Der Faktor Mensch bleibt risikoreich
Patientendaten werden oft falsch verschickt
Kaspersky-Analyse | In diesem Jahr waren bereits 19 Prozent aller Computer und Geräte in medizinischen Einrichtungen einem Infektionsversuch ausgesetzt. Dies geht aus einer aktuellen Analyse mit Vorhersagen möglicher Cyberangriffe und Datenschutzverletzungen im Gesundheitssektor hervor.
Die Sicherheitsexperten gehen unter anderem davon aus, dass das Interesse an gestohlenen Patientendaten im Darknet merklich zunehmen wird, wobei nicht nur der Diebstahl von Informationen durch unbefugte Dritte, sondern auch die Manipulation sensibler Informationen über Patienten ein hohes Gefährdungspotenzial darstellt. Erpressungs- und Diskreditierungsszenarien sind hier mögliche Folgen.
Die Verletzlichkeit sensibler medizinischer Daten wurde im Laufe des Jahres durch einige ernstzunehmende Vorfälle offenkundig. So tauchten deutsche Patientendaten auf ungesicherten Servern auf. Auch waren IT-Sicherheitsmängel beim Anschluss von Arztpraxen an das Gesundheitsdaten-Netzwerk zu verzeichnen. Ein Indiz dafür, dass die digitale Infrastruktur vieler niedergelassener Mediziner noch immer einen hohen Optimierungsbedarf in puncto Sicherheit aufweist.
Patientendaten an falsche Empfänger verschickt
Auch scheint der Umgang mit Patientendaten durch Praxen selbst ein bedeutendes Fehlerpotenzial aufzuweisen. So wurden seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sensible Informationen von Kliniken, Arztpraxen, Laboren oder Abrechnungsstellen häufig an falsche Empfänger versendet.
Zwar ist das Angriffsaufkommen auf Computer und Geräte im medizinischen Umfeld laut Kaspersky-Analysen in den vergangenen Jahren rückläufig – von 30 Prozent in 2017 auf 28 Prozent im vergangenen Jahr und 19 Prozent im Jahr 2019; dennoch sollte die aktuelle Gefährdungslage keineswegs unterschätzt werden, da es sich um einen enorm sensiblen Bereich handelt.
Fehlendes Wissen und mangelnde Sensibilität
Umfrageergebnisse zeigen, dass der Faktor Mensch bei diesen Kompromittierungen eine entscheidende Rolle spielt. Eine Befragung unter Mitarbeitern des Gesundheitswesens in den USA und Kanada ergab, dass fast ein Drittel aller Teilnehmer (32 Prozent) noch nie ein Cybersicherheitstraining absolviert hatten. Darüber hinaus hatte jede zehnte Führungspersönlichkeit keine Kenntnis über die Cybersicherheitsrichtlinien des eigenen Unternehmens.
»Es ist wichtig, dass Anbieter im Gesundheitswesen adäquate Sicherheitsmaßnahmen ergreifen«, betont David Emm, Sicherheitsforscher bei Kaspersky. Dazu gehörten Perimeter-Sicherheit, verschlüsselte Datenbanken und die spezielle Autorisierung von Personal – also die Festlegung, wer befugt ist, auf persönliche Daten von Patienten zuzugreifen. (me)
Schlagworte: Datensicherheit, Cybersecurity, Patientendaten
Lesen Sie mehr zum Thema
