Cyber-Attacken im Gesundheitswesen

Die Bedrohung durch Cyber Attacken und der Schutz dagegen ist eines der derzeit meistdiskutierten Themen bei IT-Verantwortlichen nicht nur im Gesundheitswesen, dort aber aktuell weitgehend getriggert durch das KHZG (Krankenhauszukunftsgesetz) sowie die verschärften Anforderungen für Cyber-Sicherheit durch mehrere weitere Gesetze.

Auffällig ist: Selten hat es in einem Thema einen derart breit gestreuten Strauß an unterschiedlichen Meinungen gegeben, was die Bedrohungslage angeht, aber auch, was die eigene Aufstellung angeht. Und das führt leider dazu, dass eine eindeutige Strategie, wie der Bedrohung zu begegnen ist, bisher nicht durchgängig zu erkennen ist.

Unstrittig ist, dass tägliche Cyberattacken auf Unternehmen und Organisationen, bei denen Daten gestohlen oder die digitalen Infrastrukturen angegriffen werden, bereits heute zu unserem Alltag gehören. Dies zieht sich durch nahezu alle Organisationen durch, nicht nur Unternehmen, auch Behörden und staatliche Einrichtungen werden Opfer von Spionage, Sabotage und Datendiebstahl. Und dazu gehören auch nicht zuletzt Einrichtungen des Gesundheitswesens, insbesondere Krankenhäuser. 

Ein wesentlicher Grund für die Unsicherheit besteht darin, dass sich einige fatale Missverständnisse herausgebildet haben, die sich zäh halten und durch nahezu jede Diskussion zum Thema durchziehen. Werfen wir einmal einen Blick auf die am meisten verbreiteten:

Wer würde schon ein Krankenhaus angreifen, bei dem ein direktes Risiko für Leib und Leben besteht? Dies ist ein gefährlicher Irrglaube: Denn der weitaus größte Teil von Cyber-Attacken stellt keine gezielten Angriffe dar, sondern ist unspezifisch, es wird also nicht gezielt ein Krankenhaus angegriffen, sondern es wird über Internet-Scans eine Sicherheitslücke entdeckt, welche ausgenutzt wird, und es ist dann eben auch mal ein Krankenhaus. Die Opfer werden also eher zufällig gefunden. 

„Unsere Organisation ist zu klein, um für Hacker interessant zu sein“ ist ein weiterer verbreiteter Irrglaube. Das Risiko eines durchschlagenden Hacker-Angriffs hängt ausschließlich am Grad des Schutzes und nicht an der Art der Organisation oder der Branche. Im Falle von Gesundheits-Einrichtungen besteht in der Hacker-Logik auf Grund der Relevanz eher eine größere Chance auf die Erpressung eines Lösungsgeldes. 

Wie steht es mit „Es reicht aus, die wichtigsten Daten aus der Organisation zu sichern“. Bei der Analyse von gestohlenen Daten zeigt sich, dass nahezu alle Kategorien von Informationen für Hacker von Interesse sind. Entweder, um sie direkt zu vermarkten, oder aber, um sie als Puzzlesteine zu Profilen von Personen, Gruppen oder Organisationen zusammen zu setzen. Spätestens im Falle von Ransom-Ware, bei dem es nicht um das Stehlen, sondern um das Unbrauchbarmachen von Daten geht, hört die Differenzierung nach Datenkategorien sowieso auf. 

„Uns kann nichts passieren, denn wir sind nach außen sehr gut abgesichert, da kommt keiner rein“. Der nächste gefährliche Irrtum: Bei ca. 2/3 aller Attacken sind interne Mitarbeiter oder Stellen beteiligt! Da muss nicht unbedingt Vorsatz vorliegen: Die internen MA sind teilweise selbst Opfer z.B. von Phishing. 

Übrigens „Die größte Bedrohung kommt aus Ostasien und den USA, dagegen müssen wir uns vordringlich schützen“ ist ebenso falsch: Mehr als die Hälfte aller Attacken kommen aus Europa, davon der größte Anteil aus Deutschland.

Die Statistik zeigt ziemlich klar, dass interne Kontrollmechanismen im Gesundheitswesen weitgehend nicht greifen: Die Aufklärung von mehr als 2/3 aller Attacken geschieht eher zufällig. Das lässt auf eine große Dunkelziffer gar nicht aufgeklärter Vorgänge schließen.

 

Fazit

Aus dem hier gezeigten geht unschwer hervor, dass größtenteils die Einschätzung der Verantwortlichen über ihre Sicherheitslage nicht realistisch ist, und das umfasst alle Phasen von der Prävention über die aktiven Sicherheitstools bis zur Nachsorge.

Abonnieren Sie die neuesten Nachrichten von BDO Legal!

Please fill out the following form to access the download.