Das Bewusstsein für Cybersicherheit ist für jede Organisation ein wichtiges Thema. Im Gesundheitssektor, wo die Daten besonders sensibel sind, ist es jedoch ganz einfach unerlässlich.

Die großen Mengen vertraulicher Daten in Kombination mit oft anfälligen Sicherheitssystemen und einem umfangreichen Netzwerk verbundener medizinischer Geräte machen den Gesundheitssektor zu einem bevorzugten Ziel für Cyberkriminelle.

Das Gesundheitswesen ist eine der am stärksten gefährdeten Branchen, die von einer Vielzahl von Problemen im Zusammenhang mit der Cybersicherheit geplagt wird, wie z.B. Sicherheitsvorfälle, organisatorische Verstöße und Datendiebstahl, die von internen und externen Quellen ausgehen.

Cyber-Sicherheit im Gesundheitswesen in kritischem Zustand

Im letzten Jahr kosteten Datenschutzverletzungen und Ransomware-Angriffe Gesundheitsdienstleister schätzungsweise 4 Milliarden Dollar. Tatsächlich haben 67% der Gesundheitsorganisationen in den letzten zwölf Monaten einen Vorfall im Bereich der Cybersicherheit erlebt.

Der vielleicht berüchtigtste Vorfall ereignete sich im Jahr 2017, als eine verheerende globale Cyberattacke die Computer in Krankenhäusern in ganz Großbritannien lahmlegte. Die Auswirkungen des WannaCry-Cyberangriffs waren beträchtlich, da der Cybervorfall die Dienste eines Drittels der Krankenhäuser und etwa 8 % der Hausarztpraxen unterbrochen hat. Die geschätzten Gesamtkosten für die Wiederherstellung der betroffenen Systeme beliefen sich nach Angaben des Department of Health & Social Care auf 92 Millionen Pfund.

In jüngster Zeit haben Gesundheitsdienstleister und medizinische Forschungseinrichtungen einen Anstieg von Phishing-Angriffen im Zusammenhang mit der anhaltenden Covid-19-Krise erlebt. Das Universitätskrankenhaus Brünn in der Tschechischen Republik, eines der Covid-19-Testzentren des Landes, wurde von Ransomware heimgesucht, was dazu führte, dass alle Operationen verschoben wurden.

Inmitten einer starken Zunahme von Phishing-Attacken im Zusammenhang mit dem Coronavirus wurde auch das US-Gesundheitsministerium (HHS) Opfer eines DDoS-Angriffs (Distributed Denial of Service), der die Reaktion der Organisation auf die Covid-19-Pandemie stören sollte.

Das britische National Cyber Security Centre (NCSC) und die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) haben eine Reihe von Angriffen auf medizinische Einrichtungen gemeldet, insbesondere auf solche, die an der Reaktion auf die Pandemie beteiligt waren.

Bedenken hinsichtlich der Cybersicherheit im Gesundheitswesen

Es ist klar, dass Hacker weiterhin Cyberangriffe auf die Gesundheitsbranche starten werden, solange sich damit Gewinne erzielen lassen, sei es durch den Verkauf gestohlener Patientendaten oder durch die Geiselnahme von Gesundheitssystemen, bis die Forderungen der Kriminellen erfüllt sind.

Der Gesundheitssektor hat in den letzten Jahren mit der Anpassung neuer Technologien zur Erleichterung der Datenintegration, der Einbindung von Patienten und der klinischen Unterstützung einen bedeutenden Wandel erlebt.

Mit diesem Übergang von den traditionellen papierbasierten Methoden ergeben sich zahlreiche Möglichkeiten für Cyberkriminelle, wie z. B. Malware, die den Datenschutz von Patientendaten gefährdet, bis hin zu Distributed Denial of Service (DDoS)-Angriffen, die die Patientenversorgung stören.

Organisationen sind jedoch oft zu sehr mit der Abwehr externer Bedrohungen beschäftigt, um sich mit den sehr realen und gefährlichen Risiken zu befassen, die in den eigenen Reihen lauern können.

Die Insider-Bedrohung

Mit einer Fülle von streng vertraulichen und geschützten Gesundheitsinformationen (PHI) haben die Mitarbeiter des Gesundheitswesens Zugriff auf große Mengen von Patientendaten, die sowohl vor Ort als auch aus der Ferne und auf mehreren Geräten für das Personal zugänglich sein müssen.

Es ist allgemein bekannt, dass Cyberkriminelle die schwächste Stelle in der Verteidigung eines Unternehmens ins Visier nehmen, und das sind allzu oft die Mitarbeiter. Letztes Jahr hat das UK Information Commissioner’s Office (ICO) aufgedeckt, dass menschliches Versagen die Ursache für 90 % der Datenschutzverletzungen ist.

Letztlich sind die Mitarbeiter des Gesundheitswesens die Hüter der Daten und Cyber-Bedrohungen stellen inzwischen ein großes Problem für die öffentliche Gesundheit dar.

Um das Risiko zu mindern, muss das Sicherheitsbewusstsein ein integraler Bestandteil der allgemeinen Sicherheitsstrategie des Gesundheitswesens werden, um potenzielle Cyberangriffe zu verhindern.

Vorbeugung statt Verschreibung

Da Cyberangriffe immer raffinierter und gezielter werden, ist das Bewusstsein für Cybersicherheit im Gesundheitswesen die stärkste Waffe gegen diese sich ständig weiterentwickelnden Bedrohungen und Techniken. Obwohl es mehrere Sicherheitsebenen gibt, bleibt das Bewusstsein für Cybersicherheit für viele Organisationen eine große Herausforderung. Oft wird ein Ad-hoc-Ansatz gewählt, aber es ist wichtig zu erkennen, dass Cyber-Sensibilisierung mehr ist als nur simuliertes Phishing.

Um das Verhalten im Bereich der Cybersicherheit wirklich zu ändern, müssen Unternehmen ein Programm zur Sensibilisierung für Cybersicherheit einführen, das es den Mitarbeitern ermöglicht, die wichtige Rolle, die sie beim Schutz sensibler Unternehmensdaten spielen, zu erkennen und zu übernehmen.

Da die Gesundheitsbranche zunehmend anfällig für böswillige Cyberangriffe ist, liegt der Schlüssel zur Verbesserung des Bewusstseins für Cybersicherheit in diesem Sektor in der Durchführung einer wirksamen Kampagne zur Sensibilisierung für Cyberfragen und in der Schaffung einer Kultur des Cyberbewusstseins.

Implementierung einer effektiven Kampagne zur Sensibilisierung für das Internet

  • Beginnen Sie mit CEO Leadership

Cybersicherheit liegt in der Verantwortung jedes Einzelnen, aber widerstandsfähige Organisationen haben eine starke Führung durch den CEO. Wenn der CEO die Cybersicherheit ernst nimmt, wird sich dies auf das gesamte Unternehmen auswirken und dazu beitragen, eine Kultur des erhöhten Bewusstseins für Cybersicherheit zu schaffen.

  • Kennen Sie Ihre organisatorischen Toleranzen

Wenn Sie sich die Zeit nehmen, die Risiken richtig zu identifizieren, können Sie die Botschaften, die Umsetzung und die effektive Ausrichtung Ihres Programms zur Sensibilisierung für Cybersicherheit besser gestalten.

  • Verteidigen Sie Ihre Informationswerte

Sie müssen bestimmen, was Ihre wertvollsten Informationsbestände sind, wo sie sich befinden und wer Zugang zu ihnen hat. Jeder Vermögenswert sollte klassifiziert werden (z.B. öffentlich, privat oder vertraulich) und entsprechend seinem Wert geschützt werden. Dies ist entscheidend für die Identifizierung von Risiken und die Festlegung von Prioritäten für die Bereiche, die geschützt werden müssen.

  • Fokus auf Hochrisikogruppen

Der Schlüssel zu einem effektiven Programm zur Sensibilisierung für Sicherheitsfragen liegt darin, dass die richtige Schulung auf die richtigen Personen ausgerichtet ist. Alle Benutzer sind anfällig für Cyber-Bedrohungen, aber bestimmte Mitarbeiter haben ein höheres Bedrohungsprofil als andere. Ihre Personal- und Finanzabteilungen werden beispielsweise häufig Ziel von Phishing-Bedrohungen sein, da sie privilegierten Zugang zu wertvollen Daten haben.

  • Fesselnd durch effektives Storytelling

Storytelling ist eine der wirkungsvollsten Methoden, um Ihrer Kampagne zur Cybersicherheit Leben einzuhauchen. Zugegeben, Cybersicherheit kann ein trockenes Thema sein, aber es ist wichtig, dass Sie Wege finden, Ihre Mitarbeiter einzubeziehen, wenn Sie das Verhalten in Ihrem Unternehmen positiv beeinflussen wollen. Die Botschaft ist einfach zu wichtig, um in der formellen Unternehmenskommunikation unterzugehen.

  • Bringen Sie Ihre Richtlinienverwaltung auf den neuesten Stand

Richtlinien sind entscheidend für die Festlegung von Verhaltensgrenzen für Personen, Prozesse, Beziehungen und Transaktionen innerhalb Ihres Unternehmens. Sie bieten einen Rahmen für die Unternehmensführung, identifizieren Risiken und helfen dabei, die Einhaltung von Vorschriften zu definieren, was in der heutigen, immer komplexeren Regulierungslandschaft wichtig ist.

  • Bereiten Sie sich jetzt auf eine Datenpanne vor

Es geht nicht mehr darum, „ob“ Ihr Unternehmen angegriffen wird, sondern „wann“. Sie müssen sich auf das Unvermeidliche vorbereiten und einen Plan aufstellen, der angemessene und rechtzeitige Maßnahmen gewährleistet, wenn die Sicherheit verletzt wird.

  • Verpflichten Sie Cyber Security Champions

Die Ernennung von Cyber-Sicherheitsbeauftragten ist eine gute Möglichkeit, die Mitarbeiter zu befähigen und sie mit den notwendigen Fähigkeiten auszustatten, um einen Cyber-Angriff zu verhindern.

  • Berücksichtigen Sie Ihre Lieferkette

Jeder Lieferant und jeder Dritte, der mit Ihrem Unternehmen in Verbindung steht, stellt ein potenzielles Risiko dar. Daher ist es wichtig, dass Sie detaillierte Risikobewertungen für Dritte durchführen, um alle Probleme zu lösen, die eine Bedrohung für Ihre Sicherheit darstellen könnten. Auf diese Weise können Sie feststellen, welche Sicherheitsmaßnahmen ergriffen werden müssen, um Ihre Daten zu schützen.

  • Angemessene Aufsicht und regelmäßige Überprüfungen durchführen

Die Bedrohungslandschaft entwickelt sich ständig weiter, so dass sich auch Ihr Programm zur Sensibilisierung für Cybersicherheit mit ihr entwickeln muss. Es ist wichtig, dass Sie die Bereitschaft Ihrer Mitarbeiter regelmäßig überprüfen, um Schwachstellen zu erkennen und festzustellen, ob die aktuellen Richtlinien und Schulungen aktualisiert werden müssen.

Schaffen Sie eine sicherheitsbewusstere Belegschaft

Cyber Security Awareness for Dummies ist eine unverzichtbare Ressource für die Umsetzung von Verhaltensänderungen und die Schaffung einer Kultur des Cyber-Bewusstseins.

In diesem Leitfaden erfahren Sie:

  • Was das Bewusstsein für Cybersicherheit für Ihr Unternehmen bedeutet

  • Wie Sie eine Kampagne zur Sensibilisierung für Cyberrisiken durchführen

  • Die entscheidende Rolle der Politik bei der Festlegung sicherer Basiswerte

  • Wie Sie den Schwung und das Engagement der Mitarbeiter aufrechterhalten

  • 10 bewährte Verfahren zur Sensibilisierung für Cybersicherheit

Klicken Sie hier, um Ihr kostenloses Exemplar von Cyber Security Awareness for Dummies anzufordern.