Die zunehmende Digitalisierung macht Krankenhäuser zu einem lohnenden Ziel für Bedrohungsakteure – 2023 wurden 50 Prozent mehr Ransomware-Vorfälle im Gesundheitssektor gemessen als im weltweiten Durschnitt.
Damit sensible Daten, Mitarbeiter und Patienten vor Cyberangriffen geschützt bleiben, braucht die Gesundheitsbranche eine umfassende Strategie für mehr Cyberresilienz.
Die Digitalisierung des Gesundheitswesens ist notwendig, um auch in Zukunft einen effizienten Patientenservice bereitstellen und moderne und bessere Behandlungen durchführen zu können. Außerdem vergrößert sich durch die digitale Modernisierung und Öffnung der Systeme die potenzielle Angriffsfläche für Cyberkriminelle massiv. Die Folgen eines erfolgreichen Angriffes sind dabei im Gesundheitswesen oftmals verheerend. So löste eine Ransomware-Attacke auf mehrere Londoner Spitäler gerade ein für Patienten teilweise lebensbedrohliches Chaos aus: ganze 800 Operationen mussten abgesagt werden – darunter Organtransplantationen und Krebs-OPs. Auch in Deutschland gab es bereits Cyberangriffe auf Krankenhäuser wie zuletzt auf die Bezirkskliniken in Mittelfranken oder das Klinikum Heilbronn.
Die Cyberkriminellen haben es jedoch nicht in erster Linie auf die Infrastruktur, sondern auf die Patienten- und Mitarbeiter-Daten abgesehen. Mit Ransomware-Verschlüsselungen und Double Extortion lassen sich Gesundheitsorganisationen stark unter Druck setzen, denn deren Daten beinhalten in der Regel äußerst sensible Informationen – etwa zur Kranken- oder Versicherungsgeschichte. Die Zahl der sensiblen Datensätze in Gesundheitsorganisation nahm dabei laut jüngstem Zero Labs Report von Rubrik im Jahr 2023 um mehr als 63 Prozent zu – weit mehr als in jeder anderen Branche und mehr als das Fünffache des weltweiten Durchschnitts. Deshalb ist es umso besorgniserregender, wenn die Experten weiterhin feststellen, dass Gesundheitsorganisationen bei jedem Ransomware-Angriff rund 20 Prozent ihrer sensiblen Daten verlieren. Dazu kommt noch ein gehäuftes Auftreten von Cyberangriffen in der Branche. Das Gesundheitswesen musste 2023 rund 50 Prozent mehr Ransomware-Vorfälle stemmen als der weltweite Durschnitt.
Der Healthcare-Sektor steht also im Kreuzfeuer der Bedrohungsakteure. Was können Gesundheitsorganisationen tun, um sich und ihre Patienten zu schützen? Eine reine Abhärtung von IT-Infrastrukturen, also das Ziel, so viele Sicherheitsrisiken wie möglich zu beseitigen und die Angriffsfläche zu minimieren, ist nicht mehr ausreichend. Stattdessen braucht es eine gesamtheitliche Strategie für mehr Cyberresilienz, die den Ernstfall inklusive Wiederherstellung mitdenkt.
So erhöhen Krankenhäuser die Cyberresilienz
Robuste Cyberresilienz-Strategien sind notwendig, um die Betriebskontinuität auch nach einem Angriff aufrechtzuerhalten oder schnell wieder herzustellen und das Vertrauen der Patienten in das Gesundheitssystem zu stärken. Eine umfassende Strategie beinhaltet dabei präventive Maßnahmen wie Mitarbeiterschulungen, ein Fokus auf Datensicherheit sowie intelligente Backup-Pläne.
Um Daten besser zu schützen, sollten Gesundheitsorganisationen im ersten Schritt einteilen, welche Daten sensibel und welche etwas weniger kritisch sind. Durch diese Priorisierung können Abwehrmaßnahmen gezielter eingesetzt werden. Zu den besonders sensiblen Daten gehören etwa Patienten-Diagnosen, Krankengeschichten oder persönliche Informationen.
Zudem ist es empfehlenswert, regelmäßig alte Daten, die nicht mehr benötigt werden, zu löschen. Die Einführung eines „Data Owners“ hilft dabei, solche wichtigen Fragen zu klären und sicherzustellen, dass es einen konkreten Verantwortlichen für die Datenstrategie und deren Überwachung gibt. Der Data Owner analysiert zudem beständigdie Risiken der Organisation und erstattet der Unternehmensleitung Bericht.
Cyberkriminelle konzentrieren sich gewöhnlich nach der Infiltration zuerst auf einen bestimmen Bereich. Sie sammeln verdeckt Informationen über Netzwerk und Architektur, bevor sie weitere Schritte unternehmen. Aus diesem Grund ist es essenziel, Datenbewegungen, Datenwachstum und andere unregelmäßige Aktivitäten durchgängig zu überwachen. Werden verdächtige Datenströme schnell erkannt, ist es möglich, größeren Schaden vorab zu unterbinden. Dabei ist es besonders wichtig, die Datenbewegungen in hybriden Umgebungen zwischen On-Premises, Sofware-as-a-Service (SaaS) und Cloud zu verfolgen.
Ein weiterer wichtiger Baustein der Cyberresilienz sind strenge Zugriffskontrollen. Unternehmen müssen sicherstellen, dass nur autorisierte Personen und Teams auf kritische Daten zugreifen können. Ein Zero-Trust-Konzept und die Implementierung einer Multi-Faktor-Authentifizierung sind hier in Kombination sinnvoll. Das bedeutet, dass jeder Zugriff von einem beliebigen Gerät als potenziell gefährlich eingestuft wird. Anstelle einer einfachen Passwortüberprüfung muss der Benutzer seine Legitimität regelmäßig und nicht nur einmal nachweisen.
Letztlich muss aber jede Organisation damit rechnen, dass ihre Präventionsmaßnahmen überwunden werden. In diesem Fall ist eine intelligente Backup-und-Recovery-Strategie als letzte Verteidigungslinie unerlässlich. Unternehmen im Gesundheitswesen stehen mehr als die meisten anderen Branchen unter Beschuss. Die Fähigkeit zur schnellen Datenwiederherstellung der Daten und Systeme ist also ein Schlüsselfaktor, damit kritische Dienstleistungen wie medizinische Untersuchungen oder OPs auch während eines Cybervorfalls aufrechterhalten werden können.
Eine komplexe Herausforderung – Partner unterstützen
Auf Grundlage dieser Schritte lässt sich die Cyberresilienz erhöhen und der Ablauf der Prozesse auch im Krisenfall sicherstellen. Da im Gesundheitssektor aber die IT-Abteilungen oftmals mit ihren alltäglichen Aufgaben ausgelastet sind, empfiehlt es sich, für die Planung und Umsetzung einer konkreten Cyberresilienz-Strategie einen externen Experten hinzuzuziehen. Dieser unterstützt und hilft dabei, ein gesamtheitliches Sicherheitskonzept zu erstellen, das über simple technische Maßnahmen hinausgeht und auch die Mitarbeiter miteinbezieht. So bleiben Daten, Systeme und Patienten geschützt – auch wenn ein Cybervorfall eintritt.