Cyberangriffe auf Gesundheitseinrichtungen schaden Patientenversorgung

Photo credit: depositphotos.com

Drei von vier Gesundheitseinrichtungen in Deutschland wurden im letzten Jahr zum Opfer von Cybervorfällen. Dabei waren „nur“ in jedem zweiten Fall die jeweiligen IT-Systeme betroffen. Die Mehrzahl der Vorfälle betraf cyber-physische Systeme (CPS), wie vernetzte medizinische Geräte, oder die Gebäudetechnik.

Zu diesem Ergebnis kommt die Global Healthcare Cybersecurity Study 2023 von Claroty, Spezialist für die Sicherheit des erweiterten Internet der Dinge (XIoT). Für den Report wurden weltweit insgesamt 1.100 Fachkräfte aus den Bereichen Cybersicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen befragt.

„Die Gesundheits-Branche hat im Bereich der Cybersicherheit mit vielen Herausforderungen zu kämpfen: schnell wachsende Angriffsflächen, veraltete Technologien, Budgetbeschränkungen und ein globaler Mangel an Cyber-Fachkräften“, erklärt Yaniv Vardi, CEO von Claroty. „Unsere Studie zeigt, dass das Gesundheitswesen die volle Unterstützung der Cyberindustrie und der Aufsichtsbehörden braucht, um medizinische Geräte vor den wachsenden Bedrohungen zu schützen und so die Sicherheit der Patienten zu gewährleisten.“

Der Report beleuchtet dabei die Erfahrungen der Sicherheitsverantwortlichen mit Cybersecurity-Vorfällen im vergangenen Jahr, den aktuellen Stand ihrer Sicherheitsanstrengungen sowie ihre zukünftigen Prioritäten.

Die Ergebnisse der Umfrage zeigen, dass Gesundheitsorganisationen mit unzähligen
Cybersicherheitsherausforderungen konfrontiert sind, die eine zunehmende Priorisierung von
Cybersicherheit und Compliance erfordern. Laut der Studie:

• 78 Prozent der Befragten erlebten im letzten Jahr mindestens einen Cybersicherheitsvorfall
• 47 Prozent gaben mindestens einen Vorfall an, der cyber-physische Systeme wie medizinische Geräte und Gebäudemanagementsysteme betraf
• 30 Prozent gaben an, dass sensible Daten wie geschützte Gesundheitsinformationen (PHI) betroffen seien
• Mehr als 60 Prozent gaben an, dass Vorfälle moderate oder erhebliche Auswirkungen auf die Gesundheitsversorgung hatten, und weitere 15 Prozent berichteten von schwerwiegenden Auswirkungen, die die Gesundheit und/oder Sicherheit der Patienten beeinträchtigen.

Überraschenderweise zahlten mehr als ein Viertel der Befragten, die Opfer von Ransomware-Angriffen wurden, Lösegeld. Eine weitere bemerkenswerte finanzielle Auswirkung besteht darin, dass bei mehr als einem Drittel der Opfer im vergangenen Jahr durch den Angriff Kosten in Höhe von mehr als 1 Million US-Dollar entstanden sind.

Weitere Ergebnisse zeigen, dass erhöhte Standards und Vorschriften zu einer stärkeren Cybersicherheit führen, es aber noch viel zu tun gibt:

Fast 30 Prozent sagen, dass die aktuellen Regierungsrichtlinien und -vorschriften verbessert werden müssen oder nichts unternehmen, um Bedrohungen zu verhindern. NIST (38 Prozent) und HITRUST Cybersecurity Frameworks (38 Prozent) wurden von den meisten Befragten als wichtig für ihre Organisationen genannt. 44 Prozent nennen regulatorische Entwicklungen wie die vorgeschriebene Meldung von Vorfällen als den einflussreichsten externen Faktor für die gesamte Sicherheitsstrategie eines Unternehmens.

Die Studie ergab außerdem, dass der Mangel an Cyber-Fachkräften nach wie vor eine der größten Herausforderungen darstellt: Mehr als 70 Prozent der Gesundheitsorganisationen sind auf der Suche nach Mitarbeitern für Cybersicherheitspositionen. 80 Prozent derjenigen, die Mitarbeiter einstellen, geben an, dass es schwierig sei, qualifizierte Kandidaten zu finden, die über die erforderlichen Fähigkeiten und Erfahrungen verfügen, um die Cybersicherheit eines Gesundheitsnetzwerks ordnungsgemäß zu verwalten.

Der komplette Report mit weiteren Ergebnissen und Analysen kann hier heruntergeladen werden.

Methodik

Claroty hat Pollfish mit der Durchführung einer Umfrage unter Gesundheitsdienstleistern, Krankenhäusern und Kliniken in Nordamerika (500), Südamerika (100), APAC (250) und Europa (250) beauftragt. Hierzu wurden insgesamt 1.100 Personen befragt. An der Umfrage nahmen nur Personen teil, die hauptberuflich in den Bereichen Cybersicherheit, klinische Technik, biomedizinische Technik, Informationssysteme, Risiken oder Netzwerke tätig sind.

Die Befragten arbeiten für Einrichtungen mit mindestens 25 bis über 500 Betten, wobei die größte Gruppe (45 Prozent) für Einrichtungen mit 100 bis 500 Betten tätig ist. Die Umfrage konzentriert sich auf den Zeitraum von Juni 2022 bis Juni 2023 und wurde im Juli 2023 abgeschlossen. Hinweis: Aufgrund von Rundungen oder der Möglichkeit von Mehrfachnennungen kann es sein, dass die Summen nicht 100 Prozent ergeben.