Ransomware, Datenschutzverletzungen und Datendiebstahl - Die CyberSicherheits-Krankheiten, die Gesundheitsorganisationen befallen
Einrichtungen des Gesundheitswesens sind heute zunehmend von Cyberangriffen bedroht, wobei Ransomware, Datenschutzverletzungen und Datendiebstahl immer häufiger vorkommen. Die Komplexität der Gesundheitsinfrastrukturen, die Patienten, Ärzte, klinische Untersuchungen, Diagnosegeräte und die Terminplanung miteinander verbinden, macht sie besonders anfällig für diese Bedrohungen. Die Anforderungen an die Einhaltung von Vorschriften erschweren es den Einrichtungen des Gesundheitswesens, sichere Systeme in solchen Hochrisikoumgebungen aufrechtzuerhalten.
In den letzten Jahren gab es mehrere bemerkenswerte Beispiele für Sicherheitsverletzungen im Gesundheitswesen. Einer der jüngsten und bedeutendsten war ein Ransomware-Angriff auf Managed Care of North America (MCNA) Dental, einen der größten Zahnkrankenversicherer Amerikas. Dieser Angriff gefährdete die persönlichen Daten von fast neun Millionen Menschen in den Vereinigten Staatenund ist damit (bisher) die größte Datenschutzverletzung im Gesundheitswesen im Jahr 2023. Die Ransomware-Gruppe LockBit übernahm die Verantwortung für den Angriff und behauptete, 700 GB an Daten gestohlen zu haben, nachdem sich das Unternehmen geweigert hatte, ein Lösegeld in Höhe von 10 Millionen US-Dollar zu zahlen.
PharMerica, einer der größten Anbieter von Apothekendienstleistungen in den Vereinigten Staaten, war ebenfalls mit einer schwerwiegende Datenpanne. Hacker hatten Zugriff auf die persönlichen Daten von fast sechs Millionen Patienten, darunter Namen, Geburtsdaten, Sozialversicherungsnummern, Medikamente und Krankenversicherungsinformationen. Die Ransomware-Bande Money Message beanspruchte die Lorbeeren für den Cyberangriff und veröffentlichte die gestohlenen Daten auf einer Dark-Web-Leak-Site.
In Europa wurde das französische Unternehmen Dedalus Biologie eine Geldstrafe von 1,5 Millionen Euro auferlegt, nachdem eine Datenpanne zu einer Geldstrafe in Höhe von 1 Million Euro verurteilt, nachdem eine Datenschutzverletzung zur Preisgabe der medizinischen Daten von fast 500.000 Personen geführt hatte. Der Verstoß ereignete sich während einer Software-Migration, bei der Dedalus Biologie mehr Daten als erforderlich extrahierte und es versäumte, die Sicherheit der personenbezogenen Daten zu gewährleisten.
Diese Vorfälle verdeutlichen die Anfälligkeit von Gesundheitseinrichtungen für Cyber-Bedrohungen. Hackerangriffe und IT-Vorfälle sind für etwas mehr als die Hälfte der 40 Datenschutzverletzungen, die im Januar 2023 allein in den USA gemeldet wurdengemeldet wurden, von denen viele gehackte Netzwerkserver betrafen. Bei diesen 23 Hacking-Vorfällen wurden die Daten von 698.295 Personen offengelegt oder gestohlen.
Die Bewältigung dieser Risiken erfordert robuste Sicherheitsmaßnahmen und eine kontinuierliche Überwachung der Systeme. Die Verschlüsselung personenbezogener Daten, die automatische Löschung von Daten nach der Migration und Authentifizierungsanforderungen sind nur einige der Sicherheitsmaßnahmen, die die Einrichtungen umsetzen müssen. Die rechtzeitige Behebung von Sicherheitslücken sollte mehr Aufmerksamkeit geschenkt werden, da ungepatchte Schwachstellen nach wie vor eine der bevorzugten Angriffsmöglichkeiten für Bedrohungsakteure darstellen. Darüber hinaus müssen Organisationen sicherstellen, dass sie Daten im Einklang mit den einschlägigen Vorschriften verarbeiten und dass sie bei Vorgängen wie Softwaremigrationen nur dann Daten extrahieren, wenn dies erforderlich ist.
Die Bedrohung von Einrichtungen des Gesundheitswesens durch Ransomware, Datenschutzverletzungen und Datendiebstahl nimmt zu, und diese Organisationen müssen geeignete Maßnahmen ergreifen, um ihre Daten zu schützen und die Privatsphäre und Sicherheit ihrer Patienten zu gewährleisten. Wenn sie dies nicht tun, werden nicht nur sensible Patientendaten preisgegeben, sondern es drohen auch hohe Geldstrafen und Rufschädigung.