Cyber-Bedrohungen im Gesundheitswesen: Jede Menge Nachholbedarf

Auch für Unternehmen aus dem Gesundheitswesen wird es immer wichtiger, Cyberrisiken in ihren Lieferketten im Blick zu behalten. Die Cloud Security Alliance (CSA) stellte daher eine Reihe von Best-Practice-Methoden in einem Bericht vor. Die CSA ist eine global agierende Organisation, die sich der Festlegung von Standards, der Zertifizierung und Empfehlungen widmet. So sollen sicherere Cloud-Computing-Umgebungen gewährleistet werden.

Der CSA-Bericht verdeutlicht, wie viele und welche Arten von Lieferketten im Gesundheitswesen gefährdet sind: von Lebensmittel- und Arzneimittellieferanten bis hin zu den Herstellern medizinischer Geräte und Softwarehändlern sind zahlreiche Bereiche vertreten. Die Komplexität der Branche und gegenseitige Abhängigkeiten der Supply Chains erhöht die Risiken für Folgen von Cybervorfällen noch mehr. Ein mögliches Resultat eines Angriffs könnte die Weitergabe von medizinischen Daten sein – doch auch die Versorgung mit wichtigen Artikeln für medizinische Behandlungen könnte durch eine Cyberattacke unterbrochen werden.

„Gesundheitsdienstleister geben jedes Jahr Milliarden von Dollar bei Tausenden von Lieferanten aus. Untersuchungen zeigen jedoch, dass die derzeitigen Ansätze zur Risiko-Bewertung und -Verwaltung im Zusammenhang mit Lieferketten versagen. Der Wandel zu Cloud- und Edge-Computing hat die Cyber-Risikobereiche der Organisationen nur noch vergrößert. Das erschwert den Schutz digitaler Infrastrukturen – und macht sie für Cyber-Angriffe immer attraktiver. Es ist daher wichtig, dass Risiken erkannt, bewertet und abgemildert werden. Nur so kann die Widerstandsfähigkeit eines Unternehmens gewährleistet werden.“, so Dr. James Angle. Er war der hauptverantwortliche Autor des Berichts und ist zudem Co-Vorsitzender der CSA Health Management Working Group.

Währenddessen sind Cyberangriffe auf Unternehmen im Gesundheitswesen teurer denn je. Denn die Kosten beschränken sich nicht allein auf die, die direkt durch einen Cyberangriff entstehen. Zusätzliche finanzielle Belastungen entstehen mittlerweile durch potenzielle Klagen, Geldstrafen und Untersuchungen des US-Gesundheitsministeriums sowie des Amtes für Bürgerrechte, wie der Bericht unterstreicht.

Es gibt mehrere Begründungen dafür, warum das Lieferketten- und Risikomanagement im Gesundheitswesen häufig scheitert:

1. Das Risikomanagement ist weiterhin zu abhängig von manuellen Prozessen und nicht ausreichend automatisiert. Dies erschwert es, digitale medizinische Apps und Geräte im Gesundheitswesen hinsichtlich der entsprechenden Cyber-Bedrohungen zu überwachen.

Es ist teuer und zeitaufwendig, die Risiken im Zusammenhang mit Lieferanten zu bewerten. Das führt dazu, dass nur wenige Unternehmen solche Analysen durchführen (lassen).

3. Kontrollen und Prozesse, die für das Lieferantenmanagement entscheidend sind, werden im Allgemeinen nur teilweise oder gar nicht umgesetzt.

Grundlegend für die Bewältigung von Cyberrisiken in Lieferketten sind zwei Aspekte. Der erste hat mit dem Risikomanagement in Cyber-Lieferketten zu tun: Er konzentriert sich auf die Sicherheit von IT-Netzwerken, Hardware und Software. Der zweite Aspekt betrifft das Management von Cyberrisiken, die sich auf Lieferketten auswirken können. Er bezieht konventionelle Supply Chains und deren Cyberrisiken ein. Für eine erfolgreiche Bewältigung aller Risiken, sollten beide Ansätze berücksichtigt werden.

Wenn es nicht gelingt, die IT-Umgebung der Lieferanten, ihre Produkte und Dienstleistungen zu schützen, haben Cybersicherheitsrisiken das Potential, massive Schäden zu verursachen. Für Unternehmen des Gesundheitswesens ist es zudem ein Problem, wenn es vermehrt Risiken in der Lieferkette gibt. Denn jede potenzielle Attacke kann sich direkt auf die Lieferung von Produkten oder Dienstleistungen – und damit auf das Geschäft – auswirken.

Der Bericht von CSA betont, wie wichtig es ist, dass Unternehmen aus dem Gesundheitswesen über ein wirksames Vier-Stufen-Programm für das Management ihrer Lieferketten verfügen. Dieses Programm besteht aus:

• Festlegung von Kriterien für die Lieferantenbewertung

• Bewertung von Risiken

• Behandlung von Risiken

• Überwachung und Festlegung von Reaktionsmethoden

Momentan scheint es allerdings wenig realistisch, eine Risikobewertung aller Zulieferer durchzuführen. Doch die folgende Abbildung zeigt eine alternative Vorgehensweise – die Hindernisse für die Sichtbarkeit der Lieferkette mit verschiedenen Beteiligungsebenen beschreibt. Es wird dabei empfohlen, sich auf die Hauptlieferanten und deren Zulieferer zu konzentrieren.