Cybersicherheit im Gesundheitswesen ist für die Sicherheit der Patienten von entscheidender Bedeutung. Für Krankenhäuser ist eine Datenschutzverletzung nicht nur eine Unannehmlichkeit – sie kann lebensrettende Behandlungen verzögern und die lebenswichtige Versorgung beeinträchtigen. Die Bewältigung dieser Risiken erfordert eine gezielte, unterstützende Gesetzgebung, die Cybersicherheit zur Grundlage der Patientensicherheit macht und Gesundheitsorganisationen – unabhängig von ihrer Größe – in die Lage versetzt, wesentliche Sicherheitsstandards einzuhalten und die Sicherheit der Patienten zu gewährleisten.
Cyberangriffe haben direkte und unmittelbare Folgen für Patienten, von Verzögerungen bei der Diagnose über die Umleitung von Krankenwagen bis hin zu verzögerten Verschreibungen. Während große Gesundheitssysteme in dicht besiedelten Gebieten oft über die Ressourcen verfügen, sich schnell zu erholen und in robuste Cybersicherheit zu investieren, stehen kleinere Anbieter – insbesondere in ländlichen oder unterversorgten Regionen – vor einem schwierigeren Kampf. Begrenzte Budgets, veraltete Infrastruktur und ständige Cyber-Bedrohungen machen einen umfassenden Schutz für diese Einrichtungen zu einer dauerhaften Herausforderung.
Führungskräfte aus den Bereichen Gesundheitswesen, Technologie und Politik sind sich einig, dass Cybersicherheit nicht nur eine technische Notwendigkeit ist, sondern eine grundlegende Voraussetzung für die Patientensicherheit. Während robuste Sicherheit unerlässlich ist, sind gezielte Richtlinien auf Landes- und Bundesebene von entscheidender Bedeutung, um Gesundheitsdienstleistern dabei zu helfen, diese Standards einzuhalten – insbesondere für diejenigen mit begrenzten Ressourcen – und sicherzustellen, dass die Cybersicherheit alle Patienten schützt.
Warum das Gesundheitswesen ein Hauptziel für Cyberangriffe ist
Aufgrund seiner ausgedehnten, vernetzten Infrastruktur ist das Gesundheitswesen ein Hauptziel für Cyberangriffe. Elektronische Gesundheitsakten (EHRs), medizinische Bildgebungstools, Abrechnungssysteme, medizinische Geräte, mobile Geräte und mehr tragen zu einer riesigen digitalen Landschaft bei, die in den letzten Jahren rasant gewachsen ist. Leider konnten die Cybersicherheitsmaßnahmen zum Schutz dieser Infrastruktur mit ihrem schnellen Wachstum nur schwer Schritt halten.
Gesundheitsdaten sind eine Goldgrube für Angreifer, da Krankenakten hochsensible geschützte Gesundheitsinformationen (PHI) enthalten, die im Dark Web viel Geld wert sind. Cyberkriminelle wissen auch, dass die Funktionsfähigkeit eines Krankenhauses lebenswichtig ist, was die Wahrscheinlichkeit erhöht, dass sie das Lösegeld zahlen.
Da Cyberangriffe immer ausgefeilter und umfangreicher werden, geraten immer mehr Gesundheitsorganisationen und die von ihnen versorgten Gemeinden in Gefahr. Der mittlerweile berüchtigte Datenverstoß bei Change Healthcare ist ein bemerkenswertes Beispiel, das verdeutlicht, wie sich ein Single Point of Failure auf mehrere Einrichtungen ausbreiten und die Patientenversorgung beeinträchtigen kann.
Ein kompromittiertes Abrechnungs-, Schadens- und Umsatzverarbeitungsnetzwerk zwang Krankenhäuser, sich auf Papierabrechnungen zu verlassen – eine riskante Methode, die die Patientenversorgung verzögerte. Mehrere Krankenhäuser befanden sich in einer Finanzkrise und waren monatelang nicht in der Lage, Ansprüche zu bearbeiten. Kleinere Krankenhäuser waren fast bankrott, als die Systeme wieder online gingen. Dies verdeutlichte die wachsende Herausforderung der Cyber-Ungleichheit und ihre Auswirkungen auf die öffentliche Gesundheit.
Herausforderungen im Gesundheitswesen durch Cyber-Ungleichheit
Große Gesundheitssysteme in dichter besiedelten Gebieten verfügen häufig über mehr Ressourcen, um IT-Teams vollständig zu besetzen, fortschrittliche Sicherheitssoftware zu implementieren und Wiederherstellungspläne zu verabschieden. Aber ehrlich gesagt sind die meisten Gesundheitsorganisationen, selbst die größten, unterbesetzt und hinken bei der digitalen Transformation hinterher. Diejenigen mit den geringsten Ressourcen leiden am meisten. Kleinere Krankenhäuser arbeiten mit knapperen Budgets und sind daher gezwungen, sich zwischen Cybersicherheit und anderen unmittelbaren Bedürfnissen in der Patientenversorgung zu entscheiden.
In einer kürzlich abgehaltenen Diskussionsrunde wies ein Administrator eines ländlichen Krankenhauses auf die finanzielle Belastung ländlicher Krankenhäuser hin und erklärte, dass begrenzte Budgets diese Einrichtungen häufig dazu zwingen, Investitionen zur Unterstützung der unmittelbaren Patientenversorgung und alltäglicher wesentlicher Vorgänge wie den Austausch von MRT-Geräten oder veralteten Computern Vorrang einzuräumen. Dies wirkt sich jedoch auf die Höhe des Budgets und der Ressourcen aus, die das Unternehmen speziell für die Cybersicherheit bereitstellen kann, wodurch eine Lücke entsteht, die Risiken birgt. Da wir bereits mit vielen veralteten Systemen und schlecht integrierten Technologien arbeiten, erhöht die Unfähigkeit, in Cybersicherheit zu investieren, die Schwachstellen für unterversorgte Einrichtungen.
Auch die Besetzung von IT-Talenten ist eine große Herausforderung. Viele Krankenhäuser können sich keine spezialisierten Cybersicherheitsexperten leisten, ganz zu schweigen von der enormen Arbeitsbelastung durch Helpdesk-Tickets, technische Updates und andere Projekte, die ein ohnehin schon überfordertes IT-Team belasten. Wenn also ein Cyberangriff ein ländliches Krankenhaus trifft, sind die Auswirkungen noch größer. Patienten haben möglicherweise keine andere Möglichkeit zur sofortigen Versorgung, wenn ihr örtliches Krankenhaus nicht öffnen oder funktionieren kann.
Eine Studie im Journal of the American Medical Association ergab, dass ein Cyberangriff auf eine Gesundheitseinrichtung einen Dominoeffekt auslöst, der benachbarte Krankenhäuser belastet, da sie Patienten umleiten und die Personalressourcen überfordern. Ein Angriff kann schwerwiegende Auswirkungen auf kleinere, ressourcenbeschränkte Krankenhäuser haben und das Leben von Patienten aufs Spiel setzen, da sie mit Verzögerungen bei der Intensivpflege konfrontiert sind. Manchmal ist das nächstgelegene Krankenhaus über 100 Meilen entfernt – was in einem medizinischen Notfall über Leben und Tod entscheiden kann.
Darüber hinaus ist der Sektor durch die Abhängigkeit des Gesundheitswesens von technischen Partnerschaften einem höheren Volumen an Angriffen Dritter ausgesetzt, was ihn besonders anfällig macht. Dieses Risiko wird durch Verstöße von Softwareanbietern erhöht, die schwerwiegende Auswirkungen auf Krankenhäuser haben können, die auf diese Dienste angewiesen sind, wie der Vorfall „Change Healthcare“ zeigt. Trotz Initiativen wie dem CISA-Versprechen, das Anbieter dazu ermutigt, bis 2025 bestimmte Standards einzuhalten, hinterlässt das Fehlen erzwungener Konsequenzen eine erhebliche Lücke bei der Bekämpfung der Cyber-Ungleichheit und der Schwachstellen, die mit Angriffen Dritter im Gesundheitswesen verbunden sind.
Der Mangel an Cybersicherheitsressourcen für ländliche Krankenhäuser ist mehr als nur ein logistisches Problem; es ist eine Frage der Gerechtigkeit. Ohne Intervention wird die Kluft zwischen gut ausgestatteten und unzureichend ausgestatteten Gesundheitssystemen größer werden, was zu echten Ungleichheiten bei der Patientensicherheit und der Pflegequalität führen wird.
Argumente für mehr staatliche Unterstützung
Die Gesundheitsbranche kann die Cybersicherheit nicht alleine bewältigen. Es ist zwar klar, dass Mindeststandards für die Cybersicherheit erforderlich sind, aber nicht finanzierte Mandate bergen die Gefahr, dass kleine Anbieter, die bereits überfordert sind, überfordert werden. Ein stärkeres und gerechteres Gesundheitssystem erfordert gezielte staatliche Unterstützung, um diese Lücken zu schließen.
Der Health Sector Coordinating Council – eine Cybersicherheits-Arbeitsgruppe von mehr als 450 Gesundheitsorganisationen, die mit dem US-Gesundheitsministerium (HHS) zusammenarbeitet – hat ein auf das Gesundheitswesen zugeschnittenes Cybersicherheits-Framework ausgearbeitet, einschließlich Richtlinien zur Reaktion auf Vorfälle und zur Kontinuität des Betriebs.
Durch die Verknüpfung bestehender staatlicher Programme mit Cybersicherheitsmitteln in Form von Anreizen könnten mehr Krankenhäuser Zugang zu Zuschüssen oder Subventionen für Cybersicherheitsmaßnahmen erhalten. Staatliche Unterstützung würde Gesundheitseinrichtungen dazu ermutigen, in ihre Sicherheitsinfrastruktur zu investieren, ohne die Finanzen der Organisation erheblich zu belasten.
Die Ausweitung des Zugangs zu Cybersicherheitsversicherungen, insbesondere für Hochrisiko- oder gefährdete Einrichtungen, würde Krankenhäusern auch ein Sicherheitsnetz im Falle eines Angriffs bieten, was bei allen staatlichen Anordnungen oder Anreizen zur Cybersicherheit im Gesundheitswesen unbedingt berücksichtigt werden muss.
Eine intelligente Cyberpolitik ist für die Patientensicherheit von entscheidender Bedeutung
Es gibt viele Faktoren, die die Fähigkeit des Gesundheitswesens beeinträchtigen, in Cybersicherheit zu investieren, aber eine der größten Herausforderungen ergibt sich aus dem Mangel an strategisch konzipierten gesetzgeberischen Treibern und definierten Standards. Es ist von entscheidender Bedeutung, dass Richtlinien nicht nur Investitionsanreize enthalten, sondern auch speziell auf die besonderen Sicherheits-, Compliance- und Workflow-Anforderungen von Gesundheitsorganisationen und Ärzten zugeschnitten sind.
Beispielsweise kann die Implementierung einer passwortlosen Authentifizierung das Risiko eines durch menschliches oder medizinisches Versagen verursachten Diebstahls von Anmeldedaten erheblich reduzieren. Dieser Ansatz erhöht nicht nur die Sicherheit durch Minimierung des Phishing-Risikos, sondern reduziert auch den Burnout bei Ärzten und spart Zeit, die für die Patientenversorgung genutzt werden kann. Die sichere Verwaltung des Zugriffs von Anbietern und Dritten ist ebenfalls von entscheidender Bedeutung, um Angriffe auf die Lieferkette zu verhindern, und sollte ein grundlegender Bestandteil aller Cyber-Richtlinien oder -Vorschriften im Gesundheitswesen sein.
Auch wenn wir auf eine motivierende und sinnvolle Gesetzgebung hoffen, ist Zusammenarbeit ohne sie das wirksamste Instrument im Gesundheitswesen. Führungskräfte und Anbieter im Gesundheitswesen müssen strategisch zusammenarbeiten, um innovative Lösungen zu entwickeln, die den spezifischen Sicherheits-, Compliance- und Effizienzanforderungen des Sektors gerecht werden.
Foto: anyaberkut, Getty Images
Dr. Sean Kelly ist Chief Medical Officer (CMO) und Sr. VP of Customer Strategy for Healthcare bei Imprivata, wo er das Clinical Workflow-Team des Unternehmens leitet und in der klinischen Praxis der IT-Sicherheit im Gesundheitswesen berät. Darüber hinaus praktiziert Dr. Kelly Notfallmedizin bei Beth Israel Lahey Health und ist Teilzeit-Assistenzprofessor für Notfallmedizin an der Harvard Medical School. Dr. Kelly wurde am Harvard College, an der University of Massachusetts Medical School und an der Vanderbilt University ausgebildet, ist Facharzt für Notfallmedizin und Fellow am American College of Emergency Physicians.
Dieser Beitrag erscheint über das MedCity Influencers-Programm. Über MedCity Influencer kann jeder seine Sicht auf Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um herauszufinden, wie.
