Wie bedrohlich die Lage für den Gesundheitssektor ist, zeigt, dass ein US-Krankenhaus zwei Jahre nach einem Ransomware-Vorfall geschlossen werden muss.
Wie sieht die Situation in Deutschland, der DACH- und EMEA-Region aus?
Antworten darauf liefern der aktuelle Bericht Threat Landscape: Health Sector von der ENISA und der IBM Cost of a Data Breach Report 2023.
Mit knapp 11 Millionen US-Dollar pro Datenschutzverletzung liegt das Gesundheitswesen laut den von IBM berechneten Kosten für Datenschutzverletzungen in nun bereits 12 aufeinanderfolgenden Jahren klar in Führung.
Die DACH-Region ist weiterhin bedroht. Insbesondere Deutschland, wo die Zahl der Cyberangriffe mit Ransomware auf Organisationen im Gesundheitssektor von insgesamt sechs im Jahr 2022 auf vier im ersten Quartal 2023 gestiegen ist.
Krankenhäuser sind besonders betroffen, und Ransomware ist in diesem Sektor mit 54 Prozent aller gemeldeten Angriffe die wichtigste Bedrohung. Die Hauptbedrohungsakteure sind Cyberkriminelle, die es auf Patientenakten und andere sensible Daten abgesehen haben, um letztlich Geld zu verdienen.
Der Gesundheitssektor ist ein weltweit stark regulierter Sektor. Das bedeutet, dass die Kosten einer Datenschutzverletzung 12 Monate nach der Verletzung erheblich ansteigen, da die Analyse und Behebung des Problems Zeit in Anspruch nehmen. Rechtsstreitigkeiten treten zumeist noch hin. Die langfristigen Kosten sind dadurch erheblich.
Dies ist besonders besorgniserregend, da der Gesundheitssektor nicht in der Lage sein wird, die Kosten an die Kunden weiterzugeben, wie es in anderen Sektoren üblich ist. Das bedeutet, dass die Einrichtungen langfristig darunter leiden werden. Sie werden nicht in der Lage sein, in neuen Schutz und in die Verbesserung von Security-Verfahren zu investieren.
Doch dagegen lässt sich bereits jetzt eine Menge tun. Die ENISA weist darauf hin, dass 95 Prozent der Organisationen Probleme bei der Durchführung von Risikobewertungen haben, während 46 Prozent noch nie eine Risikoanalyse durchgeführt haben.
IBM hebt hervor, dass Aufdeckung und Eskalation eines Vorfalls besonders kostspielig sind - ein beunruhigender Gedanke angesichts des Mangels an angemessener Risikobewertung. Da nur 27 Prozent der Unternehmen über ein spezielles Programm zur Abwehr von Ransomware verfügen und 40 Prozent gar keine Programme zur Förderung des Sicherheitsbewusstseins von Nicht-IT-Mitarbeitern haben. Hier besteht dringender Handlungsbedarf.
Der Sektor muss sich auf die Zukunft vorbereiten
Unternehmen können es sich nicht mehr leisten, über kein IT-Sicherheitsprogramm zu verfügen. Genauswenig können sie es sich leisten ihre Mitarbeiter nicht zu schulen, vor allem nicht, wenn die umgesetzte NIS2-Richtlinie die Geschäftsführung und Klinikleitung für die IT-Sicherheit ihrer Organisation verantwortlich machen wird.
Eine umfassende IT-Sicherheitsbewertung ist auch deshalb dringend erforderlich, weil es immer mehr Supply-Chain-Angriffe gibt (auf Hardware und Software). Schwachstellen in der Software sind häufig die Ursache für erfolgreiche Angriffe. Angesichts der Integration von OT und IT sowie IomT im Gesundheitswesen darf dies nicht unterschätzt werden.
Organisationen in diesem Sektor tun sich aufgrund strenger gesetzlicher Vorschriften oft schwer mit der Einführung neuer Technologien, die eine Automatisierung ermöglichen. Legacy-IT und Schatten-IT sind die daraus resultierenden Herausforderungen. Dies bedeutet, dass Organisationen wahrscheinlich nicht von Kosteneinsparungen durch Automatisierung profitieren werden, wie der IBM-Bericht hervorhebt.
Bei der Erkennung und Behebung von Angriffen ist die Zeit von entscheidender Bedeutung. Auswirkungen auf die Patientenversorgung werden immer häufiger, wie die ENISA in ihrem Bericht hervorhebt. Notaufnahmen werden geschlossen und chirurgische Eingriffe werden ausgesetzt. Zeitkritische Therapien werden verzögert. Patienten können in andere Krankenhäuser verlegt werden. Jüngste Berichte weisen auch auf Cyber-Vorfälle bei Zulieferern hin, die sich auf Unternehmen auswirken.
Einführung einer Sicherheitskultur für eine bessere Abwehrbereitschaft
Unternehmen mit einer besseren Sicherheitskultur können Berichten zur Folge Cyberangriffe schneller erkennen, beheben und sich von ihnen erholen. Sie sparen Geld, indem sie ihre Mitarbeiter so schulen, dass sie angemessen und schnell reagieren können.
Eine kompetente Belegschaft, die mit den richtigen Werkzeugen und Kenntnissen ausgestattet ist und von einer Sicherheitsmentalität und einem gemeinsamen Verantwortungsbewusstsein angetrieben wird, ist ein Zeichen für eine großartige Sicherheitskultur. Die aktive Beteiligung ist der Beweis und das Ergebnis.
Erfolgreiche Unternehmen wissen um den Wert von Security Awareness-Trainings für die Verbesserung der Sicherheitskultur und verfolgen strategische Ansätze, um nachhaltige Programme zur Gestaltung ihrer Kultur zu entwickeln.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo