Warum Kostenträger für die API-Sicherheit im gesamten Gesundheitswesen von entscheidender Bedeutung sind
Akamai feiert das zehnjährige Jubiläum unserer „State of the Internet“-Sicherheitsberichte (SOTI), in denen wir Erkenntnisse aus wichtigen, von uns betreuten Branchen teilen, einschließlich Gesundheitswesen und Life Sciences. Dies ist der erste Blogbeitrag in einer SOTI-Serie, die im Laufe des Jahres mit einem umfassenden Bericht abgeschlossen wird.
Dank des zuverlässigen Zugriffs auf klinische und finanzielle Daten sind Kostenträger die Schnittstelle für die gemeinsame Nutzung von Daten im gesamten Gesundheitswesen – und dabei sie verlassen sich zunehmend auf APIs (Application Programming Interfaces, Programmierschnittstellen). APIs ermöglichen den Austausch von Daten zwischen Anbietern, Kostenträgern, Patienten und anderen Dritten wie elektronischen Patientenaktensystemen, Medizinprodukteunternehmen und Austauschplattformen von Gesundheitsinformationen.
Das Streben nach Interoperabilität ermöglicht bessere Ergebnisse für Patienten und aus finanzieller Sicht, bringt aber auch Nachteile mit sich – insbesondere in Bezug auf wichtige Complianceanforderungen und Sicherheitsaspekte. Cyberkriminelle und Aggregatoren greifen diese Funktionen an und missbrauchen sie, was sowohl zu Sicherheits- als auch zu Datenschutzproblemen führen kann.
Bei Kostenträgern können API-fähige Angriffe auch zu Serviceunterbrechungen führen, die sich auf offene Anmeldungs- und Anspruchsverfahren auswirken. Dies hat dann wiederum kostspielige Ausfallzeiten und Schäden für die Marke des Unternehmens zur Folge.
In diesem Blogbeitrag analysieren wir Bedrohungsdaten und Trends im Zusammenhang mit Angriffen auf APIs, um das Ausmaß der Risiken zu verstehen und Best Practices für deren Abwehr zu präsentieren.
API-Angriffe unter dem Mikroskop
Eine Studie von Akamai ergab, dass von Januar bis Dezember 2023 fast die Hälfte der API-Angriffe, die auf das Gesundheitswesen abzielten (Kostenträger, Anbieter sowie Pharma- und Life-Science-Unternehmen), gegen Kostenträgerorganisationen gerichtet war. Dies deutet darauf hin, dass die Kostenträger einem konzentrierteren Risiko des API-Missbrauchs durch Angreifer ausgesetzt sind als andere Unterbranchen, die weniger digital orientiert sind.
Wir sehen einen ähnlichen Trend in anderen regulierten Branchen, insbesondere in denjenigen, die Zahlungssysteme verwalten. Die Finanzbranche ist beispielsweise auf dem Weg zur digitalen Transformation weiter fortgeschritten und nutzt bereits stärker integrierte APIs als Teil ihrer Geschäftsmodelle. Open Banking treibt die Nutzung von APIs voran und bringt mehr Sicherheitsrisiken mit sich. Daher wird im Finanzsektor eine höhere Konzentration von API-basierten Angriffen verzeichnet. (Weitere Informationen zu derartigen Angriffstrends finden Sie im aktuellen SOTI-Bericht (State of the Internet) von Akamai, Verborgen im Schatten: Angriffstrends bringen API-Bedrohungen ans Licht.)
Durch eine genauere Analyse der API-Angriffsdaten von Kostenträgern konnten die Forscher von Akamai im Laufe des Jahres Schwankungen bei der Aktivität beobachten. Dies spiegelt möglicherweise die Frequenzvariabilität in Bezug auf den Datenaustausch wider. Während Kostenträger und Dienstleister von monatlich auf wöchentlich oder täglich umsteigen, gibt es viele Bereiche, in denen der Datenaustausch weiterhin monatlich stattfindet, wie etwa der Datenaustausch zwischen Bundesregierung und Bundesstaaten.
Wahrscheinlich sind der von Akamai-Forschern Anfang des 4. Quartals 2023 beobachtete Anstieg der Aktivität und der generelle Anstieg der Aktivität in diesem Zeitraum jedoch auf Angreifer zurückzuführen, die offene Anmeldezeiträume anvisieren, um den Betrieb zu unterbrechen (Abbildung).
2023 nahmen die API-Angriffe in jedem Quartal leicht zu, im letzten Quartal stieg die Zahl jedoch besonders an
Die regulatorische Landschaft erfordert zunehmend APIs
Die Aussicht auf bessere finanzielle und klinische Ergebnisse durch den Datenaustausch ist mit der Notwendigkeit verknüpft, behördliche Anforderungen zu erfüllen, die diesen Austausch vorschreiben. Wichtig ist, beide Aspekte zu verstehen – und in Bezug auf beide Aspekte zu optimieren.
Die Entwicklung hin zu einer wertorientierten Versorgung (VBC, value-based care), einem Längsschnittansatz, der Gesundheitsergebnisse über die Anzahl an Terminen belohnt, ist ein Paradebeispiel für die Menge und Vielfalt der Informationen, die jetzt weitergegeben werden müssen. Kostenträger haben seit langem Zugriff auf Finanzdaten von Patienten und Anbietern. Aber mehr VBC-Datenpunkte wie die Einhaltung medikamentöser Behandlungen und Krankenhausaufnahmen erfordern ein Kontinuum, das nicht nur mehr Innovation, sondern auch mehr Interoperabilität und eine Möglichkeit zur gemeinsamen Nutzung dieser Daten beinhaltet. APIs sind die Verbindungskanäle.
Derzeit gibt es keine Vorschriften, die speziell die Verwendung oder Sicherheit von API betreffen, aber es gibt eine Reihe von bestehenden Vorschriften, die API-Anforderungen enthalten, wie z. B. die Datenschutzgrundverordnung (DSGVO), die überarbeitete EU-Zahlungsdiensterichtlinie (PSD2) und den Payment Card Industry Data Security Standard (PCI DSS).
Die Anforderungen an APIs entwickeln sich schnell. Insbesondere der PCI DSS v4.0 vom März 2024 enthält neue Standards für die Verwendung von APIs bei der Entwicklung und Wartung von Systemen und Software, um das Risiko einer Gefährdung zu verringern.
Und aufgrund einer neuen CMS-Interoperabilität und Regel zur vorherigen Autorisierung müssen Kostenträger drei Hauptkategorien von APIs verwalten.
APIs mit Patientenzugriff: Dies soll den Zugang der Mitglieder zu ihren eigenen medizinischen Daten verbessern und die Zufriedenheit der Mitglieder erhöhen.
APIs mit Zugriff auf Anbieterverzeichnisse: Dies ermöglicht es Mitgliedern, basierend auf ihrem Standort und der medizinischen Fachrichtung nach Gesundheitsdienstleistern und Einrichtungen zu suchen, was den Zugang zur Versorgung verbessern soll.
APIs für den Austausch zwischen Kostenträger/Anbieter und Kostenträger/Kostenträger: Diese können helfen, Lücken in der Patientenversorgung zu schließen oder zu verkleinern und doppelt erbrachte sowie kostspielige Dienstleistungen zu reduzieren.
Das übergeordnete Ziel besteht darin, den kostspieligen Verwaltungsaufwand zu reduzieren – insbesondere die manuelle Bearbeitung von Vorabgenehmigungen, durch die Patienten möglicherweise warten müssen, bis ihre Versicherung bestimmte medizinische Eingriffe genehmigt hat, bevor sie durchgeführt werden können. Verzögerungen können nachteilige (und oft kostspielige) medizinische Auswirkungen haben.
Die Komplexität der Verwaltung – einschließlich Vorabgenehmigungen – kostet das US-Gesundheitswesen jährlich 265,6 Milliarden US-Dollar.“
Eine bessere Performance kann ein größeres Risiko bedeuten
Die Performance wird immer wichtiger, da die Patienten bei allen Anwendungen dasselbe Nutzererlebnis erwarten. Das bedeutet, dass das Gesundheitssystem vor Denial-of-Service-Angriffen und Missbrauchsangriffen geschützt werden muss.
Die hohe Nutzung von APIs durch die Kostenträger bringt zwar enorme Vorteile mit sich, birgt aber auch Risiken. API-Ausbreitung kann zu einer geringen Transparenz führen, die mit zunehmender Angriffsfläche noch geringer wird. APIs sind oft Teil komplexer digitaler Transformationsprojekte, sodass sie für Gesundheitsorganisationen möglicherweise nicht zu den Prioritäten gehören – ganz zu schweigen von Sicherheitsprogrammen. (Es gibt jedoch einige großartige Referenzstandards, wie die OWASP Top 10 API-Sicherheitsrisiken).
Die Herausforderungen für die Kostenträger werden noch verschärft, da die Arten von Daten – sowohl medizinisch als auch finanziell –, die in die täglichen Geschäftsaktivitäten involviert sind, sowohl streng reguliert werden als auch von Cyberkriminellen angegriffen werden können.
Schutz des Ökosystems durch Transparenz
API-Sicherheit ist aus Sicht des Risikomanagements und der Compliance wichtiger denn je. Aufgrund der unkontrollierten API-Verbreitung wird es jedoch immer komplizierter, APIs im Gesundheitswesen zu identifizieren, zu katalogisieren und zu schützen.
Vier strategische Meilensteine
Durch die Umsetzung einer leistungsstarken API-Sicherheitsstrategie können Sie die Transparenz all Ihrer APIs verbessern und so gleichzeitig verstehen, inwiefern Sie Risiken ausgesetzt sind, wodurch Sie beim Schutz nachhelfen können. Dies sind die vier strategischen Meilensteine für eine starke API-Sicherheitsstrategie.
Entfernen Sie blinde Flecken in der Infrastruktur, indem Sie systematisch Rogue- oder Shadow-APIs erkennen. Stellen Sie sicher, dass jede dieser APIs außer Betrieb genommen oder in die API-Sicherheitskontrollen integriert wird.
Ermitteln und verringern Sie Ihr Risikopotenzial durch Analyse gängiger Warnungstypen und Beheben von Fehlern im API-Code, Beheben von Fehlkonfigurationsproblemen und Implementieren von Prozessen zur Vermeidung zukünftiger Schwachstellen auf der Grundlage der gewonnenen Erkenntnisse.
Schärfen Sie die Bedrohungserkennung und -reaktion, indem sie normales Verhalten verstehen und potenziellen Missbrauch anhand von Spitzen in API-Sicherheitswarnungen identifizieren. Setzen Sie dann klar definierte Reaktionsverfahren ein, um das Risiko und die Anzahl der Warnmeldungen auf ein normales Niveau zu senken.
- Entwickeln Sie eine stärkere Offensive, indem Sie ein formelles API Threat Hunting-Team mit dem Ziel einsetzen, mögliche Bedrohungen zu identifizieren, bevor sie zu einem reaktiven Szenario eskalieren.
Jetzt ist es an der Zeit zu handeln
Die Transformation wird nie aufhören, doch jetzt ist es an der Zeit, Ihre APIs unter Kontrolle zu bringen. Resiliente Gesundheitsorganisationen benötigen die Fähigkeiten, um ein besseres Situationsbewusstsein zu schaffen, Untersuchungen zu erleichtern und schnelle Reaktionen durchzuführen.
Weitere Informationen
Weitere Informationen darüber, wie Akamai mit Organisationen im Gesundheitswesen und im Bereich Life Sciences zusammenarbeitet, um ihre Sicherheitsprogramme zu verbessern.