Nur ein Drittel der deutschen Healthcare-Unternehmen hat in präventive Cyberabwehr investiert. Kaspersky-Studie: Dreiviertel der Healthcare-Organisationen haben während der Pandemie einen Cyberangriff verzeichnet. 63,3 Prozent halten ihr IT-Cybersicherheitsbudget für ausreichend, aber über der Hälfte fehlen Tools und Know-how.
Das deutsche Gesundheitswesen scheint hinsichtlich Maßnahmen gegen Cyberattacken noch Nachholbedarf zu haben. So glauben nur 34,7 Prozent der Healthcare-IT-Entscheidungsträger in Deutschland, über genügend Tools und das Know-how im präventiven Kampf gegen Cyberbedrohungen zur verfügen. Dennoch sind 63,3 Prozent der Meinung, ihr Budget für IT-Sicherheit sei für die Anforderungen der nächsten zwei Jahre ausreichend. Dies geht aus der Kaspersky-Studie “Patient Krankenhaus: zur IT-Sicherheitslage im Gesundheitswesen in Deutschland, Österreich und der Schweiz” hervor.
Studie zur Sicherheitslage im Gesundheitswesen
Laut Bundesministerium für Gesundheit (BMG) ist “für die erfolgreiche Weiterentwicklung unserer Gesundheitsversorgung das Vorantreiben der Digitalisierung die zentrale Voraussetzung”. Der wachsende Einsatz von – zum Teil auch komplexen – IT-Systemen legt allerdings auch die technologischen Schwachstellen im Gesundheitssystem offen. Insbesondere in Zeiten verstärkter Digitalisierungsinitiativen müssen Kliniken, Labore, Forschungseinrichtungen und Arztzentren verstärkt für die IT-Sicherheit ihrer Infrastruktur sorgen und entsprechend adäquate sowie nachhaltige Maßnahmen ergreifen.
Es gibt derzeit eine akute Bedrohungslage und viele Cyberangriffe auf das Gesundheitswesen. Über ein Viertel (26 Prozent) der von Kaspersky in Deutschland befragten Organisationen haben während der Pandemie mehr Attacken auf ihre IT-Infrastruktur erlebt. Insbesondere Spear-Phishing (43,5 Prozent) als Einfallstor stellt hierbei eine Gefahr dar. Ebenfalls sind Mitarbeiter, die über zu geringe Kenntnisse hinsichtlich digitaler Sicherheit verfügen oder die Sicherheitsvorschriften wissentlich ignorieren, ein Risiko, sagen 30 Prozent der in Deutschland befragten IT-Entscheidungsträger. Die Sorge, dass Patientendaten gefährdet seien, teilt mehr als ein Viertel (28 Prozent) aller Umfrageteilnehmer.
28 Prozent sehen Patientendaten in Gefahr
“Für Unternehmen, die im Gesundheitswesen tätig sind, ist es besonders wichtig, präventive Maßnahmen zum Schutz vor Cyberattacken zu treffen, denn der Schaden, der durch Cyberangriffe entstehen kann, geht oft über den finanziellen Aspekt hinaus und kann im schlimmsten Fall Leben gefährden”, sagt Christian Milde, General Manager Central Europe bei Kaspersky. “Hinzu kommt: Laut unserer Studie haben mit 72 Prozent fast drei Viertel der deutschen Unternehmen im Gesundheitssektor während der Pandemie mindestens einen Cyberangriff verzeichnet. Dies zeigt, wie wichtig ein leistungsstarker und proaktiver Cyberschutz für die zum Teil sehr vulnerablen Systeme in Krankenhäusern, Pflegeeinrichtungen oder in anderen Organisationen des Gesundheitssektors ist. Entscheidungsträger müssen jetzt aktiv werden und ihre Systeme vor Schadprogrammen und Cyberattacken präventiv schützen.”
Unternehmen müssen Proaktiv werden
“Ist die IT-Sicherheit gefährdet, kann das verheerende Folgen haben und bis hin zu ernsthaften Existenzsorgen in unserem Unternehmen führen”, so entsprechend auch die Aussage eines Umfrageteilnehmers aus dem Bereich ,Prävention, Gesundheitsförderung sowie Gesundheitliche und Pflegerische Versorgung’.
Doch was können Unternehmen proaktiv tun, um im Kampf gegen modernste Cyberangriffe gewappnet zu sein? Der IT-Sicherheitsexperte Kaspersky empfiehlt die wichtigsten Maßnahmen, die über den Standardschutz, wie herkömmliche IT-Sicherheitslösungen, regelmäßige Updates und Patches, hinausgehen und zeigt, wie der aktuelle Adaptierungsgrad zu den einzelnen Punkten in Deutschland aussieht.
Empfohlene Maßnahmen und Status Quo in Deutschland
- Für den Ernstfall einen Business Continuity Plan beziehungsweise einen Disaster Recovery Plan aufsetzen, der auch regelmäßig einer Prüfung hinsichtlich Sinnhaftigkeit und korrekten Mechanismen unterzogen wird. 67,3 Prozent der in Deutschland befragten IT-Entscheidungsträger im Gesundheitswesen verfügen über derartige Pläne für den Notfall. Die Experten des Kaspersky ICS CERT helfen bei einem grundlegenden Assessment und unterstützen bei der individuellen Konzeption eines Notfallplans.
- Unternehmen sollten ein dediziertes Budget für IT-Sicherheit bereithalten. Jedoch sind lediglich knapp zwei Drittel (63,3 Prozent) der Befragten der Auffassung, ihr IT-Sicherheitsbudget sei für künftige Anforderungen ausreichend.
- Cloud-Software und -Aktivitäten über spezielle Sicherheits-Tools oder -Services schützen: In Deutschland setzt dies gemäß Kaspersky-Studie nicht einmal die Hälfte (46,7 Prozent) der Unternehmen im Healthcare-Sektor um. Eine zentrale Sicherheitslösung wie Kaspersky Endpoint Security Cloud deckt den kompletten IT-Sicherheitsbedarf mittelständischer Unternehmen ab.
- Unterstützung durch externe Sicherheitsexperten suchen und Threat Intelligence wie ein externes Cyber Security Operations Center (SOC) nutzen. Solche Managed Detection and Response-Services [5] sind nicht nur für Großunternehmen interessant, sondern auch für den Mittelstand. Gerade einmal ein Drittel (37,3 Prozent) greift bislang auf derartige Expertise zurück und nur jedes fünfte Unternehmen (20,7 Prozent) aus dem deutschen Healthcare-Bereich setzt bisher auf ein eigenes SOC.
- Bestehende Sicherheitslösungen evaluieren und/oder nach einer (neuen) Lösung suchen. Immerhin ein knappes Drittel (32 Prozent) der Healthcare-Unternehmen in Deutschland machen sich hierzu aktuell Gedanken.
- Netzwerksegmentierung durchführen, das heißt kritische Systeme (wie Röntgengeräte, Computertomographie etc.) von der Büro-IT-Infrastruktur trennen: Diese wichtige Sicherheitsmaßnahme zum Schutz beispielsweise vor dem Verlust von Patientendaten setzen in Deutschland gerade einmal 28,7 Prozent um.
- Security Information and Event Management (SIEM) einsetzen. 27,3 Prozent der in Deutschland Befragten haben bereits ein SIEM.
- Die Schulung der Mitarbeiter ist von entscheidender Bedeutung für Cybersicherheit, denn menschliches Versagen aufgrund mangelnder Kenntnisse und mangelnden Bewusstseins sind die Hauptursachen für Cyber-Vorfälle. In Deutschland werden nur bei 26,7 Prozent der Unternehmen im Gesundheitssektor Cybersicherheitsschulungen abteilungsübergreifend für alle Mitarbeiter durchgeführt.
“Mit 58,7 Prozent stufen mehr als die Hälfte der IT-Entscheider im deutschen Gesundheitswesen die eigene Bedrohungslage als ,hoch’ ein”, ergänzt Christian Milde. “76,7 Prozent der Umfrageteilnehmer wollen deshalb auch mit einem vertrauenswürdigen externen IT-Sicherheitspartner zusammenarbeiten, um die eigenen Cybersicherheitsmaßnahmen zu stärken. Wir unterstützen Organisationen bei ihrem internen Sicherheitskonzept beispielsweise mit unserem globalen Threat Intelligence-Netzwerk, das detaillierte Einblicke in die aktuellen Cyberbedrohungen liefert. Kaspersky Threat Intelligence [7] bietet durch die Zusammenarbeit weltweit branchenführender Forscher- und Analystenteams die neuesten und zuverlässigsten Informationen über aktuelle Malware- und Botnet-Bedrohungen. Dies hilft Unternehmen dabei, die eigenen Sicherheitskontrollen zu optimieren und rechtzeitig auf potenzielle Gefahren reagieren zu können.”
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/