Herausforderungen an Cyber-Sicherheit im Gesundheitswesen: Personalmangel, Investitionsstau und Verquickung von IT mit OT

Jüngster dramatischer Cyber-Angriff auf Medibank Anlass zur Stellungnahme von Bernard Montel zur Cyber-Sicherheit im Healthcare-Bereich

[datensicherheit.de, 18.11.2022] Der jüngste, für die Betroffenen dramatische Cyber-Angriff auf ein Unternehmen im Gesundheitswesen – die schwere Attacke auf Medibank – hat laut Bernard Montel, „EMEA Technical Director“ und „Cybersecurity Strategist“ bei Tenable, einmal mehr gezeigt, wie verwundbar die Organisationen im sogenannten Healthcare-Bereich sind und wie schwerwiegend die Folgen sein können. Dabei sei diese Attacke auf Medibank nur einer von vielen erfolgreichen Angriffen in diesem Sektor.

Foto: Tenable

Bernard Montel fordert, dass Krankenhäuser und Praxen ihre Strategien zur Reaktion auf Cyber-Bedrohungen neu bewerten

Zunehmend Forderungen, im Healthcare-Bereich Zügel in Sachen Cyber-Sicherheit anzuziehen

Nun würden Stimmen laut, die beispielsweise forderten, dass der gesamte Gesundheitssektor in Deutschland der Kritischen Infrastruktur zugeordnet werden solle, wodurch die formalen Anforderungen an die Cyber-Sicherheit steigen würden. Auch in anderen Ländern werde darüber diskutiert, im Healthcare-Bereich „die Zügel in Sachen Cyber-Sicherheit anzuziehen“.

Die Frage ist demnach nur: „Würde das wirklich das Problem lösen?“ Nach Meinung von Tenable ist es in allererste Linie wichtig, sich der drei zentralen Probleme bewusst zu werden, mit denen das Gesundheitswesen konfrontiert ist, wenn es um Cyber-Sicherheit geht: Personalmangel, Investitionsstau und Verquickung von IT mit OT.

Schutz der Computersysteme vor schwerwiegenden Auswirkungen von Cyber-Angriffen erforderlich

Montel führt hierzu aus: „Führungskräfte im Gesundheitswesen haben die Aufgabe, einen reibungslosen täglichen Betrieb, eine qualitativ hochwertige Patientenversorgung und die Sicherheit der Mitarbeiter zu gewährleisten. Dies muss jedoch auch mit dem Schutz von Computersystemen vor den schwerwiegenden Auswirkungen von Cyber-Angriffen einhergehen.“

Während Ransomware-Angriffe finanziell einige Organisationen zur Schließung zwingen könnten, seien die Auswirkungen dieser Verstöße im Gesundheitswesen, insbesondere für Patienten, unvergleichlich. „Sobald sensible Daten öffentlich zugänglich sind, können sie nicht mehr abgerufen werden und bleiben für das gesamte Leben des Patienten öffentlich zugänglich“, warnt Montel.

Krankenhäuser haben in der Vergangenheit Investitionen in Cyber-Sicherheit verschoben

Gesundheitsorganisationen könnten Verstöße verhindern, „indem sie sicherstellen, dass die IT-Abteilungen über die Kapazität und die Ressourcen verfügen, um Bedrohungen zu überwachen und rechtzeitig darauf zu reagieren“. Verbesserungen der IT- und OT-Systeme (Operational-Technology) seien längst überfällig – durch geeignete Maßnahmen könnten Gesundheitsorganisationen vermeiden, Opfer zu werden.

Viel zu oft seien IT-Abteilungen in Krankenhäusern klein, mit einem „CTO“ und zwei oder drei Mitarbeitern, welche die gesamte Computer-Infrastruktur überwachten – sowohl Datensysteme (IT) als auch physische Geräte (OT). „Diese kleinen Teams haben einfach nicht die Kapazität, alles genau zu überwachen“, gibt Montel zu bedenken. Darüber hinaus wüssten Angreifer, dass Krankenhäuser in der Vergangenheit Investitionen in ihre IT- und OT-Systeme sowie in ihre IT-Teams verschoben hätten.

Hohen Preis einer Cyber-Sicherheitsverletzung berücksichtigen

Führungskräfte im Gesundheitswesen sollten diese Aspekte berücksichtigen und auch den hohen „Preis“ einer Cyber-Sicherheitsverletzung berücksichtigen.

Abschließend rät Montel: „Um den Schutz sensibler Patientendaten und Kritischer Infrastruktur zu gewährleisten, müssen Krankenhäuser und Praxen ihre Strategien zur Reaktion auf Bedrohungen in Anbetracht einer zunehmend digitalisierten Welt neu bewerten.“

Weitere Informationen zum Thema:

SPIEGEL Netzwelt, 11.11.2022
Erpressung mit Patientendaten / Australien vermutet russische Hacker hinter Angriff auf Medibank

datensicherheit.de, 18.10.2022
Ransomware: Ein Viertel aller betroffenen Gesundheitseinrichtungen muss Betrieb einstellen / Trend-Micro-Studie weist Lieferketten als Ransomware -Hauptrisikoquelle aus

datensicherheit.de, 08.09.2022
US-Gesundheitseinrichtungen: Cyber-Angriffe führen bei mehr als 20 Prozent zu erhöhter Sterblichkeitsrate / Gesamtkosten pro Cyber-Attacke belaufen sich auf bis zu 4,4 Millionen US-Dollar

datensicherheit.de, 12.07.2022
Maui: Ransomware nimmt Gesundheitswesen, öffentlichen Sektor und KRITIS ins Visier / Offenbar setzen staatlich geförderte Cyber-Kriminelle Maui ein