3 Wege, wie Gesundheitsorganisationen Sicherheitsbedrohungen durch Insider verhindern können

code-820275_1920

Ein Gastbeitrag von Sanjay Joshi, Global CIO Healthcare und Life Sciences bei Tanium

Obwohl häufig “hochentwickelte” oder “nationalstaatliche” Angreifer Schlagzeilen machen, ist es in Wahrheit so, dass die am meisten übersehenen Bedrohungen der Cybersicherheit im Gesundheitswesen innerhalb des IT-Ökosystems liegen. Laut dem Data Breach Investigations Report 2021 von Verizon wurden fast 40 Prozent aller globalen Sicherheitsvorfälle im Jahr 2020 von Insidern verursacht. Diese Insider-Bedrohungen sind oft nicht böswilliger Natur, sondern versehentliche Fehler, z. B. wenn Mitarbeiter auf Phishing-Links klicken, schwache Passwörter verwenden oder sensible Dateien unsachgemäß speichern.

Und obwohl diese Aktivitäten leider in jeder Branche vorkommen, steht im Gesundheitswesen viel mehr auf dem Spiel. In den letzten Jahrzehnten hat sich gezeigt, dass Ausfälle und Sicherheitsverletzungen Krankenhäuser und Patienten routinemäßig nicht nur in eine äußerst gefährliche Lage bringen, sondern auch zur Preisgabe hochsensibler Daten führen können. Erst im Juli 2021 wurden beispielsweise die persönlichen Daten von mehr als 200.000 Patienten eines großen Anbieters kompromittiert, nachdem mehrere E-Mail-Konten von Mitarbeitern gehackt worden waren.

COVID-19 verschärft das Problem nun zusätzlich, da Angreifer versuchen, sich auf überlastete Gesundheits-IT-Teams zu stürzen, wenn diese am verwundbarsten sind. Allein von Dezember 2020 bis Februar 2021 gab es einen 189-prozentigen Anstieg von Phishing-Angriffen auf Apotheken und Krankenhäuser inmitten der Einführung des Impfstoffs.

Aber das größte Problem von allen ist, dass die Sicherheitsbranche und die Gesundheitsorganisationen das Ruder aus der Hand gegeben haben.

Seit einigen Jahren gilt für die Cybersicherheit der Grundsatz: “Es kommt nicht darauf an, ob man angegriffen wird, sondern wann” – eine Sichtweise, die viele zu der Ansicht veranlasst hat, dass die Angriffsprävention eine aussichtslose Sache ist und die Ressourcen einer Organisation besser in die Behebung von Problemen investiert werden sollten. Wenn man jedoch bedenkt, was für Unternehmen im Gesundheitswesen alles auf dem Spiel steht – Universal Health Services hat beispielsweise durch einen Cyberangriff im September letzten Jahres 67 Millionen US-Dollar verloren – ist es nicht nur pessimistisch, sondern auch gefährlich, die Prävention zu vernachlässigen.

Das Argument für Investitionen in die Prävention

Unternehmensleiter und technische Teams haben oft konkurrierende Prioritäten, wenn es um Cybersicherheit geht. Vorstände und Führungskräfte neigen dazu, Sicherheit als eine Kostenstelle zu betrachten, die den Gewinn schmälert. Es ist jedoch unerlässlich, dass CIOs, CISOs und IT-Teams im Gesundheitswesen den geschäftlichen Nutzen von Investitionen in die Cybersicherheit, insbesondere in die Prävention, deutlich machen.

Cybersecurity Ventures prognostiziert, dass die Beseitigung von Sicherheitslücken im Internet im Jahr 2021 weltweit rund 5,5 Milliarden Euro und bis 2025 bis zu 8,5 Milliarden Euro kosten wird. Verstöße gegen die DSGVO wurden im europäischen Gesundheitswesen je nach Schwere der gemeldeten Sicherheitsverletzung in den letzten Jahren bereits mit Strafen bis zu 900.000 Euro geahndet.Zu den Kosten der Cyberkriminalität gehören Umsatz- und IP-Verluste, Produktivitätseinbußen und sehr oft auch massive Rufschädigung. Einfach ausgedrückt: Eine Sicherheitsverletzung kann eine Organisation finanziell ruinieren.

Indem sie der Vorbeugung und Schulung im Bereich der Cybersicherheit Vorrang einräumen, können Organisationen des Gesundheitswesens das Risiko einer Sicherheitsverletzung und alle damit verbundenen Schäden erheblich verringern.

Drei Wege, wie Organisationen des Gesundheitswesens Insider-Bedrohungen vorbeugen können

  1. Priorisierung der Mitarbeiterschulung (ohne die Mitarbeiter zu überfordern)

Untersuchungen haben ergeben, dass Mitarbeiter, die eine Schulung zum Thema Sicherheit erhalten haben, Sicherheitsbedrohungen deutlich besser erkennen können als Mitarbeiter, die keine Schulung erhalten haben. Darüber hinaus sind Schulungsprogramme zur Cybersicherheit besonders effektiv, wenn es darum geht, Mitarbeiter bei der Erkennung von Phishing und Social-Engineering-Betrug zu unterstützen. Der diesjährige DBIR-Bericht von Verizon ergab, dass mehr als ein Drittel aller Sicherheitsverletzungen auf Phishing zurückzuführen sind.

Schulungen sollten für alle Benutzer obligatorisch sein. Die Cybersicherheit betrifft das gesamte Unternehmen. Niemand ist von dieser Verantwortung ausgenommen oder gegen Schwachstellen immun. Der wahre Schlüssel zum Erfolg liegt hier in der Gestaltung von Schulungsprogrammen. Diese sollen ohne großen Mehraufwand die ohnehin wertvolle Arbeitszeit im Gesundheitswesen schonen und dabei trotzdem Kontinuität und Aktualität gewährleisten. Letztendlich sollte die Schulung Teil eines jeden Weiterbildungsprogramms sein.

  1. Verbesserung der IT-Hygiene

Viele Sicherheitsprobleme werden entweder durch einfaches menschliches Versagen, oder ein grundlegendes Hygieneproblem verursacht, das mit dem richtigen Maß an Transparenz und Kontrolle hätte erkannt und behoben werden können. Um ein Unternehmen vor den Auswirkungen eines Angriffs – einschließlich Insider-Bedrohungen – zu schützen, muss sichergestellt werden, dass erstens die Sicherheitsvorkehrungen angemessen konfiguriert und auf dem neusten Stand sind und dass zweitens das Verhalten der Mitarbeiter auf ein bewährtes Verfahren ausgerichtet wird. Ist alles gepatcht? Sind die Sicherheitstools auf dem neuesten Stand? Gibt es einen vollständigen Einblick in alle Endpunkte innerhalb Ihres Netzwerks? Können Sie angesichts der zunehmenden Zahl von Mitarbeitern, die von zu Hause aus arbeiten, die gleiche Transparenz und den gleichen Schutz für alle Ihre Mitarbeiter gewährleisten, unabhängig von deren Standort? Wie schnell können Sie überwachen und Abhilfe schaffen?

  1. Umsetzung eines Zero-Trust-Ansatzes

In Anbetracht der Zunahme von Telemedizin und Fernarbeit gibt es keine Grenzen mehr, und traditionelle Ansätze für die Cybersicherheit reichen nicht mehr aus. Der Schwerpunkt muss auf diesen fünf Kernbereichen liegen: Richtlinien, Menschen, Prozesse, Produkte und Drittanbieter.

Mit einem modernisierten Zero-Trust-Ansatz überprüfen Unternehmen kontinuierlich den Zugriff jedes einzelnen Benutzers oder Geräts. Denn Vorsicht ist besser als Nachsicht. Identitätsbewusstsein, Perimeter-Definition und Multi-Faktor-Authentifizierungs-Technologien (MFA) sind die wichtigsten Komponenten des unternehmensweiten Sichtbarkeits- und Überwachungsprozesses. Diese zusätzliche Sicherheitsebene kann das Risiko erheblich reduzieren und Sicherheitsverletzungen verhindern.

Die Gesundheitsbranche ist ein bevorzugtes Ziel für Angreifer, aber es gibt keinen Grund, den Kopf in den Sand zu stecken. Mit diesen Schritten können Unternehmen des Gesundheitswesens ihre Sicherheitslage sofort verbessern und das Risiko potenzieller Sicherheitsverletzungen minimieren.