Drei Lehren aus den Cyberattacken auf Kliniken in Deutschland

Was in den letzten Wochen in mehreren Krankenhäusern in Deutschland passiert ist, gehört zu den Albträumen jedes IT-Verantwortlichen. Ein User öffnet unbedacht ein E-Mail-Attachment, in dem sich eine bisher unbekannte Schadsoftware befindet. Innerhalb kürzester Zeit breitet sich der Virus im gesamten Netzwerk aus. IT-Systeme müssen heruntergefahren werden, Klinikanwendungen stehen nicht mehr zur Verfügung, Operationen können nicht wie geplant durchgeführt werden. Statt mit der elektronischen Patientenakte arbeiten Ärzte und Pflegekräfte wieder mit Kugelschreiber und Papier. Der wirtschaftliche Schaden für die Einrichtungen ist immens – und der Image-Verlust beträchtlich.

 

Drei Lehren lassen sich aus diesen Vorfällen ziehen:

 

      1. Die IT-Sicherheit im Krankenhaus muss regelmäßig überprüft werden: Jedem IT-Verantwortlichen im Gesundheitswesen ist bewusst, dass der Schutz von Patientendaten oberste Priorität hat. Allerdings ist das IT-Budget in der Regel knapp bemessen und die Personaldecke in vielen Einrichtungen sehr dünn. Nicht alle Sicherheitssysteme in Kliniken und Krankenhäusern sind daher heute auf dem neuesten technischen Stand. Umso wichtiger ist es, regelmäßige Sicherheits-Checks durchzuführen, um potentielle Schwachstellen zu identifizieren. Im Rahmen von Network Security Scans simulieren wir beispielsweise für unsere Kunden Angriffe von außen und innen und zeigen ihnen, wie sie diese abwehren können.
      2. Kliniken müssen sich auf immer ausgefeiltere Angriffe einstellen: Die Bedrohungslage für Gesundheitseinrichtungen hat sich verschärft. Hacker und Cyberkriminelle greifen Netzwerke mit aufwändig entwickelten Methoden an, um wertvolle Daten zu erbeuten oder Organisationen zu erpressen. Herkömmliche Sicherheitstechnologien wie zum Beispiel klassische Firewalls können gegen diese Bedrohungen nur wenig ausrichten. Benötigt werden stattdessen Technologien für die Advanced Threat Protection – wie zum Beispiel eine Sandboxing-Lösung. E-Mail-Attachments oder verdächtige Dateien werden dabei zunächst in eine isolierte Umgebung verschoben und dort genau analysiert, bevor sie im Netzwerk freigegeben werden. Auf diese Weise lassen sich die Risiken durch bisher unbekannte Schadsoftware – so genannte Zero Day Exploits – minimieren.
      3. Ohne aufmerksame Mitarbeiter geht es nicht: Investitionen in modernste Security-Technologien bleiben wirkungslos, wenn Mitarbeiter zu wenig über das Thema Informationssicherheit wissen und sich daher unvorsichtig verhalten. Aus diesem Grund bieten wir unseren Kunden Awareness-Schulungen an, um jeden einzelnen Anwender für mögliche Security-Risiken zu sensibilisieren. Im Krankenhausalltag mit immer mehr digitalen Workflows und steigender Arbeitsverdichtung müssen sichere Prozesse auf allen Ebenen etabliert werden. Dies funktioniert nur, wenn Mitarbeiter die wichtigsten Grundregeln zum Schutz von Patientendaten wirklich verinnerlicht haben.

 

Die Vorfälle in den letzten Wochen haben gezeigt, dass die Risiken für die Krankenhaus-IT mittlerweile sehr real sind. Es empfiehlt sich daher weder, Sicherheitsvorfälle herunterzuspielen, noch darauf zu hoffen, dass auch in Zukunft schon nichts Gravierendes passieren wird. Vielmehr benötigen Gesundheitseinrichtungen heute eine ganzheitliche Strategie zum Schutz von IT-Systemen und Patientendaten.

 

Nehmen Sie Kontakt mit uns auf, wenn Sie eine Beratung zu den aktuellen Security-Herausforderungen wünschen. Unsere erfahrenen Spezialisten sind in der Lage, Gesundheitseinrichtungen bei allen Facetten des Themas IT-Sicherheit zu unterstützen.

Spread the Word!Email this to someoneShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPrint this page


T: +49 (0) 9721 / 67594-10

VINTIN GROUP Löwe

HABEN SIE NOCH FRAGEN?