Cybersicherheit im Gesundheitssektor: Nachlässigkeit und Unzufriedenheit bergen Risiken

Das Cybersecurity-Programm des US-Gesundheitsministeriums (HHS) hat kürzlich einen Leitfaden zu den Risiken und Abhilfemaßnahmen im Umgang mit Bedrohungen durch Cyber-Insider im Gesundheitswesen veröffentlicht. Diese sogenannten Insider haben Zugang zu Vermögenswerten oder vertraulichen Informationen.

Der Leitfaden klassifiziert die Arten von Insider-Bedrohungen in unachtsame oder fahrlässige Mitarbeiter, böswillige Agenten (Insider), interne Akteure, verärgerte Mitarbeiter und Outsourcer.

Darüber hinaus warnt das Handbuch davor, dass die meisten Unternehmen zwar mehr Ressourcen in die Bekämpfung böswilliger Insider investieren, die Bedrohungen aber eher von fahrlässigen Mitarbeitern ausgehen. Denn laut dem von Ponemon veröffentlichten Bericht 2020 über Insider-Bedrohungen sind diese für 62 % aller Vorfälle verantwortlich – noch vor böswilligen Insidern und Kriminellen mit Zugangsdaten.

Ein Mitarbeiter ist zum Beispiel fahrlässig, wenn er einen Laptop mit kritischen Daten unbeaufsichtigt und eingeloggt lässt. Denn auf diese Weise können die Geräte gestohlen oder vertrauliche Informationen unbefugt kopiert werden. Auch eingeschaltete Alexa-Geräte bergen ein Risiko, wenn im Homeoffice vertrauliche Besprechungen stattfinden.

Aber auch verärgerte Mitarbeiter können eine erhebliche Cyber-Bedrohung darstellen, wenn sie Zugang zum System haben. Sie werden als emotionale Akteure betrachtet, die dem Unternehmen Schaden zufügen wollen. Laut CERT sind solche Mitarbeiter häufig wegen unerfüllter Erwartungen oder unglücklicher Zufälle verärgert.

Stellen Sie sich nun vor, aus welchem Umfeld diese Insider-Bedrohungen entstehen: Denn die Covid-19-Pandemie hat in den letzten Jahren durch Verwirrung, weit verbreitete Unsicherheit und einen erhöhten Arbeitsaufwand zu noch mehr Nachlässigkeit und Unzufriedenheit geführt. Von überfüllten Krankenhäusern bis hin zu pharmazeutischen Unternehmen, die mit überlastetem Personal Impfstoffe entwickeln: überall wurden durch Unachtsamkeit kritische Informationen angreifbar und in einer noch nie dagewesenen Weise offengelegt.

Der von Varonis erstellte Bericht über Datenrisiken im Gesundheitswesen 2021 hat 3 Milliarden Dateien in 58 Organisationen des Gesundheitswesens zusammengetragen und gezeigt, dass jeder Mitarbeiter im Durchschnitt Zugriff auf mehr als 11 Millionen Dateien hat. Das sind fast 20 % der gesamten Daten einer Organisation. In mittelgroßen und kleinen Unternehmen hatten die Mitarbeiter sogar uneingeschränkten Zugang zu fast jeder 4. Datei.

Das Varonis-Diagramm unten zeigt das Volumen der gefährdeten Gesundheitsdaten im Jahr 2021. Demnach enthält ein durchschnittliches Terabyte 1,3 Millionen Dateien. Durch die Bewertung des Risikos pro Terabyte entsteht ein klareres Bild von der typischen Angriffsfläche nach Unternehmensgröße. So lässt sich feststellen, welche Unternehmen am anfälligsten sind.

Ungefähr 2 % der Akten enthalten vertrauliche Informationen wie Patientendaten, Forschungsinformationen und geistiges Eigentum. Außerdem verfügen kleinere Unternehmen über eine enorme Menge an exponierten Daten. Nach Angaben von Varonis haben neu eingestellte Mitarbeiter in kleinen Unternehmen sofortigen Zugriff auf mehr als 11.000 Dateien, von denen fast die Hälfte vertrauliche Inhalte betrifft. Bei größeren Organisationen liegen die Probleme dagegen meist in den Berechtigungssystemen.

Diese Offenlegung kritischer Informationen stellt ein nahezu unkalkulierbares Risiko dar – sowohl in Bezug auf die Angriffsfläche als auch auf die Nichteinhaltung von Datenschutzbestimmungen. Im Vergleich zu Finanzdienstleistern arbeiten durchschnittliche Unternehmen im Gesundheitswesen und in der Biotechnologie mit etwa 75 % weniger Daten. Dabei ist jedoch die konkrete Anzahl der Dateien größer, auf die jeder Mitarbeiter Zugriff hat.

Um den durch Insider-Bedrohungen verursachten Schaden zu begrenzen, empfiehlt der HHS-Leitfaden für Organisationen im Gesundheitswesen folgende Maßnahmen:

• Förderung von Sensibilisierungsprogrammen und regelmäßige Schulungen zur Cybersicherheit für alle Mitarbeiter

• Einführung strenger Richtlinien und Praktiken für die Verwaltung von Passwörtern und Konten

• Definieren von Cybersicherheitsvereinbarungen für alle Cloud-Dienste, insbesondere von Zugangsbeschränkungen und Überwachungsfunktionen

• Sicherstellen, dass sensible Informationen nur für diejenigen zugänglich sind, die darauf zugreifen müssen

• Verwendung von Korrelationsmechanismen oder SIEM(Security Information and Event Management)-Systemen zur Aufzeichnung, Überwachung und Prüfung von Mitarbeiteraktionen

• Entwicklung eines formellen Programms zur Reduzierung von Insider-Bedrohungen

Das HHS unterhält ein Koordinierungszentrum für Cybersicherheit im Gesundheitswesen (HC3), das beim Schutz wichtiger gesundheitsbezogener Informationen helfen soll. Das Zentrum beleuchtet relevante Cybersicherheitsthemen, aktuelle Bedrohungen, wichtige Eindringlinge sowie bewährte Verfahren und Maßnahmen zur Risikominderung. Zudem liefert es Informationen und den situativen Kontext für technische und exekutive Gruppen.