahlen, um Zugang zu wichtigen, oft lebensrettenden Patientendaten zu erhalten“, sagt Shier.
Hohe Kosten bei Ransomware-Angriffen
Im Gesundheitssektor wird bei Cyberangriffen durch Ransomware in 60 Prozent der Fälle Lösegeld gezahlt – häufiger als in anderen Branchen. Allerdings fallen die Summen im Branchenvergleich hier am niedrigsten aus.
Wer Lösegeld bezahlt, bekommt seine Daten allerdings nicht automatisch zurück. Im Gegenteil: Von den Organisationen, die Lösegeld gezahlt haben, erhielten gerade einmal zwei Prozent all ihre Daten zurück. Teuer zu stehen kommt der Angriff die Organisationen jedoch in den meisten Fällen. Mit 1,85 Millionen Dollar hatte das Gesundheitsweisen 2021 nach Ransomware-Angriffen die zweithöchsten Kosten im Branchenvergleich.
Schutz vor Cyberangriffen
Mit Blick auf die Bedrohungslage empfiehlt Sophos den Gesundheitseinrichtungen nicht nur Sicherheitsmaßnahmen in allen Tätigkeitsbereichen zu installieren, sondern sie auch regelmäßig zu kontrollieren und anzupassen. Als entscheidende Sicherheitslücken, die geschlossen werden müssen, gelten
- ungepatchte Geräte,
- ungeschützte Rechner und
- offene Ports des Remote Desktop Protocol bei Microsoft-Computern.
Wichtig ist es auch, vorbereitet zu sein. Es gilt, eine Strategie zu entwickeln, die im Fall eines Angriffs schnell umgesetzt werden kann.
Ransomware im Internet of Things
Dass es hierbei gerade auch im Bereich IoT häufig noch Nachholbedarf gibt, zeigt eine Studie von ONEKEY, einem Spezialisten für IoT-Security. Dabei wurden mehr als 300 Unternehmensvertreter aus der IT-Branche befragt. Nur gut ein Viertel der Unternehmen, die das IoT nutzen, hält die eigenen Sicherheitsmaßnahmen für ausreichend. Es fehlt etwa an verbindlichen Vorgaben, Zuständigkeiten sind häufig nicht geklärt.
Richtlinien für die Sicherheit von IoT-Geräten gab es nur in etwas mehr als der Hälfte der Unternehmen. Gleichzeitig haben jedoch schon mindestens 37 Prozent der Befragten Angriffe auf ihre Netzwerke erlebt, 13 Prozent konnten dazu keine Angaben machen. „Der Schlüssel zu mehr Sicherheit liegt darin, schon frühzeitig in der Entwicklung von neuen intelligenten Geräten, Anlagen und Maschinen automatische Sicherheits- und Compliance-Prüfungen zu nutzen“, ist ONEKEY-CEO Jan Wendenburg überzeugt. So werde mit wenig Aufwand viel Sicherheit und Transparenz erreicht.