[datensicherheit.de, 31.10.2024] „Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern ist unerlässlich, um Patientendaten zu sichern, die Betriebskontinuität zu gewährleisten und die Patienten bestmöglich behandeln zu können“, betont Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Im Zuge moderner Ransomware-Methoden, wie sie jüngst beim „Trinity“-Angriff auf den US-amerikanischen Gesundheitssektor zum Einsatz gekommen seien, würden zunehmend sensible Daten vor ihrer Verschlüsselung exfiltriert. Dieser Ansatz ziele verstärkt auf Kritische Branchen wie das Gesundheitswesen und verdeutliche die Notwendigkeit einer starken Sicherheitskultur. Dr. Krämer führt hierzu aus: „Hierbei ist nicht nur die Technik gefordert, sondern auch das Sicherheitsbewusstsein der Geschäftsführung und die Schulung aller Mitarbeitenden, um die Sicherheit im Umgang mit solchen Bedrohungen zu erhöhen.“

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt u.a. regelmäßige Trainings – etwa Phishing-Simulationen

Cyber-Angreifer nehmen Gesundheitssektor ins Visier

Die Häufigkeit von Cyber-Angriffen nehme zu, besonders im Gesundheitswesen, wie der aktuelle Bericht „Hacked Healthcare: A Global Crisis in Cybersecurity“ von KnowBe4 demnach verdeutlicht. Nach einem Ransomware-Angriff auf 140 Krankenhäuser habe das Health-ISAC (Health Information Sharing and Analysis Center) im Mai 2024 eine dringliche Empfehlung herausgegeben, welche auf eine deutliche Zunahme gezielter Angriffe im Gesundheitsbereich hinweise.

„Die Empfehlung verwies auf schwere Betriebsstörungen in Gesundheitsorganisationen in Europa und den USA“, so Dr. Krämer. Laut „Check Point Research“ seien die weltweiten Cyber-Angriffe im Jahr 2023 um drei Prozent gestiegen, wobei das Gesundheitswesen mit einem Zuwachs von elf Prozent und durchschnittlich 1.613 Angriffen pro Woche den globalen Durchschnitt deutlich übertroffen habe.

Cyber-Resilienz des Gesundheitswesens entscheidend für Stabilität und Schutz der gesamten Gesellschaft

Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern sei unerlässlich, um Patientendaten zu schützen und die Betriebskontinuität aufrechtzuerhalten. Die Gesundheitsbranche sehe sich zunehmend mit Angriffen wie Ransomware, Datenschutzverletzungen und Malware konfrontiert, die Patientendaten, Diagnosegeräte und Kritische Systeme gefährdeten.

„Diese Angriffe riskieren nicht nur die Privatsphäre der Patienten, sondern können medizinische Dienste extrem stören und Behandlungen verzögern oder ganz ausfallen lassen – im Extremfall mit lebensbedrohlichen Konsequenzen“, warnt Dr. Krämer. Cyber-Resilienz in diesen Bereichen sei daher entscheidend für die Stabilität und den Schutz der gesamten Gesellschaft.

Aufbau einer umfassenden Sicherheitskultur auch im Gesundheitswesen erfordert gezielte Schulungen

Ransomware-Angriffe wie „Trinity“ zeigten, dass Organisationen auf eine Balance zwischen technischen Schutzmaßnahmen und einem informierten Team setzen müssten. „Eine starke Sicherheitskultur verwandelt potenzielle Schwachstellen in wertvolle Ressourcen, die zur Cyber-Resilienz der Organisation beitragen können“, rät Dr. Krämer.

Der Aufbau einer umfassenden Sicherheitskultur beginne mit gezielten Schulungen, kontinuierlichen Sensibilisierungsprogrammen und klarer Führungskompetenz. Regelmäßige Trainings, wie etwa Phishing-Simulationen, könnten Mitarbeiter helfen, Bedrohungen zu erkennen und richtig darauf zu reagieren. „Verstehen alle Mitglieder die Bedeutung ihrer Rolle für die Cyber-Sicherheit, können sie aktiv zum Schutz der gesamten Organisation beitragen!“, unterstreicht Dr. Krämer abschließend.

Weitere Informationen zum Thema:

U.S. Department of Health and Human Services, Health Sector Cybersecurity Coordination Center (HC3), 04.10.2024
Trinity Ransomware

KnowBe4, 2024
Hacked Healthcare: A Global Crisis in Cybersecurity

[datensicherheit.de, 20.02.2024] Erfolgreiche Cyber-Angriffe auf Einrichtungen des Gesundheitswesens, zum Beispiel auf Krankenhäuser, sollten in besonderer Weise alarmierend wirken – denn diese gehen alltäglich auch mit den sensibelsten aller persönlichen Daten um. Offenbar sind solche Angriffe inzwischen gar nicht mehr so selten, wie beispielsweise die Vorfälle im Krankenhaus Lindenbrunn, dem Dreifaltigkeitshospital in Lippstadt, der Caritas-Klinik Domenicus in Berlin und den Bezirkskliniken Franken gezeigt haben – dabei handelt es sich nur um die Geschädigten, die im noch jungen Jahr 2024 zur Kenntnis der Medien gelangt sind. Da stellt sich die Frage nach dem Grund, weshalb Krankenhäuser offenbar ein so leichtes Ziel für Cyber-Kriminelle geworden sind… Für Einrichtungen des Gesundheitswesens, wie auch für andere Organisationen, ist der Hauptangriffsweg nach Expertenansicht die E-Mail – und für die überzeugendsten E-Mail-Angriffe fälschen Cyber-Kriminelle demnach die E-Mail-Adresse einer Organisation, zu der ihr Opfer bereits eine Beziehung aufgebaut hat: Hier nun im Falle von Einrichtungen des Gesundheitswesens sind dies eben in erster Linie andere solche Einrichtungen. Dabei gibt eine relativ einfache Möglichkeit, diese Fälschungen zu verhindern – nämlich die Implementierung des DMARC-Protokolls (Domain-based Message Authentication Reporting and Conformance). Die Wirksamkeit dieses Protokolls zur Eindämmung von Phishing, BEC (,Business Email Compromise’), Spam und anderer Betrugsmethoden soll nun auch der Grund sein, weshalb Google und Yahoo es für Unternehmen, welche E-Mails in großen Mengen versenden wollen, zur Pflicht machen werden.

Foto: Proofpoint

Miro Mitrovic: Ergebnisse sind beunruhigend: Nur 31 Prozent der deutschen Krankenhäuser haben überhaupt einen DMARC-Eintrag veröffentlicht

DMARC-Analysen von 194 Domains deutscher Krankenhäuser

IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben DMARC-Analysen von 194 Domains deutscher Krankenhäuser durchgeführt – und zwar von jenen, die es demnach auf die „Newsweek“-Liste der weltbesten Krankenhäuser 2023 geschafft haben: „Die Ergebnisse sind beunruhigend. Nur 31 Prozent von ihnen haben überhaupt einen DMARC-Eintrag veröffentlicht. Das bedeutet, dass 69 Prozent keinerlei Maßnahmen ergriffen haben, um Patienten, Lieferanten und andere Gesundheitseinrichtungen vor E-Mail-Betrug zu schützen.“ Noch schlimmer sei, dass nur sechs Prozent DMARC auf höchster Umsetzungsstufe („Reject“ / ablehnen) implementiert hätten, was im Umkehrschluss zur Folge habe, dass 94 Prozent nicht proaktiv verhinderten, dass betrügerische E-Mails ihre Ziele erreichen.

Weil der jüngste erfolgreiche Angriff auf ein deutsches Krankenhaus, das Krankenhaus Lindenbrunn, in Niedersachsen stattgefunden habe, hätten Experten von Proofpoint auch eine DMARC-Analyse für alle Krankenhäuser in diesem Bundesland durchgeführt – mit höchst alarmierenden Ergebnissen: „Von den 119 analysierten Domains haben nur 40 (34%) einen DMARC-Eintrag veröffentlicht. Somit haben 66 Prozent überhaupt keinen Eintrag veröffentlicht. Von den untersuchten niedersächsischen Krankenhäusern haben nur vier (3%) DMARC auf ,Reject’-Level implementiert. 97 Prozent verhindern folglich nicht proaktiv, dass betrügerische E-Mails, die ihre Domäne missbrauchen, ihre Adressaten erreichen.“

Führende deutsche Krankenhäuser setzen andere Krankenhäuser, Lieferanten und Patienten sehr hohem Risiko aus

„Nur wenn sie DMARC auf der ,Reject’-Stufe implementieren, verhindern Organisationen effektiv, dass betrügerische E-Mails, die ihre Domain missbrauchen, andere Organisationen erreichen“, stellt Miro Mitrovic, „Area Vice President für die DACH-Region“ bei Proofpoint, klar und unterstreicht: „Mit anderen Worten: 94 Prozent der führenden deutschen Krankenhäuser, die DMARC nicht auf ,Reject’-Stufe implementieren, setzen andere Organisationen – nicht zuletzt andere Krankenhäuser, Lieferanten und Patienten – einem sehr hohen Risiko aus, Opfer von E-Mail-basierter Cyber-Kriminalität zu werden.“

Dies sei ein äußerst bedauernswerter Zustand, zumal DMARC weder ein sehr teurer Weg ist, IT-Sicherheit zu gewährleisten und andere zu schützen, noch handele es sich um so etwas wie ein gut gehütetes Geheimnis. „Angesichts der Sensibilität der Daten, mit denen Krankenhäuser zu tun haben, ist das Ergebnis unserer Analyse besonders schockierend. Unseres Wissens schneidet keine andere Branche so schlecht ab wie das Gesundheitswesen“, kommentiert Mitrovic.

Nicht nur für Krankenhäuser: DMARC weithin anerkanntes E-Mail-Validierungsprotokoll

DMARC sei ein weithin anerkanntes E-Mail-Validierungsprotokoll, welches Domain-Namen vor dem Missbrauch durch Cyber-Kriminelle schützen solle. Es authentifiziere die Identität des Absenders, „bevor eine Nachricht ihren Bestimmungsort erreicht“. DMARC habe drei Schutzstufen: „Monitor“, „Quarantäne“ und „Reject“. „Reject“ sei nun die zuverlässigste Methode, um zu verhindern, dass verdächtige E-Mails ihre Adressaten erreichen.

„Vor diesem Hintergrund kündigten Google, Yahoo! und Apple Ende letzten Jahres an, dass sie ab dem ersten Quartal 2024 eine E-Mail-Authentifizierung verlangen werden, damit Nachrichten von ihren Plattformen versandt werden können. Dies ist ein wichtiger Schritt zur Verhinderung von Spam und Betrug.“ Diese Sicherheitsanforderungen gelten laut Mitrovic insbesondere für Konten, die täglich große Mengen an E-Mails versenden, z.B. Organisationen des Gesundheitswesens, welche neben anderen Maßnahmen auch das DMARC-Authentifizierungsprotokoll einsetzen müssten. Die Nichteinhaltung der Vorschriften werde die Zustellbarkeit legitimer Nachrichten an Kunden mit „Gmail“- und „Yahoo“-Konten erheblich beeinträchtigen.

Weitere Informationen zum Thema:

CSO DEUTSCHLAND, Julia Mutzbauer, 12.02.2024
IT lahmgelegt / Cyberangriff auf Krankenhaus Lindenbrunn

proofpoint, Craig Temple, 31.01.2024
Google and Yahoo Set a Short Timeline to Meet New DMARC Requirements. Are You Ready?

proofpoint
Email Fraud Defense – Für sichere E-Mails

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

datensicherheit.de, 29.10.2020
Ransomware-Attacke auf US-Krankenhäuser / Hacker versuchen mittels Ransomware Daten zu erbeuten und Lösegeldzahlungen zu erzwingen

datensicherheit.de, 16.09.2020
Hacker-Angriffe: Krankenhäuser können Abwehr stärken / Michal Salat gibt Tipps, wie Systeme, Patientendaten und Operationen gegen Hacker geschützt werden können

[datensicherheit.de, 04.09.2023] 78 Prozent der Einrichtungen weltweit waren 2022 laut der „Global Healthcare Cybersecurity Study 2023“ von Claroty Opfer von Beeinträchtigungen ihrer Cyber-Sicherheit: „Drei von vier Gesundheitseinrichtungen in Deutschland (73%) wurden im letzten Jahr zum Opfer von Cyber-Vorfällen. Dabei waren ,nur’ in jedem zweiten Fall die jeweiligen IT-Systeme betroffen.“ Die Mehrzahl der Vorfälle (57%) betraf demnach cyber-physische Systeme (CPS) – wie vernetze medizinische Geräte oder die Gebäudetechnik. Für den zugrundeliegenden Report wurden laut Claroty weltweit insgesamt 1.100 Fachkräfte aus den Bereichen Cyber-Sicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen befragt.

Abbildung: Claroty

Claroty gab Umfrage unter Gesundheitsdienstleistern, Krankenhäusern und Kliniken in Nordamerika (500), Südamerika (100), APAC (250) und Europa (250) in Auftrag

Gesundheitseinrichtungen stehen vor zahlreichen Herausforderungen

Die sogenannte Healthcare-Branche habe im Bereich der Cyber-Sicherheit mit vielen Herausforderungen zu kämpfen – schnell wachsende Angriffsflächen, veraltete Technologien, Budgetbeschränkungen und ein globaler Mangel an Cyber-Fachkräften.

Claroty-Studie zeigt, dass das Gesundheitswesen volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden benötigt

Yaniv Vardi, „CEO“ von Claroty, kommentiert: „Unsere Studie zeigt, dass das Gesundheitswesen die volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden braucht, um medizinische Geräte vor den wachsenden Bedrohungen zu schützen und so die Sicherheit der Patienten zu gewährleisten!“ Der vorliegende Report beleuchte dabei die Erfahrungen der Sicherheitsverantwortlichen mit Cybersecurity-Vorfällen im vergangenen Jahr, den aktuellen Stand ihrer Sicherheitsanstrengungen sowie ihre zukünftigen Prioritäten.

Die wichtigsten Ergebnisse der weltweiten Erhebung zur Cyber-Sicherheit im Gesundheitswesen:

• 78 Prozent der Befragten hätten 2022 mindestens einen Cybersecurity-Vorfall verzeichnet (Deutschland: 73%).
• In 30 Prozent der Fälle weltweit seien sensible Daten wie geschützte Gesundheitsinformationen (PHI) betroffen gewesen (Deutschland: 23 %).
• 60 Prozent der Vorfälle weltweit hätten moderate oder erhebliche Auswirkungen auf die Patientenversorgung gehabt, weitere 15 Prozent ernsthafte Auswirkungen, welche die Gesundheit und Sicherheit der Patienten gefährdeten. In Deutschland seien zwar mit 33 Prozent die moderaten bis erheblichen Auswirkungen deutlich geringer, dafür jedoch die Anzahl der Vorfälle mit ernsthaften Auswirkungen deutlich höher (27%).
• 20 Prozent der von Ransomware betroffenen Einrichtungen in Deutschland hätten das geforderte Lösegeld gezahlt (weltweit 26%).
• Weltweit trieben vor allem gesetzgeberische Maßnahmen die Cyber-Sicherheit im Gesundheitswesen voran: 44 Prozent der Befragten sähen in ihnen den größten externen Einfluss auf die eigene Cybersecurity-Strategie.
• Weltweit orientierten sich Sicherheitsverantwortliche am stärksten am „NIST Cybersecurity Framework“ (zu 38%, in Deutschland: 30%). Während das „HITRUST Cybersecurity Framework“ global mit 38 Prozent ebenfalls bedeutend sei, spiele es in Deutschland eine eher untergeordnete Rolle (17%). Hier setze ein Drittel (33%) vor allem auf die „CISA CPGs“.

Mangel an Cyber-Fachkräften auch im Gesundheitssektor offensichtlich

Diese Studie habe zudem gezeigt, dass der Mangel an Cyber-Fachkräften auch im Gesundheitssektor nach wie vor eine der größten Herausforderungen sei: Jede zweite Einrichtung (53 ) in Deutschland sei auf der Suche nach neuen Mitarbeitern für den Bereich Cyber-Sicherheit. Dabei hätten 70 Prozent der Befragten Schwierigkeiten bei der Rekrutierung des geeigneten Personals.

Weitere Informationen zum Thema:

Claroty
The Global Healthcare Cybersecurity Study 2023 / Priorities and challenges amid escalating cyber-physical connectivity

[datensicherheit.de, 12.01.2023] „In puncto IT-Security haben Mitarbeitende in deutschen Unternehmen einen großen Nachholbedarf: Fast 34 Prozent haben nur geringe oder sehr geringe Kompetenzen und riskieren damit die Sicherheit ihrer Firma vor Cyber-Angriffen“, meldet G DATA CyberDefense in einer aktuellen Stellungnahme. Im Vergleich zum Vorjahr (2022) sei der Wert angestiegen, so dass IT-Verantwortliche im Zugzwang stünden, für „Security Awareness“ zu sorgen. Dies werde durch die aktuelle Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit statista und „brand eins“ belegt.

Foto: G DATA CyberDefense AG

Andreas Lüning: Security Awareness muss Teil eines jeden IT-Sicherheitskonzepts im Unternehmen werden!

Schlechtes Wissen rund um IT-Sicherheit – Belegschaft nicht für den Ernstfall eines Angriffs gewappnet

Cyber-Kriminelle hätten leichtes Spiel in deutschen Unternehmen: „Durch das schlechte Wissen rund um IT-Sicherheit, ist die Belegschaft nicht für den Ernstfall eines Angriffs gewappnet.“ Mehr als ein Drittel der Umfrageteilnehmer bewertet demnach die persönliche Kompetenz mit „gering“ oder „sehr gering“. Nur jeder zehnte Arbeitnehmer sehe bei sich selbst „sehr große“ Fähigkeiten in diesem Bereich.

„Im Vergleich zu 2021 stieg der Wert derjenigen, die sich für wenig bis gering qualifiziert halten, um rund sieben Prozent an.“ Daraus ergebe sich ein dringender Handlungsbedarf, denn Cyber-Angriffe auf Unternehmen seien schnell erfolgreich oder fielen gravierender aus, „wenn die Belegschaft nicht weiß, was im Ernstfall zu tun ist“. Nötig sei ein hoher Grad an „Security Awareness“, um Mitarbeiter zu einem Teil der unternehmenseigenen Cyber-Abwehr zu machen.

„Vielen Mitarbeitenden in Unternehmen fehlt es an Grundwissen zur IT-Sicherheit. Das ist alarmierend. Cyber-Kriminelle haben so ein zu leichtes Spiel. Daher ist es wichtig, den Grad an ,Security Awareness’ zu steigern und das Personal entsprechend zu schulen. Dies muss Teil eines jeden IT-Sicherheitskonzepts im Unternehmen werden“, kommentiert Andreas Lüning, Gründer und Vorstand der G DATA CyberDefense AG.

Gesundheits- und Sozialsektor leidet an IT-Kompetenzmangel

Die Belegschaft in den Branchen Telekommunikation und Informationsdienstleistungen verfügten über das höchste Wissen im Bereich IT-Sicherheit. Gute Kompetenzen bescheinigten sich ebenfalls die Mitarbeiter der Finanz- und Versicherungsdienstleister. Das Schlusslicht bilde dagegen der Bereich Gesundheit und Soziales.

„Gerade im Gesundheitswesen stehen aktuell einige Digitalisierungsprojekte an, zum Beispiel die Digitale Patientenakte. Mitarbeitende leiden aber gerade in diesem und im Sozialbereich unter einer hohen Arbeitsbelastung, die in diesem Fall die IT-Sicherheit gefährdet.“

Die nun vorliegende neue Studie „Cybersicherheit in Zahlen“ zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. statista-Experten hätten die Befragung durchgeführt und könnten dank einer Stichprobengröße weit über dem branchenüblichen Standard „belastbare und valide Marktforschungsergebnisse“ im Heft „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA
Cybersicherheit in Zahlen / Wir machen Komplexes verständlich. Auf 104 Magazinseiten.

datensicherheit.de, 10.01.2023
Gesundheitswesen: IT-Sicherheit muss verbessert werden / Christoph Saatjohann erforscht an der der FH Münster Schwachstellen der medizinischen IT-Infrastruktur

datensicherheit.de, 18.11.2022
Herausforderungen an Cyber-Sicherheit im Gesundheitswesen: Personalmangel, Investitionsstau und Verquickung von IT mit OT / Jüngster dramatischer Cyber-Angriff auf Medibank Anlass zur Stellungnahme von Bernard Montel zur Cyber-Sicherheit im Healthcare-Bereich

datensicherheit.de, 18.10.2022
Ransomware: Ein Viertel aller betroffenen Gesundheitseinrichtungen muss Betrieb einstellen / Trend-Micro-Studie weist Lieferketten als Ransomware -Hauptrisikoquelle aus

[datensicherheit.de, 18.10.2022] Trend Micro hat nach eigenen Angaben eine neue Studie veröffentlicht, aus der demnach hervorgeht, dass weltweit 86 Prozent der Unternehmen und Einrichtungen im Gesundheitswesen, die von Ransomware betroffen waren, Betriebsausfälle erlitten.

Foto: Trend Micro

Richard Werner warnt vor häufig zu geringen IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen…

57% der Healthcare-Unternehmen in den letzten drei Jahren durch Ransomware kompromittiert

Laut dieser Studie räumten weit mehr als die Hälfte (57%) der befragten Healthcare-Unternehmen ein, in den letzten drei Jahren durch Ransomware kompromittiert worden zu sein. „25 Prozent der Opfer gaben außerdem an, dass ihr Betrieb vollständig zum Erliegen gekommen sei. Weitere 60 Prozent erlebten eine Beeinträchtigung ihrer Geschäftsprozesse.“

Im Durchschnitt habe es bei den meisten Unternehmen Tage (56%) oder Wochen (24%) gedauert, bis der Betrieb wieder vollständig hergestellt war. Ransomware verursache nicht nur im Gesundheitssektor erhebliche betriebliche Probleme, sondern gelte auch in anderen Branchen als eines der größten Cyber-Risiken.

Bei 60% der Befragten sensible Daten durch Ransomware-Angriff in falsche Hände geraten

Bei drei Fünftel (60%) der Befragten seien sensible Daten durch den Angriff in falsche Hände geraten. Dies stelle ein erhöhtes Compliance-Risiko dar und könne der Unternehmensreputation schaden. Außerdem erhöhten sich die Kosten für Nachforschungen, Eindämmungsmaßnahmen und die Bereinigung des Vorfalls.

Die Teilnehmer der Studie nannten laut Trend Micro Schwachstellen in der Lieferkette als eine der größten Herausforderungen. Relevant seien vor allem folgende Bereiche:

• „43 Prozent sind der Überzeugung, ihre Partner hätten sie zu einem attraktiveren Angriffsziel gemacht.
• 43 Prozent geben außerdem an, ein Mangel an Transparenz in der gesamten Ransomware-Angriffskette habe sie anfälliger gemacht.
• 36 Prozent nennen einen mangelnden Überblick über ihre Angriffsoberfläche als weiteren Grund, der sie verstärkt zu einem Ziel für Attacken gemacht habe.“

Malware- und Ransomware-Schutz: regelmäßig Patches aktualisieren

Die gute Nachricht sei, dass ein Großteil der Gesundheitseinrichtungen (95%) bei vor allem nach außen sichtbaren Systemen regelmäßig Patches aktualisiere, während ein fast ebenso großer Anteil (91%) E-Mail-Anhänge einschränke und so das Malware-Risiko verringere. „Viele befragte Unternehmen nutzen darüber hinaus Tools für Network (NDR), Endpoint (EDR) oder Extended Detection and Response (XDR).“

Die Studie zeige jedoch auch potenzielle Schwachstellen auf, darunter:

• „Ein Fünftel (17%) verfügt über keinerlei Kontrollen des Remote-Desktop-Protokolls (RDP).
• Viele Unternehmen tauschen keine Bedrohungsdaten mit Partnern (30%), Lieferanten (46%) oder ihrem breiteren Ökosystem (46%) aus.
• Ein Drittel (33%) tauscht keine Informationen mit den Strafverfolgungsbehörden aus.
• Nur die Hälfte oder weniger befragte Unternehmen verwenden derzeit NDR (51%), EDR (50%) oder XDR (43%).
• Besorgniserregend wenige Healthcare-Unternehmen sind in der Lage, ,Lateral Movement’ (32%), Erstzugriffe (42%) oder die Verwendung von Tools wie ,Mimikatz’ und ,PsExec’ (46%) zu erkennen.“

Gesundheitswesen noch immer zu leichtes Opfern von Ransomware-Angriffen

„Cyber-Kriminelle suchen sich ganz gezielt Einrichtungen des Gesundheitswesens heraus, die ein vermeintlich schwaches Glied in ihrer Verteidigungskette aufweisen. Der große Druck, der derzeit auf Unternehmen und Einrichtungen in der Branche lastet, sowie häufig geringe IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen, machen sie zu leichten Opfern von Angriffen“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Er betont: „Damit zählt die Healthcare-Branche zu den Top 3 der am meisten angegriffenen Branchen weltweit.“ Abschließend weist er auch darauf hin, dass die Bundesregierung im Rahmen des Krankenhauszukunftsgesetz (KHZG) seit Januar 2021 auch Investitionen in die IT-Security unterstützt.

Weitere Informationen zum Thema:

TREND MICRO
A global study / EVERYTHING IS CONNECTED: Uncovering the ransomware threat from global supply chains

[datensicherheit.de, 14.09.2022] Der kürzlich von der Europäischen Union veröffentlichte „Digital Economy and Society Index“ (DESI) stelle Deutschland „kein gutes Zeugnis in Sachen Digitalisierung“ aus. So liege die Bundesrepublik im Vergleich der Digitalisierungsbemühungen in der gesamten EU nur auf Platz 13 unter den 27 Mitgliedsstaaten. Stefan Mennecke, „VP of Sales, Central, Eastern und Southern Europe“ bei SOTI, kommentiert dieses Ergebnis in seinem aktuellen Kommentar:

Deutschland in der EU mit großem Nachholbedarf

„Die Ergebnisse des ,Digital Economy and Society Index’ der Europäischen Union, die Deutschland nur auf den 13. Platz sehen, sind ein Alarmzeichen“, betont Mennecke. Dies sei eine bedenkliche Entwicklung, da „Deutschland früher für Innovationen und Fortschritt bekannt war“ – nur leider nicht im Bereich IT und Digitalisierung. Die Technologien seien längst vorhanden und es gebe offensichtlich einen großen Nachholbedarf, „was die Digitalisierung der eigenen Infrastruktur in Organisationen und Unternehmen betrifft“, aber die Kluft zwischen Bemühen und dem tatsächlichen Niveau der Digitalisierung sei gerade in Deutschland noch zu groß.

Dies zeige auch die aktuelle SOTI-Studie „Eine entscheidende Investition: Am Puls der Technologie im Gesundheitswesen“. Demnach verlieren deutsche Fachkräfte im Gesundheitsbereich durchschnittlich 18 Arbeitstage im Jahr aufgrund eines schlechten IT-Supports. Die Folge laut Mennecke: Ohne digitalisierte Prozesse leidet die Belegschaft im Healthcare-Bereich unter Geräteausfallzeiten und verliert entscheidende Zeit in der Patientenversorgung. „Auf der anderen Seite sagen 87 Prozent der IT-Entscheider in Deutschland (73 % weltweit), dass sie seit dem Jahr 2020 ihre jährlichen Ausgaben für Technologie erhöht haben.“

Mangelnder Datenschutz eines der Haupthindernisse der erfolgreichen Digitalisierung in der EU

Mangelnder Datenschutz zähle neben einer unvollständigen Integration verbundener Geräte und hohen Geräteausfallzeiten zu den Haupthindernissen einer erfolgreichen Digitalisierung – nicht nur im Gesundheitswesen. Dabei seien die notwendigen Technologien seit langer Zeit vorhanden. „Digitalisierung muss also professionell und umfassend erfolgen“, betont Mennecke. Mit einer Enterprise-Mobility-Management-Lösung z.B. könnten Organisationen und Unternehmen Geräte und Daten professionell verwalten und so Vertrauen bei Bürgern, Kunden und Patienten schaffen.

„Indem Geräte und IoT-Endpunkte fernverwaltet werden, können sie im Falle eines Datenschutzvorfalls beispielsweise deaktiviert werden, so dass personenbezogene Daten nicht in falsche Hände gelangen“, führt Mennecke abschließend aus.

Weitere Informationen zum Thema:

European Commission
Shaping Europe’s digital future / The Digital Economy and Society Index (DESI)

SOTI
Mehr Lebensqualität: Neugestaltung einer mobilen Patientenversorgung

[datensicherheit.de, 08.09.2022] Die Proofpoint, Inc. und das Ponemon Institute haben die Ergebnisse ihrer neuen Studie über die Folgen von Cyber-Attacken im Gesundheitswesen vorgestellt: Der Bericht mit dem Titel „Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care“ ergab demnach, dass 89 Prozent der befragten Organisationen in den letzten zwölf Monaten durchschnittlich 43 Angriffe erlebt haben – also fast einen Angriff pro Woche. Mehr als 20 Prozent der von den vier häufigsten Angriffsarten (Cloud Compromise, Ransomware, Supply-Chain-Attacke oder Business Email Compromise (BEC)) betroffenen Organisationen hätten einen Anstieg der Patientensterblichkeit verzeichnet.

Cyber-Angriffe mit Ransomware wirken sich am ehesten negativ auf Patientenversorgung aus

Für diese Studie seien 641 IT- und Sicherheitsexperten im Gesundheitswesen befragt worden. Verzögerungen bei Behandlungen und Tests seien nun die häufigsten Folgen von Angriffen. „Dies führt bei 57 Prozent der US-Gesundheitsdienstleistern zu schlechteren Ergebnissen für die Patienten und bei fast der Hälfte zu vermehrten Komplikationen bei medizinischen Verfahren.“

Die Art von Angriffen, welche sich am ehesten negativ auf die Patientenversorgung auswirkt, sei Ransomware. Sie führe bei 64 Prozent der Organisationen zu Verzögerungen bei Behandlungen oder Tests und bei 59 Prozent der Organisationen zu längeren Patientenaufenthalten.

Cyber-Angriffe erhebliche Belastung für Ressourcen im Gesundheitswesen

„Die von uns analysierten Angriffe stellen eine erhebliche Belastung für die Ressourcen im Gesundheitswesen dar. Sie verursachen nicht nur enorme Kosten, sondern haben auch direkte Auswirkungen auf die Patientenversorgung und gefährden die Sicherheit und das Wohlergehen der Menschen“, stellt Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute, klar.

Er berichtet: „Die meisten IT- und Sicherheitsexperten halten ihre Unternehmen für anfällig für diese Angriffe, und zwei Drittel sind der Meinung, dass Technologien wie ,Cloud Computing’, ,Mobile Computing’, ,Big Data’ und das IoT die Risiken für die Patientendaten und die Sicherheit weiter verschärfen.“

Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care – weitere wichtige Ergebnisse der Studie:

Unsicheres sogenanntes Internet of Medical Things (IoMT) ein großes Problem
Organisationen im Gesundheitswesen hätten im Durchschnitt mehr als 26.000 mit dem Netzwerk verbundene Geräte. Obwohl 64 Prozent der Befragten die Sicherheit medizinischer Geräte Sorgen bereite, bezögen nur 51 Prozent diese in ihre Cyber-Sicherheitsstrategie mit ein.

Unternehmen aus dem Gesundheitswesen fühlen sich sowohl am stärksten gefährdet als auch am besten auf „Cloud“-Risiken vorbereitet
75 Prozent der Befragten hätten angegeben, dass ihre Organisation durch Angriffe auf die „Cloud“ gefährdet sei, und 54 Prozent hätten bestätigt, dass ihre Organisation in den letzten zwei Jahren mindestens durch eine erfolgreiche Attacke auf die „Cloud“ getroffen worden sei. Die Unternehmen dieser Gruppe seien in den letzten zwei Jahren durchschnittlich mit 22 solcher Fälle konfrontiert gewesen. Einerseits seien sie am stärksten gefährdet, andererseits aber am besten auf eine „Cloud“-Kompromittierung vorbereitet: „63 Prozent der Befragten konzentrieren sich darauf, Maßnahmen zur Vorbereitung und Reaktion auf diese Angriffe zu ergreifen.“

Ransomware die zweitgrößte Gefahr
72 Prozent der Befragten glaubten, dass ihre Organisationen durch Ransomware-Angriffe gefährdet seien, und 60 Prozent sagten, dass diese Art von Angriffen ihnen am meisten Sorgen bereite. Entsprechend hätten 62 Prozent Maßnahmen zur Vorbeugung und Reaktion auf Ransomware-Attacken ergriffen.

Mangelhafte Vorbereitung gefährdet Patienten
Obwohl 71 Prozent der Befragten der Meinung seien, „dass sie durch Angriffe über die Lieferkette gefährdet sind, und 64 Prozent dasselbe über BEC und Phishing denken, haben nur 44 Prozent bzw. 48 Prozent eine definierte Methode, auf diese Angriffe zu reagieren“.

Finanziellen Schäden durch Cyber-Angriffe gewaltig
Der teuerste Cyber-Angriff habe die betroffenen Organisationen in den letzten zwölf Monaten durchschnittlich 4,4 Millionen US-Dollar gekostet, wobei der Produktivitätsverlust die größten finanziellen Auswirkungen gehabt habe (1,1 Millionen US-Dollar).

Schulungen und Sensibilisierungsprogramme sowie Überwachung der Mitarbeiter wichtigste Schutzmaßnahmen
„Organisationen erkennen zunehmend, dass unvorsichtige und nachlässige Mitarbeiter ein erhebliches Risiko darstellen.“ 59 Prozent ergriffen Maßnahmen, um dem mangelnden Bewusstsein der Mitarbeiter zu begegnen, wobei 63 Prozent von ihnen regelmäßige Schulungs- und Sensibilisierungsprogramme durchführten und 59 Prozent die Aktivitäten der Mitarbeiter im Auge behielten.

Fehlende finanzielle Mittel und Ressourcen weiterhin eine Herausforderung
53 Prozent der Teilnehmer hätten angegeben, dass ein Mangel an internem Fachwissen eine Herausforderung darstelle, und 46 Prozent gesagt, dass sie nicht über genügend Personal verfügten, „wobei sich beide Faktoren negativ auf die Cyber-Sicherheit auswirken“.

Solange Cyber-Sicherheit geringere Priorität hat, werden Dienstleister im Gesundheitswesen Patienten gefährden

„Das Gesundheitswesen hat im Vergleich zu anderen Branchen traditionell einen Nachholbedarf, wenn es darum geht, Schwachstellen zu beseitigen. Und diese Untätigkeit hat direkte negative Auswirkung auf die Sicherheit und die Gesundheit der Patienten“, unterstreicht Ryan Witt, „Healthcare Cybersecurity Leader“ bei Proofpoint.

Solange die Cyber-Sicherheit eine geringere Priorität habe, würden Dienstleister im Gesundheitswesen ihre Patienten gefährden. Witt kommentiert: „Um fatale Auswirkungen zu vermeiden, müssen Organisationen aus dem Gesundheitswesen verstehen, wie sich die Cyber-Sicherheit auf ihre Patientenversorgung auswirkt, und Maßnahmen treffen, die Menschen und Daten beschützen.“

Weitere Informationen zum Thema:

proofpoint
New Ponemon Report / Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care

proofpoint
Healthcare, Pharmaceuticals and Life Sciences / Protecting Healthcare Against Unprecedented Cyber Attacks

[datensicherheit.de, 07.12.2020] Die Digitalisierung des Gesundheitswesens schreitet offenkundig immer schneller voran. Laut einer aktuellen Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) forciert die Bundesregierung „den zuvor jahrelang nur schleppend vorangekommenen Prozess der Digitalen Transformation des deutschen Gesundheitswesens durch zahlreiche Gesetzgebungsvorhaben“. Nachdem erst im Oktober 2020 das Patienten-Datenschutzgesetz (PDSG) in Kraft getreten sei, habe das Bundesgesundheitsministerium Mitte November 2020 bereits den nächsten Entwurf vorgelegt, diesmal für ein Gesetz zur digitalen Modernisierung von Versorgung und Pflege, kurz DVPMG genannt. „Aus der Perspektive des Datenschutzes ist der digitale Umbau des Gesundheitssystems in Deutschland zu begrüßen, sofern auch in der digitalen Versorgung die Souveränität der Versicherten hinsichtlich der Verarbeitung ihrer Daten bewahrt und deren Schutz konsequent sichergestellt wird“, so der LfDI RLP. Doch daran hapere es immer wieder…

Patienten-Datenschutzgesetz etabliert elektronische Patientenakte zum Jahresanfang 2021

Bei der mit dem Patienten-Datenschutzgesetz zum Jahresanfang 2021 etablierten elektronischen Patientenakte werde den Versicherten ohne geeignetes Endgerät die Wahrnehmung der ihnen zustehenden Rechte „in unzumutbarer Weise erschwert“. Im Jahr 2021 bestehe gar keine Möglichkeit, ohne eigenen PC, Handy oder Tablet in die Inhalte der eigenen Akte Einblick zu nehmen und Zugriffsrechte darauf zu steuern. Ab 2022 könne ein Vertreter benannt werden, „über den dies dann möglich sein soll“. Eine unmittelbare Rechteausübung sei zu keinem Zeitpunkt vorgesehen.
„Damit werden Versicherten ihnen unmittelbar zustehende elementare Datenschutzrechte genommen. Mit der Aufstellung eigener Terminals bei den Krankenkassen oder anderen geeigneten Maßnahmen hätte man dies vermeiden können und müssen“, bilanziert der LfDI RLP, Prof. Dieter Kugelmann. Die gesetzlichen Vorgaben missachteten in grober Weise die den Versicherten zustehende Wahrnehmung ihres Grundrechts. „Sollten sich Betroffene an mich wenden und Defizite bei der Ausübung ihrer Rechte geltend machen, werde ich von den meiner Aufsicht unterliegenden Krankenkassen verlangen, dass die Versicherten ihre Datenschutzrechte unmittelbar ausüben können.“

Neuester Gesetzentwurf aus dem Bundesgesundheitsministerium hat Verbesserungsbedarf

Auch in Bezug auf den neuesten Gesetzentwurf aus dem Bundesgesundheitsministerium sieht Professor Kugelmann nach eigenen Angaben „Verbesserungsbedarf“. Mit dem Entwurf des DVPMG werde die Digitalisierung im Gesundheitswesen vertieft und auf den Bereich der Pflegeversicherung ausgeweitet. Doch es gebe deutliche Defizite: „So sollen digitale Gesundheits- und Pflegeanwendungen unter anderem noch bis zum Jahr 2023 erstattungsfähig sein, wenn deren Datenschutz- und Sicherheitstauglichkeit allein von den Herstellern selbst erklärt wird. Erst danach bedarf es im Hinblick auf die Sicherheit der Anwendungen der Vorlage von Zertifikaten; bezüglich des Datenschutzes ist das auch danach nicht vorgesehen.“
Dem Schutz der Gesundheitsdaten, welche in den digitalen Anwendungen sowohl in der Krankenversorgung als auch der Pflege verarbeitet werden, müsse höchste Priorität beigemessen werden. Allein den eigenen Erklärungen der Hersteller zu vertrauen, dürfe als Nachweis für die Einhaltung der Anforderungen an den Datenschutz und die Datensicherheit nicht ausreichen. „Schon die Zulassung der ersten digitalen Gesundheitsanwendungen hat dies eindrucksvoll gezeigt“, berichtet Professor Kugelmann und appelliert deshalb an den Gesetzgeber, „ausschließlich den Einsatz von sicheren und datenschutzgerechten Anwendungen sicherzustellen und dabei die in dem Datenschutzrecht vorhandenen Möglichkeiten der Zertifizierung im besonders sensiblen Gesundheitswesen zu nutzen und dies nicht erst im Jahr 2023, sondern sofort“. Datenschutz und IT-Sicherheit dürften nicht auf die lange Bank geschoben werden.

Bei Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen Vorgaben des Datenschutzes beachten

In seiner gegenüber der Landesregierung Rheinland-Pfalz zu diesem Gesetzentwurf abgegebenen Stellungnahme fordert Professor Kugelmann weiter, „bei der im Gesetz vorgesehenen Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen die Vorgaben des Datenschutzes für die Nutzung von E-Mail- und Messaging-Diensten zu beachten und insbesondere die Nutzung privater Endgeräte zur Kommunikation im beruflichen Kontext zu verbieten.“
Die Einrichtung einer Schweigepflicht für Hersteller von digitalen Gesundheits- und Pflegeanwendungen sei zu begrüßen, „wobei sich diese auf alle an der Herstellung und den Betrieb mitwirkenden Personen erstrecken sollte“. Den Bundesländern sei vom Bund die Möglichkeit eingeräumt worden, bis zum 7. Dezember 2020 zum neuen Gesetzentwurf Stellung zu nehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung / Anja Hirschel warnt vor „gläsernem Patienten“ und Ausverkauf an zentrales Forschungszentrum

datensicherheit.de, 18.09.2019
Patientendaten: Sicherheitsexperte fordert Ende-zu-Ende-Verschlüsselung /Detlef Schmuck stellt hochsicheren Ausweg angesichts des jüngsten Vorfalls vor

[datensicherheit.de, 22.10.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) meldet, dass Anfang Oktober 2020 das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen – sogenannte Gesundheits-Apps – zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen habe. Der LfDI RLP rät indes zu „Vorsicht bei Gesundheits-Apps“ – Schutz und Sicherheit von Patientendaten müssten höchste Priorität haben.

Kosten für verschriebene Gesundheits-Apps könnten von den gesetzlichen Krankenversicherungen übernommen werden

Somit könnten nun die Kosten für diese Gesundheits-Apps, sofern sie ärztlich verschrieben wurden, von den gesetzlichen Krankenversicherungen übernommen werden. Voraussetzung für die Aufnahme in das DiGA-Verzeichnis sei unter anderem, „dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist“ (§ 139 e Abs. 2 Satz 2 Nr. 2 SGB V).
Inzwischen sei bekanntgeworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt werde, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt hätten. Laut LfDI RLP hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.

Gesundheits-Apps sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen

„Bei Gesundheits-Apps müssen Schutz und Sicherheit der Daten höchste Priorität haben. Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen“, betont der Stellvertretende LfDI RLP, Helmut Eiermann.
Die Nutzer digitaler Gesundheitsanwendungen müssten darauf vertrauen können, dass ihre Daten wirksam geschützt werden. „Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“

Defizite bei Ausgestaltung des Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt

Der LfDI RLP hatte nach eigenen Angaben in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei habe er insbesondere kritisiert, dass lediglich aufgrund von Hersteller-Angaben Apps in das Verzeichnis aufgenommen würden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde.
„Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten“, sagt Eiermann.

Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis

Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden:

• die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten),
• die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen,
• die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse).

Hierbei reiche es nicht aus, sich allein auf Hersteller-Angaben zu verlassen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2020
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings / Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

[datensicherheit.de, 16.08.2020] Mit Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 rückte ganz offensichtlich der Datenschutz noch einmal verstärkt in den Fokus von Unternehmen, Behörden und Institutionen. Vor allem die Sicherheit personenbezogener Daten sollten in erhöhtem Maße gestärkt werden – Gesundheitsdaten stuft die DSGVO als besonders schützenswert ein. Die zunehmende Digitalisierung auch des Gesundheitswesens – ab dem 1. Januar 2021 soll das gesamte Gesundheitssystem in Deutschland digitalisiert sein – bietet ganz klar viele Vorteile, birgt indes auch datenschutzrechtliche Risiken: Auf der einen Seite können sich dann die beteiligten Arztpraxen, Krankenhäuser, Krankenkassen, Versicherungen und Apotheken über den Anschluss an die Telematik besser miteinander vernetzen und leichter Patientendaten austauschen. Auf der anderen Seite haben aber auch Hacker durch den regen Austausch vermehrt Chancen, eben auf diese Daten zugreifen zu können. Um die sensiblen Informationen zu schützen, gilt es deshalb als Beteiligter des Gesundheitssystems dem Datenschutz besondere Aufmerksamkeit zu schenken. Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, geht in seine aktuellen Stellungnahme auf diese datenschutzrechtliche Gemengelage ein.

Foto: HUBIT Datenschutz GmbH & Co. KG

Haye Hösel: Zusätzlich zum Artikel 9 DSGVO noch weitere Anforderungen an datenschutzkonforme Handhabung der Gesundheitsdaten

Auf dem CCC-Jahreskongress 2019 Sicherheitslücken im Gesundheitsnetzwerk präsentiert

Beim Jahreskongress des Chaos Computer Clubs Ende Dezember 2019 habe der CCC-Sicherheitsexperte Martin Tschirisch beispielsweise Sicherheitslücken im Gesundheitsnetzwerk präsentiert: Für IT-Sicherheitsexperten und Reporter sei es laut Tschirisch etwa relativ einfach gewesen, im Namen Dritter Gesundheitskarten, elektronische Arztausweise und Praxisausweise zu bestellen und an eine Lieferadresse ihrer Wahl schicken zu lassen.
Hösel warnt: „Und mit den Identitäten konnte ohne Probleme auf Anwendungen der Telematik-Infrastruktur sowie Gesundheitsdaten von Versicherten zugegriffen werden.“ Um die sensiblen Informationen zu schützen, gelte es deshalb als Beteiligter des Gesundheitssystems dem Datenschutz besondere Aufmerksamkeit zu schenken.

Einsatz neuer Technologien sorgt für regen Austausch von Gesundheitsdaten

Die Entwicklung und der Einsatz neuer Technologien wie ärztlicher Untersuchungen im Videochat, Atteste über das Internet oder unterschiedlicher Health-Apps sorgten heutzutage für einen regen Austausch von Gesundheitsdaten. Informationen verblieben also nicht mehr als Papierakte oder digitale Version im Krankenhaus oder in einer Arztpraxis, sondern gelangten auch auf private Endgeräte oder Server. Damit die personenbezogenen Daten nicht ungewollt an die Öffentlichkeit gelangen oder Ärzte beispielsweise auf Basis von gefälschten Patientendaten operieren, stehe der Datenschutz in der Branche im Fokus.
„Gemäß Artikel 6 der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich nur dann erlaubt, wenn Betroffene einwilligen“, unterstreicht Hösel. Für Gesundheitsdaten gebe es außerdem noch Spezialregelungen, „da sie nach Maßgabe des Artikels 9 als besonders schützenswert gelten“. Ihre Verarbeitung sei aufgrund der Sensibilität der Informationen nur nach den engen Maßgaben des Artikels 9 in Verbindung mit Artikel 6 der DSGVO zulässig. Betroffene müssten jederzeit wissen, was mit ihren Daten passiert, und ohne die Einwilligung dürften die Angaben nicht an Dritte, zum Beispiel externe Abrechnungsstellen, weitergegeben werden.

Datenschutz-Folgeabschätzung für Verarbeitung von Gesundheitsdaten

Um die Sicherheit der personenbezogenen Daten zu gewährleisten, gebe es beispielsweise die Datenschutz-Folgeabschätzung (DSFA). Im Grunde handele es sich bei diesem Instrument um eine Erweiterung der früheren „Vorabkontrolle“. Diese sei nach dem deutschen Bundesdatenschutzgesetz (BDSG) immer dann durchzuführen gewesen, „wenn besonders sensible Daten verarbeitet wurden“. Im Vergleich zum BDSG umfasse die DSFA einen größeren Anwendungsbereich: „Sie ist immer dann notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, es sich um die weiträumige Überwachung öffentlicher Bereiche handelt, es um die Verarbeitung von Daten besonderer Kategorien, wie zum Beispiel Gesundheitsdaten, oder Daten über strafrechtliche Verurteilungen und Straftaten geht.“
Die Gesundheitsdaten definiere das Gesetz als „Informationen, die sich auf den geistigen und körperlichen Gesundheitszustand der betroffenen Person oder auf eine Erbringung von Gesundheitsleistungen für diese beziehen“. Neben Krankenhäusern, Arztpraxen oder Forschungseinrichtungen müssten deshalb auch Anbieter von Health-Apps oder Wearables eine DSFA leisten, da auch die Aufzeichnung oder Übermittlung von Vitalwerten oder die Verwaltung von Arztterminen als besonders schützenswert gelte.

Kritische Überprüfung, ob sich dieselben Ziele nicht auch mit weniger datenintensiven Verarbeitungen erreichen lassen

Hösel erläutert: „Im Rahmen der DSFA gilt es zunächst eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung vorzunehmen. Außerdem müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung – also die Zwecke der beabsichtigten Verarbeitung gegenüber den möglichen Gefahren – überprüft werden.“ Da die Speicherung und Nutzung von Gesundheitsdaten der Steigerung des Wohlbefindens beziehungsweise der Genesung der betroffenen Personen dienten, lägen nachvollziehbare Notwendigkeiten vor.
Jedoch sollte stets eine kritische Überprüfung stattfinden, ob sich dieselben Ziele nicht auch mit weniger datenintensiven Verarbeitungen erreichen lassen. Anschließend erfolge die Bewertung der Risiken für die betroffene Person. Einzelne Schritte der Verarbeitung gelte es daraufhin zu untersuchen, welche Gefahren drohen. Zudem müssten Faktoren wie Transparenz und Möglichkeiten zur Intervenierbarkeit bewertet werden. Nach der Risikobewertung erfolge schließlich die Klärung von spezifischen Gegenmaßnahmen, also dem Einsatz von den technisch-organisatorischen Maßnahmen (TOM).

Technische und organisatorische Maßnahmen im gesamten Gesundheitswesen

Die technischen und organisatorischen Maßnahmen müssten Pharmaunternehmen, Krankenhäuser, Arztpraxen und Forschungseinrichtungen zum Schutz personenbezogener Daten ergreifen. „Es gilt, diese festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie das Abschließen von Schränken, die Patientenakten enthalten. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren“, erklärt Hösel. Die DSGVO gebe vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin mit einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu.
Aber auch laut Artikel 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu könnten etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. „Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte.“ Dadurch sicherten Unternehmen die Prüfung durch einen Dritten, hätten also einen wesentlich unabhängigeren Blick darauf, und vermittelten nach außen etwa gegenüber der Aufsichtsbehörde einen besseren Eindruck.

Anforderungen an Handhabung der Gesundheitsdaten auch durch Landeskrankenhaus- sowie andere Spezialgesetze und ärztliches Berufsgeheimnis geregelt

„Vor allem in Krankenhäusern und Arztpraxen werden viele Daten erhoben, es ist für Ärzte und Pflegepersonal sogar notwendig, um Patienten zu heilen und zu pflegen“, unterstreicht Hösel. Zusätzlich zum Artikel 9 der DSGVO seien die Anforderungen an die Handhabung der Gesundheitsdaten deshalb auch noch durch Landeskrankenhaus- sowie andere Spezialgesetze und durch das im Paragraph 203 StGB sanktionierte ärztliche Berufsgeheimnis geregelt. Die Landeskrankenhausgesetze erlaubten zum Beispiel die Verarbeitung von Patientendaten, insbesondere im Rahmen von Behandlungsverträgen.
Bei Patientendaten handele es sich um „alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patientinnen und Patienten und deren Angehörigen“. Alle Daten seien dabei jedoch vom ärztlichen Berufsgeheimnis geschützt. Die personenbezogenen Daten müssten zur Behandlung zwar häufig geteilt werden, dürften aber nicht innerhalb eines Krankenhauses oder einer Arztpraxis unkontrolliert ausgetauscht werden. Grundsätzlich gelte es streng darauf zu achten, „dass jeder Mitarbeiter nur Zugriff auf Daten hat, die er für die Ausübung der jeweiligen Aufgaben benötigt“.

Ohne Zustimmung des Patienten Angehörige über Gesundheitszustand zu informieren grundsätzlich nicht erlaubt

Auch im Fall der Weitergabe von Patientendaten an Dritte, also Hausärzte, sonstige nachbehandelnde Ärzte, Krankenversicherungen, Behörden, Krankenkassen oder Angehörige, müsse geprüft werden, ob, unter welchen Voraussetzungen und in welchem Umfang die Weitergabe der Informationen erfolgen darf.
Vor allem gelte es zu prüfen, ob für diesen Schritt die Einwilligung des betroffenen Patienten erforderlich ist. „Angehörige über den Gesundheitszustand oder den Genesungszustand zu informieren ist zum Beispiel grundsätzlich nicht erlaubt – außer der Patient hat der Weitergabe zugestimmt“. Dies könne auch erfolgen, wenn der Betroffene aus gesundheitlichen Gründen zu der Einwilligung nicht in der Lage ist und keine Anhaltspunkte für einen entgegengesetzten Willen des Patienten bestünden.

Aufzeichnung von Gesundheitsdaten von Apps und Wearables

„Health-Apps und Fitnesstracker finden immer häufiger Verwendung. Sie funktionieren in der Regel nur in Verbindung mit einer entsprechenden App, die Daten aufzeichnet, speichert und visualisiert. Nutzer müssen sich meist registrieren und ein Profil erstellen, sodass personenbezogene Daten in der Regel auf einem zentralen Server des Anbieters gespeichert werden. Neben Geschlecht, Alter und Gewicht werden häufig Gesundheitsdaten wie Puls oder Herzfrequenz aufgezeichnet – oft aber auch Zahlungsdaten, weshalb die Apps und Wearables zunehmend zum Ziel von Hackern werden.“ Es gelte außerdem, zu bedenken, dass auch die Kombination von einzelnen Daten Rückschlüsse auf den Gesundheitszustand zuließen. Aus dem Gewicht und dem Alter lasse sich etwa der „Body-Mass-Index“ ableiten, „der zum Beispiel zu einer wichtigen Information für Versicherungen werden kann“.
Für diese Apps gebe es jedoch zusätzliche Erlaubnisnormen, die in Bezug auf den Datenschutz greifen könnten. „Liegt beispielsweise im konkreten Einzelfall ein lebenswichtiges Interesse vor – etwa bei einem von einer App angezeigten Herzinfarkt – und der Anwender ist nicht mehr in der Lage, die Einwilligung zur Datenverarbeitung zu geben, dürfen Anbieter trotzdem die Gesundheitsdaten verarbeiten“, so Hösel. Doch dauerhaftes Tracken von Informationen, die vielleicht irgendwann in einer Notsituation helfen könnten, sei nicht zulässig. Auch bei Fällen von sich ausbreitenden Gesundheitsgefahren wie Epidemien könne zur Sicherung der individuellen und öffentlichen Gesundheit auf Daten von Apps zurückgegriffen werden. Hösel stellt abschließend klar: „Für Unternehmen, die solche Apps anbieten, gilt es also alle datenschutzrechtlichen Herausforderungen zu meistern und die oben genannten Maßnahmen zum Schutz der sensiblen Informationen zu ergreifen.“

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2020
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings / Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht / Anwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten

datensicherheit.de, 19.09.2019
Gesundheitsbranche: Digitalisierung ernste Herausforderung / Medizinische Daten aufgrund ihrer Sensibilität wertvoll