Ransomware-Angriffe auf Gesundheitsorganisationen nehmen weiterhin zu. Laut IT Governance USA meldete der Gesundheitssektor im Juni 2024 280 Cyber-Vorfälle. Zur Jahresmitte 2024 entsprach diese Zahl 24 % aller Cyber-Vorfälle in den USA. Gesundheitsdienstleister stehen zunehmend unter Druck, die geschützten Gesundheitsdaten (PHI) jedes Patienten zu schützen und gleichzeitig Störungen zu minimieren.
Es ist nicht neu, dass Gesundheitsorganisationen das Interesse von Cyberkriminellen wecken. Dieser Sektor war schon immer ein Ziel, und dieses Ziel hat sich während der Covid-19-Pandemie noch verstärkt. In dieser Zeit digitalisierte die Branche im Zuge der Umstellung auf Fernversorgung scheinbar im Handumdrehen den Betrieb – laut einer Studie von EY erfolgten im April 2020 43,5 % der Medicare-Hausbesuche über Telemedizin, im Vergleich zu 1 % in zwei Monaten vor.
Dieser digitale Schwenk brachte jedoch unvorhergesehene Risiken mit sich. Beispielsweise haben vernetzte Geräte die Angriffsfläche dramatisch erweitert und potenzielle neue Einstiegspunkte für Cyberkriminelle geschaffen, die auf der Suche nach elektronischen Gesundheitsakten (EHRs) sind. CNBC berichtete kürzlich, dass EHRs im Dark Web für 60 US-Dollar verkauft werden. Vergleichen Sie das mit Sozialversicherungsdaten, die für 15 US-Dollar verkauft werden, und Kreditinformationen, die 3 US-Dollar einbringen, und es ist leicht zu erkennen, warum Gesundheitsorganisationen beliebte Ziele sind.
Hinzu kommt die Tatsache, dass für diese Organisationen buchstäblich lebensgefährliche Konsequenzen drohen, was die Wahrscheinlichkeit hoher Lösegeldzahlungen erhöht hat. Dies erklärt, warum das Gesundheitswesen bei Ransomware-Angriffen durchweg zu den am stärksten betroffenen Branchen zählt.
Vorfälle und Ansprüche im Gesundheitswesen
Heute entspricht die Zahl der Versicherungsansprüche aufgrund von Cybervorfällen im Gesundheitswesen dem Branchendurchschnitt. Der Unterschied liegt in der Häufigkeit von Ansprüchen wegen „Anbieterverstößen“ und „Dritter-Ransomware“. Im Gesundheitswesen sind diese Zahlen deutlich höher, was wahrscheinlich auf die regulatorischen Anforderungen des Sektors zur Meldung von PHI-Verstößen zurückzuführen ist.
Wenn beispielsweise ein Krankenhaus MRT-Dienste an einen Drittanbieter auslagert und bei diesem Anbieter ein Verstoß auftritt, muss das Krankenhaus als abgedecktes Unternehmen gemäß HIPAA die betroffenen Patienten informieren, was zu Kosten führt, die als Cyber-Anspruch eingereicht werden. Da es sich bei Ransomware typischerweise um Datenzugriff und Datendiebstahl handelt, folgen Ransomware-Ansprüche Dritter einem ähnlichen Muster.
Maßnahmen ergreifen
Die Gesundheitsbranche ist sich ihrer Anfälligkeit für Cyberkriminalität bewusst und räumt der Cybersicherheit weiterhin Priorität ein. Zu den Bereichen, auf die Organisationen ihre Bemühungen konzentrieren sollten, gehören:
Cyber-Hygiene – Während die Branche viel über erhöhte Investitionen in Cyber-Sicherheitslösungen spricht, können es sich Unternehmen nicht leisten, die Notwendigkeit einer Verbesserung der Cyber-Hygiene und insbesondere der Mitarbeiterschulung zum Thema Cyber-Sensibilisierung zu übersehen. Wer sich fragt, warum die Mitarbeiterschulung so hohe Priorität hat, sollte sich diese Studie von Verizon ansehen: Laut einer Studie der Stanford University und Tessian aus dem Jahr 2024 werden 88 % der Datenschutzverletzungen durch Mitarbeiterfehler verursacht.
Eine häufige Option, die Unternehmen nutzen können, um diese Fehler einzudämmen, ist ein Schulungsprogramm für das Sicherheitsbewusstsein. Diese Programme sollen Gesundheitsfachkräften das Wissen und die Fähigkeiten vermitteln, um Cybersicherheitsbedrohungen zu erkennen und darauf zu reagieren, die von Phishing-Kampagnen bis hin zu komplexeren KI-gestützten Social-Engineering-Angriffen reichen können.
Cyber-Resilienz – Gesundheitsorganisationen sollten sich auch auf Resilienz konzentrieren. Das bedeutet, in umfassende Sicherheitskontrollen (Multifaktor-Authentifizierung, Endpunkterkennung und Reaktion) und effektive Backup-Systeme zu investieren, um die Auswirkungen eines Angriffs zu minimieren und ihre Abhängigkeit von der Zahlung von Lösegeldern zu verringern.
Risikomanagement durch Dritte (TPRM) – Die meisten Gesundheitsorganisationen arbeiten mit Dritten zusammen, und es ist wahrscheinlich, dass vielen dieser Unternehmen die gleichen Investitionen in die Cybersicherheit fehlen. Untersuchungen von Security Scorecard zeigen, dass es im Gesundheitswesen im Vergleich zu allen anderen Branchen am häufigsten zu Datenschutzverletzungen durch Dritte kommt. Laut der Studie „ereigneten sich 35 % aller gemeldeten Datenschutzverletzungen im Gesundheitswesen bei Drittanbietern.“
Aus diesem Grund sind TPRM-Programme von entscheidender Bedeutung. Ein solides Programm eliminiert nicht alle Risiken, aber es hilft Ihrem Unternehmen dabei, die mit Drittanbietern verbundenen Risiken einzuschätzen und zu identifizieren, sodass ein Plan vorliegt, bevor es zu einem Verstoß gegen einen kritischen Partner kommt. Beginnen Sie mit der Festlegung eines Rahmenwerks, das klar darlegt, wie das Unternehmen Dritte identifiziert und wie Risiken bewertet, überwacht und verwaltet werden. Sobald Sie fertig sind, arbeiten Sie mit den Mitarbeitern zusammen, um sicherzustellen, dass sie die vielen Risiken verstehen, die mit der Zusammenarbeit mit Dritten einhergehen, und die Schlüsselelemente, die im TPRM-Plan enthalten sind.
Überprüfen Sie als Nächstes die Bescheinigungen der einzelnen Anbieter, um deren aktuelle Sicherheitsinvestitionen einzuschätzen und sicherzustellen, dass diese ausreichend sind und allen relevanten Branchenvorschriften entsprechen. Um sicherzustellen, dass Ihr Team die richtigen Fragen stellt, sehen Sie sich diese Vorlage für das Vendor Supply Chain Risk Management (SCRM) der Cybersecurity and Infrastructure Security Agency (CISA) an. Stellen Sie von dort aus sicher, dass Sie über einen Plan zur Reaktion auf Vorfälle verfügen, der eine Cyberversicherung umfasst.
Blick nach vorn
Ransomware-Angriffe sind häufiger und raffinierter geworden. Daher müssen Gesundheitsorganisationen wachsam bleiben und ihre Sicherheitsprotokolle und Resilienzmaßnahmen kontinuierlich bewerten und weiterentwickeln. Die Umstellung auf digitale Abläufe und vernetzte Geräte hat die Patientenversorgung verbessert, aber auch die Cybersicherheit zu einem wichtigen Bestandteil der Gesundheitsversorgung gemacht. Um Patientendaten zu schützen, einen kontinuierlichen Service aufrechtzuerhalten und sich vor finanziellen Schäden und Reputationsschäden zu schützen, müssen Gesundheitseinrichtungen sofortige Abwehrmaßnahmen mit proaktiven, langfristigen Sicherheitsstrategien abwägen, die sich auch auf Drittanbieter erstrecken. Durch diese gemeinsamen Anstrengungen kann der Gesundheitssektor einer nachhaltigeren Verteidigung gegen Cyber-Bedrohungen näher kommen und gleichzeitig sicherstellen, dass jede Organisation auf die anhaltenden Herausforderungen vorbereitet ist, die vor ihnen liegen.
Foto: boonchai wedmakawand, Getty Images
Lauren Winchester ist Leiterin Cyber Risk Services bei Travelers. Cyber Risk Services ist für die Cyber-Services und -Erfahrung der Versicherungsnehmer bei Travelers verantwortlich. Wir kombinieren exzellenten Kundenservice, Fachwissen und Lieferantenbeziehungen mit Schwachstellenscans und Bedrohungsinformationen, um ein proaktives, maßgeschneidertes und skalierbares Cyber-Risikomanagement-Erlebnis zu schaffen. Lauren hat das letzte Jahrzehnt in der Cyberversicherung verbracht und begann ihre Karriere als praktizierende Anwältin bei einer Am Law 100-Kanzlei mit Schwerpunkt auf Rechtsstreitigkeiten und Datenschutz.
Dieser Beitrag erscheint über das MedCity Influencers-Programm. Über MedCity Influencer kann jeder seine Sicht auf Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um herauszufinden, wie.
