X

Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Akamai logo
+1-8774252624
+1-8774252624
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Akamai testen
Support bei Angriffen
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Dark background with blue code overlay

Gemeinsam gegen den Feind des Gesundheitswesens: Cyberangriffe

Bridget Meuse

Verfasser

Bridget Meuse

November 18, 2021

Bridget Meuse

Verfasser

Bridget Meuse

Bridget Meuse ist Senior Industry Marketing Analyst bei Akamai. Sie konzentriert sich auf drei Branchen: Nachhaltigkeit im Bereich Umwelt, Gesundheitswesen und Öffentlicher Sektor, wo sie wichtige Trends identifiziert, datengesteuerte Analysen durchführt und die Lösungen von Akamai für den Kunden zum Leben erweckt.

Alle, die ein Unternehmen führen, dürften den Ausdruck „das Flugzeug während des Flugs bauen“ kennen. Und in den verrückten Zeiten der letzten 19 Monate wurde dieser Ausdruck für viele von uns zum Lebensmotto und über Nacht wurden wir zu Piloten und Ingenieuren dieser neuen Realität.

Aber auf wenige traf das so sehr zu, wie auf das Gesundheitswesen. Sie bauten nicht nur während des Flugs an ihren Flugzeugen, sie mussten unterwegs auch die Flugpläne ändern, verschiedene Flughäfen ansteuern und in der Luft neue Mitarbeiter ausbilden. Mit anderen Worten, sie lernten, Remote-Arbeit zu ermöglichen, die virtuelle Versorgung von Patienten auszuweiten und einen Impfstoff zu entwickeln – all das, während eine große Anzahl von Mitarbeitern unter riskanten Bedingungen Überstunden machte, um Hunderttausende von schwerkranken Menschen zu versorgen. 

Nehmen wir uns also einen Moment Zeit, um diesen unglaublichen Aufschwung an Innovationen im Gesundheitswesen zu feiern. Jahrelang litt die Branche unter regulatorischen Beschränkungen, technischen Unzulänglichkeiten und unter der Skepsis, die man ihr entgegenbrachte. Nun gewährleisten die digitalen Erlebnisse, die daraus hervorgingen, die kontinuierliche Versorgung von Milliarden von Menschen.  

Und auf der anderen Seite... Unternehmen im Gesundheitswesen haben all dies erreicht, obwohl Sie während der ganzen Zeit einer ständig wachsenden Anzahl von unterschiedlichsten Cyberangriffen ausgesetzt waren. Ja, inmitten der Pandemie kämpfte das Gesundheitswesen an einer weiteren Front und viele haben sich dabei hervorgetan. 

Wie das Personal der University of Florida Health. Als ein Teil des Netzwerks der UF Health im vergangenen Juni einem Cybersicherheitsvorfall zum Opfer fiel, mussten die Angestellten Kontakt mit Apotheken aufnehmen, um verlorengegangene Medikamentendaten wieder zu vervollständigen. Sie suchten neue Wege für die Versorgung durch externe Ärzte. Ed Jimenez, der CEO eines der betroffenen Krankenhäuser, lobte seine Angestellten dafür, dass sie seine Institution durch diese Krise gebracht haben. „Unsere engagierten Mitarbeiter sind wirklich unsere Helden. Sie haben sich der Herausforderung gestellt, den normalen Betrieb wiederherzustellen, und häufig Zeit mit ihren Lieben geopfert, um Überstunden zu machen.“

Malware-Angriffe nutzen die Pandemielage aus

Laut einem Bericht des U.S. Department of Health and Human Services (HHS) und einer Studie von IBM gab es seit dem Ausbruch der Pandemie im Gesundheitswesen einen Anstieg der Cyberangriffe von 50 %. Und diese Angriffe haben die Branche sehr viel Geld gekostet. Die durchschnittlichen Kosten lagen bei 7,13 Millionen US-Dollar pro Vorfall. Laut IBM-Daten waren Ransomware-Angriffe die häufigste Bedrohung, da Cyberkriminelle die Notwendigkeit, Krankenhaus- und Gesundheitssysteme schnell wiederherzustellen, ausnutzten. Den zweiten Platz belegen Datendiebstahl und Serverzugriff. Gesundheitsdienstleister sind besonders lohnende Ziele für Ransomware-Angriffe, denn elektronische Gesundheitsdatensätze können im Dark Web bis zu 1.000 US-Dollar einbringen.Bei Kreditkartendaten und Sozialversicherungsnummern sind es dagegen jeweils nur 110 bzw. 1 US-Dollar. 

„Die Systeme der Krankenhäuser waren bereits vor der Pandemie anfällig“, so Josh Corman, Leiter der COVID-19-Taskforce der Cybersecurity and Infrastructure Security Agency (CISA) . „Dann wurden die Ransomware-Angriffe vielfältiger und aggressiver und Cyberkriminelle forderten höhere Zahlungen.“ Im Herbst 2020 führte diese Aggression zu einer außergewöhnlichen Maßnahme: einem Cybersicherheitsratgeber, den die CISA, das Federal Bureau of Investigation (FBI) und das HHS gemeinsam verfassten. Darin warnen sie insbesondere Führungskräfte im Gesundheitswesen vor bevorstehenden Ransomware-Angriffen und empfehlen einen Backup-Ansatz, bei dem drei Kopien aller kritischen Daten in mindestens zwei verschiedenen Formaten gespeichert werden, wobei eine Kopie offline und damit außerhalb der Reichweite von Schadcode bleibt.

Für viele Gesundheitsorganisationen bedeutete das Befolgen dieses Ratschlags jedoch einen weiteren schwierigen finanziellen Kompromiss. Laut Stephen Lopez, Ph. D., MBA und Senior Director of Information Security bei der Association of American Medical Colleges (AAMC), neigen Gesundheitsorganisationen dazu, Investitionen in die Cybersicherheit aufzuschieben. „Es kann schwierig sein, Ressourcen in die Informationssicherheit umzuleiten, wenn dies scheinbar auf Kosten der Leistungen für die Patienten geschieht. Aber in diesem Umfeld sind die Leistungen für die Patienten eher gefährdet, wenn Organisationen den Schutz vor Ransomware vernachlässigen.“ Die CISA stimmt dem zu, und weist in ihrem Medical Insights Report von 2021 darauf hin, dass, wenn die Infrastruktur, die die Gesundheitsversorgung unterstützt, angegriffen oder erpresst wird, der Betrieb gerade in Krisenzeiten schnell beeinträchtigt ist.

Die Ausbildung von Mitarbeitern auf allen Ebenen von Gesundheitsorganisationen ist ein Schlüsselelement in diesem Kampf. „Wenn Sie die grundlegende ‚Sicherheitshygiene‘ der Mitarbeiter im Bereich Phishing-E-Mails verbessern können, können Sie die meisten Malware-Angriffe verhindern oder abwehren“, fügt Lopez hinzu. Er empfiehlt, ein Schulungsprogramm zu erarbeiten, in dem echte Beispiele für Ransomware-Angriffsnachrichten gezeigt und die Mitarbeiter daran erinnert werden, kurz zu überlegen, bevor sie auf dringende Anfragen nach vertraulichen Informationen reagieren.

Entscheidungen über Investitionen in die Sicherheit hängen mit der Datenspeicherung und dem Zugriff auf Daten zusammen 

Auch wenn die Pandemie immer noch zu viele Menschenleben fordert, müssen sich die Führungskräfte im Gesundheitswesen mit diesem zusätzlichen Problem befassen. Was ist zu tun? Die oberste Priorität im Bereich Cybersicherheit liegt auf dem Schutz von Zugriffspunkten vor Ransomware (zusätzlich zur Schulung der Angestellten zur Erkennung von Phishing); der Verringerung der Exposition von geschützten Gesundheitsinformationen (PHI) in EHRs und des geistigen Eigentums in der Arzneimittelherstellung; und dem Schutz von Konnektivitätstechnologien, die den Austausch dieser Informationen mit externen Systemen, Partnern und Anbietern (z. B. mit dem CDC und anderen Gesundheitsministerien) ermöglichen.

Viele Gesundheitsorganisationen in der Branche haben ihre EHRs, geistiges Eigentum und andere medizinische Daten in die Cloud migriert, um die Flexibilität, Zugänglichkeit und Abrufgeschwindigkeit zu erhöhen. Da die Migration in die Cloud jedoch so schnell und ohne eine umfassende organisatorische Planung erfolgte, werden Patientendaten und andere sensible Daten häufig in Cloudumgebungen von mehreren Anbietern gehostet und falsche Konfigurationen können diese Umgebungen weiter schwächen. 

Diese Liste ist noch lange nicht vollständig, aber sie vermittelt einen guten Eindruck vom Umfang an Daten, die nötig sind, um kontinuierliche Versorgung zu gewährleisten und die potenzielle Größe der Bedrohungsfläche im Gesundheitswesen zu reduzieren.

  • Elektronische Gesundheitsdaten (EHR) – Digitale Krankenakten, Anamneseinformationen, Labor- und Testergebnisse und andere Daten

  • Patienten- oder Krankheitsregister – Datenbanken mit den klinischen Ergebnissen für Patienten, die alle eine bestimmte Diagnose oder Erkrankung haben

  • Schadensfallsdaten – Abrechnungscodedaten, die von Gesundheitsdienstleistern an Versicherungsgesellschaften übermittelt wurden 

  • Gesundheitsstudien – Daten, die von Trägern des öffentlichen Gesundheitswesens erhoben werden, um Risiken für die öffentliche Gesundheit zu bewerten, und die in die Gesundheitspolitik und -praxis einfließen 

  • Bildarchivierungs- und Kommunikationssystem (PACS) – Daten, die ein medizinisches Gerät zur Bildgebung erzeugt (z. B. ein CT- oder MRT-Scan), und die archiviert werden, damit Ärzte, Forscher oder anderes autorisiertes medizinisches Personal darauf zugreifen können

  • Daten aus klinischen Studien – Daten zu den Ergebnissen privater oder öffentlicher klinischer Studien, die zur Entwicklung von medizinischen Geräten, Arzneimitteln und anderen Innovationen verwendet werden

CSOs im Gesundheitswesen, die diesen Bedrohungsbereich verringern und den im Sicherheitsratgeber dargelegten Backup-Ansatz umsetzen möchten – drei Kopien in mindestens zwei verschiedenen Formaten speichern, wobei eine Kopie offline bleibt – suchen zunehmend nach einem hybriden Ansatz. Die Datenspeicherung vor Ort bietet ihnen zwar mehr Kontrolle über die Sicherheit, kann aber kostspielig sein. Außerdem kann es schwierig werden, sie mit dem erforderlichen Tempo voranzutreiben, insbesondere angesichts der aktuellen explosionsartigen Zunahme der Menge an Gesundheitsdaten und der digitalen Transformation in der Pflege, die durch die Pandemie noch verstärkt werden. Die Datenspeicherung in der Public Cloud ist kostengünstiger, doch Unternehmen riskieren Ausfälle und mangelnde Transparenz in Bezug auf den Schutz der Daten. 

Ein hybrider Ansatz ermöglicht die Speicherung sensibler Daten vor Ort, während die weniger sensiblen Daten in der Cloud gespeichert werden. Auch das ist keine perfekte Lösung, da Schutzmaßnahmen geschaffen werden müssen, um die Übertragung der Daten zwischen den beiden Speicherarten abzusichern und zu gewährleisten, dass nur diejenigen auf die Daten zugreifen können, die berechtigt sind, die Übertragung durchzuführen und die Daten anzuzeigen. Der Wechsel zu den sieben wichtigsten Anforderungen für die Implementierung einer Zero-Trust-Netzwerkarchitektur ermöglicht es Unternehmen, ihre Daten zu schützen, indem sie Nutzern nur Zugriff auf die Anwendungen gewähren, die sie für ihre Rolle benötigen, und bietet durch Multi‑Faktor‑Authentifizierung (MFA) zusätzliche Sicherheit. 

Das Gesundheitswesen durch die Krise und in die Zukunft führen 

Gesundheitsdienstleister entwickeln ihre digitalen Erlebnisse für das 21. Jahrhundert. Akamai ist stolz darauf, die Weichen für dieses neue Onlinezeitalter der Gesundheitsbranche mit zu stellen: durch innovative Möglichkeiten, die Patientenversorgung zu unterstützen und erfolgreiche Gesundheitsleistungen zu erbringen – überall und zu jeder Zeit. 

Informieren Sie sich darüber, welche Möglichkeiten Akamai für die Gesundheitsbranche bietet.

Bridget Meuse

Verfasser

Bridget Meuse

November 18, 2021

Bridget Meuse

Verfasser

Bridget Meuse

Bridget Meuse ist Senior Industry Marketing Analyst bei Akamai. Sie konzentriert sich auf drei Branchen: Nachhaltigkeit im Bereich Umwelt, Gesundheitswesen und Öffentlicher Sektor, wo sie wichtige Trends identifiziert, datengesteuerte Analysen durchführt und die Lösungen von Akamai für den Kunden zum Leben erweckt.

Verwandte Blogbeiträge

Das Metaversum ist für uns mehr als nur eine fantasievolle Übung; es ist die Zukunft – eine Zukunft, für die wir idealerweise jetzt schon planen sollten.

Cybersicherheitsprobleme in der Gaming-Branche bedeuten Herausforderungen im Metaversum

August 04, 2022
Das Metaversum hat die Bedrohungslandschaft stark erweitert. Obwohl zahlreiche Branchen immer mehr auf Gamification setzen, werden die Cybersicherheitsprobleme im Gaming-Bereich nicht ausreichend berücksichtigt.
von Jonathan Singer
Weitere Informationen
„Bereits ein erfolgreicher DNS-Angriff auf Ihre Domain ist genug, um die Integrität Ihres digitalen Ökosystems und den Ruf Ihrer Marke als Ganzes dauerhaft zu beeinträchtigen.“

Was ist DNSSEC und wie funktioniert es?

June 09, 2022
DNSSEC bezeichnet kryptografische Signaturen, die zu DNS-Datensätzen hinzugefügt werden, um die über IP-Netzwerke übertragenen Daten zu schützen. Lesen Sie weiter, um mehr zur Funktionsweise zu erfahren.
von Sam Preston
Weitere Informationen

Akamai-Blog | Schritt halten mit den Botnets

December 28, 2021
Es ist alles andere als ein Geheimnis, dass die globale Pandemie Bedrohungsakteuren und Cyberkriminellen neue Gelegenheiten bietet, Finanzservices anzugreifen. Im Laufe des Jahres 2020 haben Kriminelle COVID‑19 und die damit verbundenen wirtschaftlichen Spannungen sowie die Hoffnung auf finanzielle Hilfen oder den mit Finanzproblemen verbundenen Stress von Betroffenen ausgenutzt – mit der Folge, dass Menschen auf der ganzen Welt zur Zielscheibe von Phishing-Angriffen wurden.
von Gerhard Giese
Weitere Informationen