Search Icon
Elektroniknet Logo
Search Icon
Startseite > Medizintechnik > E-Health > Datenverluste sind vermeidbar

Cybersicherheit

Datenverluste sind vermeidbar

13. Dezember 2018, 13:30 Uhr | Suzanne Widup (Verizon)
Daten sind in der Medizin nicht nur nützlich, sondern gerade für Kriminelle eine begehrte Beute.
© Pixabay

Sicherheitsverstöße im Gesundheitssektor gehen nicht nur Sicherheitsfachleute etwas an. Ihre Auswirkungen machen sich in der gesamten Wertschöpfungskette bis hin zum Patienten bemerkbar. Deshalb muss jeder seinen Teil dazu beitragen und potenzielle Schwachstellen vermeiden.

Für Patienten ist es selbstverständlich, dass Ärzte und medizinisches Fachpersonal umfassenden Einblick in ihr Gesundheitsprofil und ihre Krankengeschichte haben. Ohne diese Informationen ließe sich keine sinnvolle Diagnose stellen. Diese Informationen werden primär digital gespeichert. Somit wird die Gesundheitsbranche zunehmend ein primäres Ziel für Cyberkriminelle. Es ist daher für die Verantwortlichen wichtig zu verstehen, welche Bedrohungen es gibt und was getan werden kann, um Datenmissbrauch zu verhindern. Dieses Wissen ist für den Schutz persönlicher Gesundheitsinformationen von entscheidender Bedeutung. 

Um fundierte Informationen zu Cyberkriminalität im Gesundheitssektor zu erhalten, hat das Kommunikationsunternehmen Verizon seine Daten aus der Berichtsreihe »Data Breach Investigations Report« (DBIR – 2016 und 2017) erneut aktualisiert. Dabei standen das spezielle Profil und die sicherheitstechnischen Herausforderungen des Gesundheitssektors im Vordergrund, vor allem Nutzung und Missbrauch von geschützten Gesundheitsinformationen (GGI). Dem daraus entstandenen »2018 Protected Health Information Data Breach«-Report (PHIDBR) liegen insgesamt 1368 Vorfälle aus 27 Ländern zugrunde.

Bei 58 Prozent der analysierten Fälle waren Insider im Spiel. Die Gesundheitsfürsorge ist die einzige Branche, in der interne Akteure die größte Bedrohung für eine Organisation darstellen. Hintergrund sind häufig finanzielle Motive wie die Eröffnung von Kreditlinien anhand gestohlener Informationen (48 Prozent), auch Sensa­tionslust und Neugierde beim Herumstöbern in Daten von berühmten Persönlichkeiten und Familienangehörigen (31 Prozent) oder aber Bequemlichkeit (10 Prozent).

70 Prozent der Vorfälle mit einem schädlichen Code waren auf Infizierungen mit Ransomware zurückzuführen. Über ein Viertel (27 Prozent) der Vorfälle standen mit geschützten Patienteninformationen auf Papier im Zusammenhang. Zwar wird verstärkt über gehackte medizinische Endgeräte berichtet, doch stößt man auf das Gros der kriminellen Aktivitäten, wenn man der Spur des Papiers folgt. Rezeptinformationen von Kliniken an Apotheken, per Post versandte Honorarabrechnungen, ausgehändigte Entlassungspapiere oder abgelegte Kopien von Ausweisen und Versicherungskarten – in keinem anderen Bereich sind gedruckte Dokumente so allgegenwärtig wie im Gesundheitssektor. Die Art und Weise, wie medizinische Mitarbeiter mit geschützten Gesundheitsinformationen umgehen, hat zu durchaus vermeidbaren Schwachstellen geführt: Sensible Daten werden falsch zugestellt (20 Prozent), ohne zu schreddern weggeworfen (15 Prozent) oder gar verloren (8 Prozent). Bei 21 Prozent der Vorfälle spielten verlorene oder gestohlene Laptops mit unverschlüsselten Patientendaten eine Rolle. Daher ist es zwingend, dass Mitarbeiter verstärkt geschult werden, damit grundlegende Sicherheitsmaßnahmen befolgt werden.

Schritt eins: die Basics

Kurzfristig lassen sich zahlreiche Verbesserungen an den allgemeinen Sicherheitsherausforderungen vornehmen. Eine wirksame und relativ kostengünstige Methode, um Kriminelle von sensiblen Daten fernzuhalten, ist die Festplatten-Komplettverschlüsselung. Dabei werden die dort befindlichen Daten automatisch in eine verschlüsselte Form konvertiert. Die Daten können dann nur ausgelesen werden, wenn man über den Schlüssel verfügt, um die Konvertierung rückgängig zu machen. Auch bei einem physischen Diebstahl, etwa eines Laptops, kann die Festplatten-Verschlüsselung das Risiko von Geldstrafen und Meldepflichten verringern: Technische Geräte wie Laptops werden häufig gestohlen oder gehen verloren, ohne dass ausreichende Sicherheits­lösungen implementiert sind. Unternehmen sollten hier besonders darauf achten, ihr Risiko durch adäquate Verschlüsselungsmethoden soweit wie möglich zu minimieren.

Spezielle Richtlinien und Verfahren machen die Überwachung des internen Zugriffs auf geschützte Gesundheitsinformationen zur Pflicht. Durch Sicherheitsschulungen und Warnhinweise wird den Mitarbeitern verdeutlicht, dass bei unbefugter Einsichtnahme in Patientendaten disziplinarische Maßnahmen drohen. Darüber hinaus sind präventive Kontrollen zum Schutz gegen die Einschleusung von Malware enorm wichtig, ebenso die Minimierung der Auswirkungen, die Ransomware auf ein Netzwerk haben könnte. Endgeräte von Nutzern sollten nicht in der Lage sein, Ransomware auf wichtige Strukturen im Netzwerk zu übertragen und dadurch zu verbreiten. Zum Browsen im Internet oder für externe E-Mails sollten keine Geräte mit hohen Verfügbarkeitsanforderungen verwendet werden.

Verizon
Interne Spione: Die größte Bedrohung im Gesundheitswesen geht von Insidern aus.
© Quelle: Verizon Protected Health Information Report
  1. Datenverluste sind vermeidbar
  2. Schritt zwei: langfristige Perspektive

Das könnte Sie auch interessieren

Echtzeitbetriebssystem

Kritische Schwachstellen bei VxWorks

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Verizon Business Dortmund

Privates 5G-Netz im Hafen Southampton

5G-Campusnetze – wegweisend auch für Häfen

Verizon

5G für Audi-Fahrzeuge

eHealth

Telemedizin, Cloud-Computing und 5G

mHealth

So verbessert 5G die Telemedizin

Die Kombination macht´s

Cyber-Sicherheit für Smart Energy