Cyberangriffe auf Krankenhäuser im Gesundheitswesen bleiben eine ständige Bedrohung. Sie gefährden ihre Fähigkeit, eine effiziente Versorgung zu gewährleisten, und setzen sie dem Risiko schwerer finanzieller Verluste und Datenschutzverletzungen aus. Diese Art von Cyberkriminalität scheint in absehbarer Zeit nicht nachzulassen – so berichtete beispielsweise Michigan Medicine aus Ann Arbor kürzlich, dass das Gesundheitssystem täglich etwa 500.000 Hackerangriffen ausgesetzt sei.
Aufgrund dieser ständig wachsenden Bedrohungen für die Cybersicherheit räumen Gesundheitssysteme der Rolle des Chief Information Security Officer (CISO) eine hohe Priorität ein, betont Zach Durst, Berater bei der Führungsberatungsfirma WittKieffer.
„Heute ist der CISO in der Regel der einzige Technologieleiter in seiner Organisation, abgesehen vom Chief Information Officer, der regelmäßig dem CEO und dem Vorstand Bericht erstattet. Das Ziel besteht darin, sicherzustellen, dass die oberste Führungsebene jederzeit die sich ständig weiterentwickelnde Bedrohungslandschaft versteht und weiß, wie ihre Organisation Cybersicherheitsrisiken mindert und Notfallpläne für Angriffe oder Black-Swan-Ereignisse entwickelt“, erklärte er.
Durst erklärte, dass „fast alle Gesundheitssysteme“ mittlerweile einen CISO oder zumindest einen Leiter mit Direktorentitel haben, der für die Informationssicherheit verantwortlich ist. Seiner Ansicht nach haben Gesundheitsorganisationen endlich erkannt, wie wichtig es ist, einen engagierten Leiter zu haben, der sich darauf konzentriert, ihre Risikoumgebung zu verstehen und die entsprechenden Schutzmethoden einzuführen.
Eine kürzlich von WittKieffer durchgeführte Umfrage ergab, dass etwa 65 % der Führungskräfte im Bereich Informationssicherheit im Gesundheitswesen auf der Ebene des Vizepräsidenten oder Senior Vice President tätig sind, die meisten anderen auf der Ebene des Geschäftsführers oder Direktors.
Um effektiv arbeiten zu können, muss ein CISO im Gesundheitswesen mit nahezu allen Führungskräften in einem Gesundheitssystem interagieren können, merkte Durst an. Dies erfordert häufig eine enge Zusammenarbeit mit dem Chief Technology Officer oder einer anderen Führungskraft, die die Technologieinfrastruktur der Organisation verwaltet, sowie mit dem Chief Data and Analytics Officer oder einer anderen Führungskraft, die für Patienteninformationen zuständig ist. Normalerweise bedeutet dies auch eine enge Partnerschaft mit dem Chief Legal Officer und dem Chief Compliance Officer, betonte Durst.
CISOs müssen außerdem eng mit dem CEO und CIO ihres Unternehmens zusammenarbeiten, um sicherzustellen, dass das Cybersicherheitsprogramm über ausreichend Ressourcen verfügt, fügte er hinzu.
„Der moderne CISO kann sich nicht hinter seinem Schreibtisch verstecken“, sagte Durst. „Er muss sichtbar sein und in der Lage sein, einen Konsens zwischen breiten Interessengruppen herbeizuführen.“
Aus Gesprächen mit CISOs im gesamten Gesundheitswesen weiß Durst, dass es weniger um größere Investitionen in Ressourcen und Gehälter im Bereich Cybersicherheit geht, sondern vielmehr um eine überlegte Investition der Ressourcen, die den Gesundheitssystemen zur Verfügung stehen.
Aus seiner Sicht sind gute CISOs pragmatisch und können die Risikotoleranz ihrer Organisation einschätzen und mit den verfügbaren Ressourcen ein entsprechendes Cybersicherheitsprogramm aufbauen.
„Während es schwierig ist, die Rendite von Informationssicherheitsprogrammen zu belegen, stellt sich die Frage, wie man Angriffe beziffern kann, die verhindert oder vermieden werden? Die meisten Organisationen verstehen die Bedeutung der Cybersicherheit heute instinktiv und werden sie finanzieren. Selbst finanziell angeschlagene Gesundheitssysteme können sich erhebliche Sicherheitsrisiken nicht leisten“, erklärte er.
Foto: Traitov, Getty Images
