Die Cybersicherheitskrise im Gesundheitswesen: Deutschland im Visier von Cyberangriffen
Der Gesundheitssektor ist in den letzten Jahren zu einem bevorzugten Ziel für Cyberkriminelle geworden. Der sensible Charakter von Gesundheitsdaten, oft in Verbindung mit veralteten Altsystemen und begrenzten Budgets für Cybersicherheit, macht Gesundheitseinrichtungen zu anfälligen Zielen. In Deutschland haben Cyberangriffe auf die Infrastruktur des Gesundheitswesens stark zugenommen, was den dringenden Bedarf an verbesserten Schutzmaßnahmen verdeutlicht. Erst in dieser Woche berichteten Publikationen, dass Hacker die IT-Infrastruktur der Katholischen Jugendfürsorge der Diözese Augsburg (KJF)1 angegriffen und geknackt haben – und sich dabei Zugang zu sensiblen Dateien wie Finanzdaten und Patientendaten verschafft haben. Nach Angaben von KJF fand der Cyberangriff am 17. April 2024 statt.
Datenschutz und Cyber Recovery von Cristie Data und Rubrik.
Cristie Data kann in Zusammenarbeit mit dem Technologiepartner Rubrik Einrichtungen des Gesundheitswesens mit Datenschutz und Cyber-Wiederherstellung versorgen. Der jüngste Bericht State of Data Security von Rubrik Zero Labs schlägt Alarm in Bezug auf das Datenrisiko in Unternehmen und beleuchtet die Gesundheitsbranche, die derzeit einige der größten Herausforderungen im Bereich der Datensicherheit zu bewältigen hat.
Frühere hochkarätige Angriffe auf das Gesundheitswesen in Deutschland
- Lukaskrankenhaus Neuss (2022): Ein Ransomware-Angriff legte ein großes Krankenhaus in Neuss lahm und führte zu Betriebsstörungen und Verzögerungen bei der Patientenversorgung. Es wird vermutet, dass der Angriff zu mindestens einem Todesfall bei einem Patienten geführt hat.
- Universitätsklinikum Düsseldorf (2020): Ein Ransomware-Angriff zwang das Universitätskrankenhaus, offline zu gehen, was dazu führte, dass Notfallpatienten in andere Einrichtungen umgeleitet wurden. Dieser Vorfall führte zum Unfalltod eines Patienten2 und unterstreicht die realen Auswirkungen von Cyberangriffen im Gesundheitswesen.
- Mehrere Krankenhäuser (2016): Mehrere Krankenhäuser in Deutschland wurden 2016 Opfer von Ransomware-Angriffen, die Patientendaten kompromittierten und den Betrieb stark beeinträchtigten.
Warum das Gesundheitswesen ein Hauptziel ist
- Daten von hohem Wert: Daten aus dem Gesundheitswesen enthalten hochsensible persönliche Daten, darunter Krankengeschichten, Finanzinformationen und Sozialversicherungsnummern. Cyberkriminelle verkaufen diese Daten über das Dark Web oder nutzen sie für Identitätsdiebstahl und Erpressung.
- Störungspotenzial: Krankenhäuser sind bei der Patientenversorgung auf Technologie angewiesen, von Diagnosegeräten bis hin zur Lebenserhaltung. Eine Unterbrechung dieser Systeme kann die Sicherheit der Patienten gefährden und die Krankenhäuser zwingen, Lösegeld für die rasche Wiederherstellung zu zahlen.
- Veraltete IT-Systeme: Viele Einrichtungen des Gesundheitswesens arbeiten noch immer mit veralteter und oft nicht unterstützter Software und Hardware, die Schwachstellen für Cyberangriffe bieten.
- Belastung durch Compliance: Strenge Datenschutzbestimmungen für das Gesundheitswesen wie HIPAA und GDPR stellen zusätzliche Herausforderungen dar, da die Einrichtungen ein Gleichgewicht zwischen Sicherheit und Compliance-Anforderungen finden müssen.
Der Weg nach vorn: Schutz der deutschen Gesundheitsversorgung
- Höhere Investitionen: Einrichtungen des Gesundheitswesens müssen ihre Budgets für Cybersicherheit priorisieren, um Systeme zu modernisieren, fortschrittliche Bedrohungserkennung zu implementieren und in zuverlässige Datensicherungen zu investieren.
- Mitarbeiterschulung: Die Mitarbeiter sind oft das schwächste Glied. Regelmäßige Schulungen zu bewährten Verfahren der Cybersicherheit und zur Erkennung von Phishing-Versuchen sind von entscheidender Bedeutung.
- Pläne für die Reaktion auf Zwischenfälle: Organisationen des Gesundheitswesens benötigen gut definierte Reaktionspläne für Zwischenfälle, um Ausfallzeiten zu minimieren und Dienste bei Störungen schnell wiederherzustellen.
- Staatliche Unterstützung: Die deutschen Behörden müssen mit dem Gesundheitssektor zusammenarbeiten, um das Bewusstsein zu schärfen, Informationen über Bedrohungen auszutauschen und möglicherweise kleinere Einrichtungen bei der Verbesserung der Cybersicherheit finanziell zu unterstützen.
Die Kosten der Untätigkeit
Bei Cyberangriffen auf das Gesundheitswesen geht es nicht nur um Datenschutzverletzungen. Sie können sich direkt auf das Leben der Patienten, die Qualität der Gesundheitsversorgung und das Vertrauen der Öffentlichkeit in das System auswirken. Die Vorfälle in Deutschland verdeutlichen den dringenden Bedarf an sofortigem Handeln. Die Organisationen des Gesundheitswesens benötigen zusammen mit der Unterstützung der Regierung einen proaktiven Ansatz, um diese allgegenwärtige Bedrohung zu entschärfen.
Referenzen:
1 https://www.sueddeutsche.de/bayern/cyberangriff-kliniken-augsburg-patientendaten-hacker-1.6838298
2 https://www.handelsblatt.com/technik/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/26198688.html
1 https://www.sueddeutsche.de/bayern/cyberangriff-kliniken-augsburg-patientendaten-hacker-1.6838298
2 https://www.handelsblatt.com/technik/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/26198688.html