Schutz von Gesundheitsdaten: Herausforderungen und Lösungen im Bereich Cybersicherheit

Cyberkriminalität stellt eine große Bedrohung für den öffentlichen Sektor und Einrichtungen dar, die in besonderem Maße auf die Kontinuität ihrer Dienste angewiesen sind, insbesondere im Gesundheitssektor. Gesundheitseinrichtungen sind aufgrund ihrer Größe, ihrer Abhängigkeit von IT- und Drittanbieterdiensten und der riesigen Mengen an geschützten Gesundheitsinformationen (PHI) und personenbezogenen Daten (PII) attraktive Ziele für Cyberkriminelle. Ein Bericht des US-amerikanischen Gesundheits- und Sozialdienstes aus dem Jahr 2023 berichtete von einem Anstieg großer Datenschutzverletzungen im Gesundheitswesen um 93%, wobei die großen Sicherheitslücken im Zusammenhang mit Ransomware von 2018 bis 2022 um 278% zunahmen.

Melissa Parsons

An article from

Melissa Parsons
Technischer Redakteurin
Published
November 12, 2024
Updated
Reading time
minutes
Schutz von Gesundheitsdaten - C-Risk

Datenschutzverletzungen im Gesundheitswesen und Ransomware

 

Gesundheitsdaten sind für Cyberkriminelle attraktiv, da Gesundheitsorganisationen über aktuelle finanzielle und persönliche Daten sowie Krankenakten verfügen, die dann von Cyberkriminellen für Social-Engineering-Betrug und Identitätsdiebstahl verwendet werden können. Elektronische Patientenakten (EHR) werden zunehmend verwendet, um die Zusammenarbeit zwischen Ärzten und medizinischen Labors zu erleichtern. Sie enthalten Informationen zur Krankengeschichte, zu Diagnosen und Behandlungen von Patienten. Diese Daten werden auch bei Datenschutzverletzungen im Gesundheitswesen gefährdet.

 

LockBit Ransomware ist die weltweit produktivste Gruppe von Cyberkriminellen gegen Ransomware, die Ransomware as a Service (RaaS) anbietet. Seit ihrer Identifizierung im Jahr 2019 ist die Gruppe weltweit für Schäden in Milliardenhöhe verantwortlich. Und es hat verursacht Netzwerkausfälle und Betriebsunterbrechungen für mehrere Krankenhaussysteme in den USA und in Frankreich. Eine internationale Task Force, die sich aus Strafverfolgungsbehörden aus 10 Ländern zusammensetzt, namens Operation Cronos, konnte nach einer monatelangen Operation im Februar 2024 die technische Infrastruktur von LockBit und die öffentlich zugängliche Leckseite im Dark Web beschlagnahmen.

 

Leider scheint es, als ob LockBit nach der Neugruppierung von einer anderen Site aus neu gestartet werden konnte. LockBit-Stämme sind für die beiden großen Ransomware-Vorfälle im Gesundheitswesen Anfang 2024 verantwortlich.

Ransomware-Angriff auf das Krankenhaus Amentières

 

In den frühen Morgenstunden des 11. Februar 2024 begannen Drucker im Armentières-Krankenhaus, Ransomware-Nachrichten auszudrucken, um die Leser der Seiten über den Cyberangriff zu informieren. Innerhalb einer Stunde nach Entdeckung des Angriffs bestätigte das IT-Team des Krankenhauses, dass alle Krankenhauscomputer vom Netzwerk getrennt wurden und das Krankenhaus bereits mit den französischen Strafverfolgungsbehörden zusammenarbeitete.

 

Als der Angriff passierte, befanden sich 130 Patienten im Krankenhaus. Das Krankenhauspersonal druckte schnell die Krankenakten jedes Patienten aus, damit es weiterhin angemessen versorgt werden konnte. Zwei Tage lang war das Krankenhaus außer Betrieb und konnte die Bewohner, die auf seine Dienste angewiesen waren, nicht versorgen. Außer Notdienst und Entbindung standen keine Notdienste zur Verfügung. Und Krankenwagen wurden in andere Krankenhäuser in der Region umgeleitet. Am Ende mehr als Bei 300.000 Menschen wurden Daten kompromittiert.

 

Im Überblick über Cyberbedrohungen 2023 von ANSSI, der französischen Nationalbehörde für die Sicherheit von Informationssystemen, heißt es: 10% der gemeldeten Ransomware-Angriffe in Frankreich betrafen den öffentlichen Gesundheitssektor. Lokale und regionale Behörden waren ebenfalls schwer von Ransomware betroffen, auf die 9% bzw. 24% der Angriffe entfielen.

 

Risiko- und sensible Gesundheitsdaten von Drittanbietern

 

Drittanbieter sind ein weiterer Kanal, über den Cyberkriminelle auf sensible Daten zugreifen und schwerwiegende Störungen des Gesundheitssystems verursachen können. Dritte verarbeiten riesige Mengen an Gesundheitsdaten für Krankenhäuser, Ärzte, Krankenversicherungen und Regierungsprogramme. Wenn ein IKT-Drittanbieter das Ziel von Cyberkriminellen ist, kann dies verheerende Folgen haben. Ereignisse wie der Phishing-Angriff auf die Drittanbieter-Zahlungsdienste Viamedis und Almerys und der Ransomware-Angriff auf Change Healthcare unterstreichen das Notwendigkeit eines robusten Drittanbieters Aufsicht und die Notwendigkeit, dass Dritte strenge Cybersicherheitsmaßnahmen ergreifen.

 

Kritische Infrastrukturen in Frankreich und den USA waren von beiden Cyberangriffen stark betroffen. In Frankreich mehr als Bei der Hälfte der französischen Bevölkerung waren personenbezogene Daten kompromittiert wegen der Datenschutzverletzungen bei Viamedis und Almerys, wodurch natürlich die Anzahl der sensiblen Informationen im Dark Web zunimmt, auf die Bedrohungsakteure für Phishing-Kampagnen zugreifen können. Die Angriffe auf Viamedis und Almerys störten auch die Übertragung und Bezahlung von Versicherungsansprüchen. Dies führte dazu, dass viele Menschen in Frankreich keinen Zugang zu Gesundheitsdienstleistungen, Medikamenten oder Gesundheitsmaterialien wie Brillen und Prothesen hatten.

 

Der Ransomware-Angriff auf Change Healthcare in den USA, eine Tochtergesellschaft der UnitedHealth Group, störte Tausende von Ärzten, Krankenhäusern, Apotheken sowie Verwaltungs- und Abrechnungsprozessen im gesamten Gesundheitswesen und beeinträchtigte wichtige Gesundheitsdienstleistungen. Es gab mehr als 100 Dienste unterbrochen seit mehr als vier Wochen, und die Sanierungsmaßnahmen sind noch im Gange.

 

Das Ausmaß der Datenschutzverletzung wird noch bewertet. Nachrichtenberichten zufolge können Gesundheitsdienstleister haben bis zu 100 Millionen US-Dollar pro Tag verloren vor dem Cyberangriff. Und es wurden bereits Sammelklagen gegen das Unternehmen eingereicht, was die Ernsthaftigkeit der Datenschutzbedenken widerspiegelt, die sich aus diesem Vorfall ergeben.

 

Die sich entwickelnde Situation unterstreicht die entscheidende Bedeutung der Cybersicherheit im Gesundheitswesen, einschließlich Dritter, und die kaskadierenden Auswirkungen, die solche Angriffe auf die Gesundheitsversorgung haben können, und unterstreicht die Dringlichkeit robuster Sicherheitsmaßnahmen und schneller Reaktionsstrategien zum Schutz sensibler Gesundheitsdaten und zur Aufrechterhaltung der Gesundheitsversorgung.

Kennen Sie Ihre Risiken durch Dritte?

C-Risk arbeitet mit Ihnen zusammen, um die mit Dritten verbundenen Risiken in geschäftlicher Hinsicht zu erfassen und zu quantifizieren, sodass Sie die Leistung des erweiterten Unternehmens maximieren und strategische Geschäftsziele erreichen können.

Learn more

Gesetzgebung zum Schutz von Gesundheitsdaten

 

Die Weltgesundheitsorganisation hat eine globale Strategie für digitale Gesundheit 2020-2025 veröffentlicht, in der eine Strategie zum Schutz der wachsenden Menge sensibler Gesundheitsdaten von Regierungen, dem Gesundheitssektor und privaten Unternehmen dargelegt wird.

 

Die WHO erkennt an, dass digitale Gesundheit ein integraler Bestandteil der Gesundheitsversorgung ist und den Menschen auf ethische, sichere, zuverlässige, gerechte und nachhaltige Weise zugutekommen sollte.

 

Datenschutz in der EU

In der EU sind die Gesundheitsdaten von Einzelpersonen durch die Allgemeine Datenschutzverordnung (DSGVO) geschützt, die 2018 in Kraft trat. Jeder EU-Mitgliedstaat richtete daraufhin eine nationale Aufsichtsbehörde ein, um die DSGVO durchzusetzen. In Frankreich ist es beispielsweise die CNIL. Und in Deutschland ist es der BfDI. Seit dem Austritt aus der EU hat das Vereinigte Königreich eine britische DSGVO verabschiedet, in der der Text der EU-Verordnung beibehalten wurde. Bei schwerwiegenden Verstößen können Bußgelder in Höhe von bis zu 20 Millionen Euro verhängt werden, bei Unternehmen bis zu 4% des weltweiten Gesamtumsatzes des Vorjahres.

 

Gemäß der DSGVO gibt es keinen Unterschied zwischen PHI und PII. Alle personenbezogenen Daten sind geschützt. Die Verordnung unterscheidet jedoch zwischen sensiblen Daten (siehe Art. 9 der DSGVO) und personenbezogene Daten.  

Zu den sensiblen Daten gehören:

  • personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen hervorgehen
  • Mitgliedschaft in einer Gewerkschaft
  • genetische Daten, biometrische Daten, die ausschließlich zur Identifizierung eines Menschen verarbeitet werden
  • gesundheitsbezogene Daten
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

 Personenbezogene Daten Laut der Europäischen Kommission sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Informationen, die zusammen zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.“ Einige Beispiele für personenbezogene Daten sind:

  • ein Vor- und Nachname
  • eine Privatadresse
  • eine Internet Protocol (IP) -Adresse
  • die Werbe-ID Ihres Telefons
  • Daten, die sich im Besitz eines Krankenhauses oder Arztes befinden

Datenschutz in den USA

Im Gegensatz dazu gibt es in den USA kein Bundesgesetz zum Schutz personenbezogener Daten. Es gibt den Federal Health Insurance Portability and Accountability Act (HIPAA), der 1996 in Kraft trat und Vorschriften zum Schutz und zur Weitergabe von Gesundheitsdaten (PHI) festlegt. Das Office for Civil Rights (OCR) des US-Gesundheitsministeriums (HHS) ist für die Durchsetzung des Gesetzes zuständig.

 

HIPAA schützt individuell identifizierbare Gesundheitsinformationen, die von einem betroffenen Unternehmen oder seinem Geschäftspartner gespeichert oder übertragen werden, und zwar in elektronischer Form, in Papierform oder mündlich.

Gesundheitsinformationen können sich auf Folgendes beziehen:

  • die körperliche oder geistige Gesundheit oder der Zustand einer Person in der Vergangenheit, Gegenwart oder Zukunft
  • die Bereitstellung von Gesundheitsleistungen für eine Einzelperson
  • alle Zahlungen für die Gesundheitsversorgung des Einzelnen

Zu den individuell identifizierbaren Gesundheitsinformationen gehören Angaben wie Name, Adresse, E-Mail-Adresse, Geburtsdatum und Sozialversicherungsnummer einer Person. Strafen für zivilrechtliche Verstöße werden von der OCR je nachdem, ob die Vorschriften nicht eingehalten wurden, geahndet. Organisationen und Einzelpersonen können bestraft werden, wenn sie unwissentlich gegen das Gesetz verstoßen, sowie aus begründetem Grund und vorsätzlicher Vernachlässigung. Bei den schwersten Verstößen kann das US-Justizministerium Strafanzeige gegen eine Partei erheben.

 

Lösungen für sicherere Gesundheitsdaten

Cybersicherheitsbehörden auf der ganzen Welt fanden es schwierig, die Beweggründe für viele Angriffe zu ermitteln. Sie könnten auf finanziellen Gewinn, Spionage oder Destabilisierung abzielen. Der Gesundheitssektor verarbeitet einige der sensibelsten Informationen der Gesellschaft. Und es ist von grundlegender Bedeutung, dass die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten von oben nach unten geschützt werden.

Cybersicherheits-Governance im Fokus

Die Verwaltung von PHI und PII sollte ein Konsultationsprozess mit mehreren Interessenträgern sein. Cybersicherheit kann kein isolierter Ansatz sein, der nur von der IT-Abteilung verwaltet wird. Neue Vorschriften und Richtlinien wie NIS2 unterstreichen die Bedeutung von Aufsichtsräten bei Sicherheitsentscheidungen und bei der Überwachung kritischer Infrastrukturen.

Erstellen Sie einen Plan zur Reaktion auf Vorfälle

Die Definition einer Strategie mit klaren Richtlinien für die Reaktion auf potenzielle Cyberrisikoszenarien wie Datenschutzverletzungen, DDoS-Angriffe, Malware-Ausbrüche, Insiderbedrohungen und andere Sicherheitsverletzungen minimiert Serviceausfälle, reduziert die finanziellen Auswirkungen und verbessert die Einhaltung gesetzlicher Vorschriften.

Weiterbildung und Schulung zur Sensibilisierung für Cybersicherheit

Die Schulung von medizinischem Fachpersonal über bewährte Cybersicherheitspraktiken ist die erste Verteidigungslinie gegen interne Bedrohungen. Regelmäßige Schulungen zu Themen wie Phishing-Techniken, Passworthygiene und Meldung verdächtiger E-Mails geben Mitarbeitern im Gesundheitswesen die Tools an die Hand, mit denen sie Cybersicherheitsbedrohungen erkennen und darauf reagieren können.

 

Der Gesundheitssektor ist aufgrund der riesigen Mengen sensibler Daten, die er verarbeitet, und seiner Abhängigkeit von IT- und Drittanbieterdiensten besonders anfällig für Cyberangriffe. Die Folgen solcher Angriffe können verheerend sein, lebenswichtige Gesundheitsdienste stören und die Privatsphäre von Millionen von Menschen gefährden. Unternehmen müssen robuste Cybersicherheitsmaßnahmen sowie schnelle Reaktionsstrategien und Schulungen implementieren, um sensible Gesundheitsdaten zu schützen und die Kontinuität der Gesundheitsversorgung aufrechtzuerhalten.

 

Quantitativer Ansatz für vertretbare Cybersicherheitsentscheidungen

 

Die Quantifizierung von Cyberrisiken ist ein leistungsstarker Ansatz für Unternehmen, um ihre Cyberrisiken in geschäftlicher Hinsicht besser zu verstehen. Diese Perspektive kann dazu beitragen, Sicherheitsentscheidungen zu priorisieren und Widerstandsfähigkeit aufzubauen. Unternehmen können sicherstellen, dass ihr Sicherheitsniveau stabil bleibt und auf die sich ständig ändernde digitale Landschaft reagiert.

 

C-Risk verwendet fortschrittliche Analyse- und Modellierungstechniken, um die potenziellen finanziellen Auswirkungen von Cyberbedrohungen auf kritische Anlagen und kritische Prozesse zu quantifizieren. Erfahren Sie, wie unsere Expertise in der Operationalisierung des quantitativen Risikomanagements liegt kann für Ihr Unternehmen von entscheidender Bedeutung sein, unabhängig von Ihrem aktuellen Risikoreifegrad. Arbeiten Sie mit uns zusammen, um Ihr Verständnis von Cyberrisiken in eine strategische Ressource umzuwandeln, die als Grundlage für fundierte Entscheidungen dient.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
DSGVO-Compliance und Cybersicherheit - C-Risk

DSGVO: Auswirkungen auf Ihre Cybersicherheitsstrategie

Die Einhaltung der DSGVO und eine effiziente Datenschutzpolitik sind eine schwierige Herausforderung, die durch die Quantifizierung von Cyberrisiken bewältigt werden kann.

Christophe Forêt

31/5/2024
third party risk management - C-Risk

Die überragende Bedeutung des Risikomanagements von Drittanbietern für die Cybersicherheit

Je mehr Geschäftspartner ein erweitertes Unternehmen hat, desto wichtiger ist es, über das Cybersicherheitsrisikomanagement von Drittanbietern nachzudenken.

Lydie Aubert

30/3/2023
IT-DRP-Cybersicherheit - C-Risk

DRP: Alles, was Sie über den IT-Wiederherstellungsplan wissen müssen

Erfahren Sie alles, was Sie wissen müssen, um einen Disaster Recovery-Plan einzurichten und ihn im Falle eines Computerausfalls oder eines Cyberangriffs sicherzustellen.

Melissa Parsons

11/1/2023

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Unsere Lösungen
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Ihre Rolle
Executive ManagementCISORisiko-Experten
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz