Einleitung
Der durch die COVID-19-Pandemie ausgelöste Trend zur Remote-Arbei hat gezeigt, wie sehr sich unsere Gesellschaft auf die Technologie verlässt, wenn es um berufliche Interkonnektivität und Produktivität geht, z. B. durch Software wie Zoom, Online-Datenspeicherlösungen und die Nutzung von Cloud-basierten Software-as-a-Service-Anwendungen (SaaS). Die Online-Technologie bietet zwar wesentliche geschäftliche Vorteile, wirft aber auch Fragen der Cybersicherheit und des Datenschutzes auf.
Ein Bereich, den IT-Sicherheitsexperten als besonders gefährdet ansehen, ist das Gesundheitswesen. Patientendaten sind für Cyberkriminelle wertvoll, die sie auf dem Untergrundmarkt für beträchtliche Summen verkaufen können. Laut dem jüngsten Jahresbericht an den Kongress über Verletzungen ungesicherter geschützter Gesundheitsdaten erhielt das U.S. Department of Health and Human Services Office for Civil Rights (OCR) 609 Meldungen über Verletzungen, die 500 oder mehr Personen betrafen und insgesamt etwa 37'182’558 Patientendaten umfassten. Das OCR erhielt ausserdem 63’571 Meldungen über Datenschutzverletzungen, die weniger als 500 Personen betrafen, wobei unbefugter Zugriff oder unbefugte Offenlegung als häufigste Art von Datenschutzverletzungen gemeldet wurden. Von diesen kleineren Verstössen waren insgesamt 319’215 Personen betroffen.
Warum haben es Cyberkriminelle auf Krankenakten abgesehen?
Viele medizinische Einrichtungen sind aufgrund unzureichender Cybersicherheit und unzureichenden Datenschutzes das Ziel krimineller Aktivitäten. Krankenhäuser verfügen über enorme Datenmengen, von denen ein grosser Teil in letzter Zeit digitalisiert wurde. Die meisten Krankenhaussysteme wurden nicht unter dem Gesichtspunkt der höchstmöglichen Sicherheit entwickelt, sondern lediglich, um Daten zu speichern und dem Krankenhauspersonal den Zugriff darauf zu erleichtern. Die Software, die diese kolossale Menge an Informationen verwaltet, muss hinsichtlich der technischen Sicherheitskontrollen besser ausgerichtet sein. Ganz gleich, ob es sich um menschliches Versagen handelt - z. B., wenn eine Person einem Phishing-Betrug oder einem Trojaner zum Opfer fällt - oder um eine Schwachstelle im System selbst, Cyberkriminelle haben grossen Erfolg dabei, an die Daten zu gelangen.
Daten aus dem Gesundheitswesen sind besonders wertvoll. Viele dieser Datensätze enthalten persönlich identifizierbare Informationen (PII), die, wie der Name schon sagt, zur direkten Identifizierung einer Person dienen. Zu den PII gehören Informationen wie Sozialversicherungsnummern, Pass- und Führerscheinnummern, Namen und Adressen, die alle mit einem breiteren Informationsstrom verbunden werden können, um ein Profil einer Person zu erstellen. PII sind wertvoll, weil sich im Gegensatz zu Kreditkarten nur sehr wenige dieser Daten im Laufe der Zeit ändern oder ablaufen. Aus diesem Grund können Cyberkriminelle Gesundheitsdaten nutzen, um ihre Opfer effektiver und längerfristig auszubeuten.
Cyberkriminelle nutzen inzwischen personenbezogene Daten, um Betrug mit einer neuen, schnell wachsenden Methode zu begehen, bei der "synthetische Identitäten" verwendet werden. Hacker erstellen gefälschte Profile, indem sie gültige, aus Datensätzen gestohlene Informationen mit Unwahrheiten zusammenführen und so ein quasi fiktives Profil erstellen, das Betrug begehen kann. Wenn Hacker Zugang zu den personenbezogenen Daten haben, ist es ein Leichtes, mehrere Profile zu erstellen und sie alle gleichzeitig, auch über längere Zeiträume hinweg, aktiv zu halten, ohne dabei erwischt zu werden. Synthetischer Betrug nimmt schneller zu als jedes andere Finanzverbrechen und macht Krankenhausdaten zu einem lohnenden Ziel für aufstrebende Cyberkriminelle.
Auch der Einsatz von Ransomware-Angriffen, mit denen die Opfer erpresst werden, für ihre Daten hohe Summen zu zahlen, hat deutlich zugenommen. Ransomware verwendet in der Regel kryptografische Algorithmen, um Daten zu verschlüsseln und sie für rechtmässige Nutzer unzugänglich zu machen. Der Hacker (oder die Hackerin) verlangt dann eine Zahlung für die Entschlüsselung der Daten. Es gibt zwar Möglichkeiten, die Zahlung dieser Forderungen zu vermeiden, aber diese sind oft zeitaufwändig und riskant. Die Folgen einer Nichtzahlung könnten für Krankenhäuser oder Mediziner:innen, die von diesen Betrügereien betroffen sind, verheerend sein. Die Schwere der potenziellen Betriebsstörungen, die bei einem Angriff auf Gesundheitsdaten auftreten können, macht diese zu einem äusserst attraktiven Ziel für Cyberkriminelle, da dies ihre Chancen auf Lösegeldzahlungen erhöht. Nach einem Angriff auf ein medizinisches Zentrum in Neuenburg im März 2022 forderten die Hacker Lösegeld für die Daten. Die Ärzte lehnten die Forderung auf Anraten der Behörden ab, was dazu führte, dass die Täter über 40’000 Patientendaten im Darknet veröffentlichten.
Wie wichtig sind sichere Datenschutz-Rahmenbedingungen?
Der blosse Wert der von Gesundheitseinrichtungen gespeicherten Daten ist Grund genug, um erhebliche Investitionen in die Informationssicherheit zu rechtfertigen. Während die Banken erhebliche Massnahmen zum Schutz vor diesen neuen Formen des Identitätsbetrugs ergriffen haben, sehen sich Gesundheitsdienstleister:innen von einer zunehmend technologisch versierten Art von Kriminellen überlistet. Die zusätzliche Gefahr liegt in der zunehmenden Vernetzung der Gesundheitsbranche. So stehen viele Organisationen in ständiger Interaktion und geben Daten aneinander und untereinander weiter. Die Anzahl potenzieller Schwachstellen und Angriffspunkte im täglichen Betrieb von Gesundheitsdienstleistern bedeutet, dass ein risikobasierter Ansatz zur Sicherung sensibler Informationen unabdingbar ist.
Organisationen im Gesundheitswesen benötigen heute einen strukturierten Rahmen von Strategien, Verfahren, Richtlinien, Ressourcen und damit einhergehenden Kontrollen, um das Informationsrisiko zu verringern. Die implementierten Lösungen müssen Angriffe erkennen, bevor sie stattfinden, und über Absicherungen verfügen, um im Falle einer Datenschutzverletzung zu reagieren und den Schaden zu minimieren.
Es muss ein ganzheitlicher Ansatz für die Umsetzung von Informationssicherheitskontrollen verfolgt werden, der physische, organisatorische, technische und vor allem personenbezogene Risiken berücksichtigt. Jede:r, mit Datenzugang, kann ein potenzieller Schwachpunkt für Hacker sein. Daher muss jede:r Mitarbeiter:in darin geschult werden, digitale Sicherheitsbedrohungen zu vermeiden. Viele Datenschutzverletzungen sind auf Phishing-Betrug zurückzuführen, von denen die meisten vermeidbar sind, wenn die Mitarbeiter:innen durch Schulungen und Simulationsübungen sensibilisiert werden.
Fazit
Heutzutage sind Daten zur wertvollsten Währung auf dem Untergrundmarkt geworden. Die Besonderheit von Patientendaten macht sie zu einer Goldgrube für Cyberkriminelle, die Gesundheitseinrichtungen mit trägen Sicherheitsvorkehrungen ausbeuten wollen.
Als Gesundheitsdienstleister:in steht es in Ihrer Verantwortung, Patientendaten zu schützen. Sie sollten unverzüglich Massnahmen zur Umsetzung eines einheitlichen und umfassenden Sicherheitsstandards ergreifen, um die schwerwiegenden potenziellen Folgen einer Datenschutzverletzung zu vermeiden.
MOD1 Dienstleistungen im Bereich Cybersicherheit, Datenschutz, Risiko und Compliance
MOD1 bietet Cybersecurity-, Datenschutz-, Risiko- und Compliance-Beratungslösungen für digitale Life-Sciences-Unternehmen und Gesundheitsdienstleister:innen. Mit unseren massgeschneiderten Dienstleistungen schützen wir vor Datenschutzverletzungen, Umsatzverlusten, Rufschädigung, Betriebsausfällen und rechtlicher Haftung. Wir passen unsere Angebote professionell an das Budget, die Komplexität und die Grösse des jeweiligen Kunden an, damit wir die Kundenbedürfnisse optimal erfüllen können.
Unser Erfolg basiert auf Ethik, Agilität, Glaubwürdigkeit und hervorragender Ausführung - diese Leitprinzipien gewährleisten, dass wir unseren Kunden einen beständigen Mehrwert bieten. Unsere akkreditierten Fachexperten sind es gewohnt, in stark regulierten Geschäftsbereichen zu arbeiten, in denen der Schutz kritischer Informationsbestände für das Erreichen der Unternehmensziele entscheidend ist.
Wenn Sie bereit sind, Ihren sensiblen persönlichen Daten den nötigen Schutz zu geben, dann
Identify the risks in your Information Security Management System with our free ISO 27001 Gap Analysis Checklist.