IT-Security Awareness im Gesundheitswesen – trotz steigender Cyberattacken nicht hoch priorisiert
Das Gesundheitswesen und damit auch Krankenhäuser gehören zu den Branchen, die am stärksten von Cyberakttacken betroffen sind. Ein Bericht vom HHS Cybersecurity Program, der im Sommer 2021 veröffentlicht wurde, benennt 82 Ransomware-Vorfälle, von denen 60 % den Gesundheitssektor der USA betreffen. Es geht ebenfalls daraus hervor, dass Krankenhäuser für rund 30% aller großen Datenschutzverletzungen verantwortlich sind. So verursachten Cyberattacken auf das Gesundheitswesen, alleine im Jahr 2020, geschätzte Kosten von 21 Mrd. US-Dollar.
Die Erkenntnisse aus dem Bericht des Amtes für Health & Human Services (HHS) der USA sind nur der Anfang. CyberMDX, ein führender Anbieter von Cybersicherheits-Lösungen für medizinische Geräte, veröffentlichte Mitte 2021 in Zusammenarbeit mit Philips und Ipsos den „Perspectives in Healthcare Security“ Report. Der Bericht untersucht die gegenwärtige Sicherheitslage, Bedenken der Mitarbeiter:innen, Auswirkungen auf die Sicherheit medizinischer Geräte und die Cybersicherheit in großen und mittelgroßen Organisationen im Gesundheitswesen.
Der Bericht ist eine Fortsetzung der im November 2020 angekündigten Partnerschaft zwischen Philips und CyberMDX und bringt erstaunliche Zahlen zum Vorschein.
Die wichtigsten Erkenntnisse des Healthcare Security Reports
- 48 % der Krankenhausleiter:innen berichteten von einer erzwungenen Schließung in den letzten 6 Monaten, in Folge von externen Cyber-Angriffen.
- Von den Befragten, die aufgrund externer Faktoren eine Schließung in Kauf nehmen mussten, gaben große Krankenhäuser eine durchschnittliche Schließzeit von 6,2 Stunden zu Kosten von 21.500 USD pro Stunde an. Mittelgroße Krankenhäuser mussten durchschnittlich fast 10 Stunden schließen und hatten durchschnittliche Kosten von 45.700 USD pro Stunde.
- Trotz anhaltender Cyberangriffe auf das Gesundheitswesen, haben mehr als 60 % der IT-Teams in den Krankenhäusern „andere Ausgabenprioritäten“, als die Cybersicherheit. Weniger als 11 % geben an, dass Cybersicherheit eine Ausgabe mit hoher Priorität ist.
- Auf die Frage nach häufigen Sicherheitslücken, wie BlueKeep, WannaCry und NotPetya, gab die Mehrheit der Befragten an, dass ihre Krankenhäuser ungeschützt seien. 52 % der Befragten mussten eingestehen, dass ihre Krankenhäuser nicht vor der Bluekeep-Schwachstelle geschützt waren. Bei WannyCry waren es 64 %. Und bei NotPetya sogar 75 %.
- 65 % der IT-Teams in Krankenhäusern verlassen sich bei Bestandsberechnungen auf manuelle Methoden – 7 % arbeiten sogar noch vollständig manuell. Darüber hinaus gaben 15 % der Befragten aus mittelgroßen Krankenhäusern und 13 % aus großen Krankenhäusern an, dass sie die Anzahl der aktiven oder inaktiven Geräte in ihren Netzwerken nicht bestimmen können.
- Während 2/3 der IT-Teams glauben, dass sie für die Cybersicherheit ausreichend Personal haben, glaubt mehr als die Hälfte der Biomed-Teams, dass mehr Personal benötigt wird. Umgekehrt hat die Branche mit einem Fachkräftemangel im Bereich Cybersicherheit zu kämpfen. Im Schnitt ist eine Verzögerung von mehr als 100 Tagen, bei der Besetzung von solchen Stellen, zu beobachten.
- 58 % der IT-Teams gaben an, eine Cyber-Versicherung zu haben.
- Unabhängig davon, ob die Cyberangriffe von berüchtigten Gangs wie Conti oder weniger bekannten Hackern begangen werden, so sind Krankenhäuser heute für rund 30 % aller großen Datenschutzverletzungen verantwortlich.
Eine Cyber-Versicherung alleine reicht nicht aus
Für die Studie wurden 130 Führungskräfte von Krankenhäusern in den Bereichen Informationstechnologie (IT) und Informationssicherheit (IS) sowie Biomed-Techniker:innen und -Ingenieur:innen befragt. Die Befragten gaben einen Einblick in den aktuellen Stand der Sicherheit medizinischer Geräte in Krankenhäusern und zeigten zugleich, welchen Herausforderungen ihre Organisationen gegenüberstehen.
Fazit: In Sachen IT-Sicherheit muss im Gesundheitswesen noch einiges getan werden. Aber auch in allen anderen Branchen. Eine Cyber-Versicherung alleine reicht nicht aus. Und auch keine Firewall, wenn die Mitarbeiter:innen nicht entsprechend geschult sind. Denn: Die Belegschaft selbst ist die beste Firewall.
Was Sie tun können und wie Sie eine bessere IT-Security Awareness schaffen, verraten wir Ihnen gerne.
Nehmen Sie jetzt Kontakt mit uns auf und testen Sie unsere kostenlose Phishing-Demo.