Security bei PCs im Gesundheitswesen oft schlecht

Die aktuelle Studie ,Resilience Obstacles in the Healthcare Industry' hat die Telemetriedaten von über einer Million im Gesundheitswesen eingesetzten PCs untersucht. Der Begriff Telemetrie beschreibt in der Softwaretechnik das Sammeln von Rohdaten, die automatisch an die Entwickler weitergegeben werden. Dabei fanden die Analysten des Unternehmens Absolute Security heraus, dass den Endgeräten viel zu oft stabile Sicherheitsstrukturen fehlen, was Cyberkriminellen buchstäblich Tür und Tor zu den Infrastrukturen im Healthcare-Bereich öffnet. Die Autoren der Studie hoben drei kritische Herausforderungen hervor, mit denen Führungskräfte im Bereich Sicherheits- und Risikomanagement (SRM) im Gesundheitswesen konfrontiert sind. Erstens wurde bei 15 Prozent der analysierten PCs festgestellt, dass kritische Sicherheitskontrollen nicht mit den internen Sicherheits- und Risikorichtlinien übereinstimmten oder sogar gänzlich auf den Geräten fehlten. Zu den untersuchten grundlegenden Security-Lösungen gehörten Data Protection, Endpoint-Protection-Services (EPP/XDR), Security Service Edge (SSE), VPN und Vulnerability-Management-Lösungen. Diese Ergebnisse würden zeigen, dass PCs und Netzwerken im Gesundheitswesen häufig eine wichtige erste Verteidigungslinie fehl, die Angreifer und Exploits aufhalten könne, so die Autoren.

Zweitens sei der durchschnittliche Windows-Endpunkt im Gesundheitswesen 48 Tage mit kritischen Sicherheits-Patches im Rückstand. Da nicht-gepatchte Schwachstellen eine der Hauptursachen für Sicherheitsverletzungen und Ransomware-Infektionen sind, führe dieses grundlegende Versäumnis in der Security-Hygiene dazu, dass Unternehmen Datenverletzungen und langwierige, störende Ausfälle riskieren.

Drittens nehme die Nutzung von KI zu. Mitarbeiter im Gesundheitswesens würden dabei häufig auf ChatGPT und andere generative KI-Plattformen zurückgreifen, die nicht HIPAA (Health Insurance Portability and Accountability Act)-konform sind. Das sei nicht nur hinsichtlich einer möglichen Gefährdung von Patientendaten sowie Verstößen gegen gesetzliche Vorschriften bedenklich, sondern zeige auch, dass Organisationen kaum in der Lage sind, die Nutzung von ,Schatten-KI' zu regeln. Obwohl es sich bei HIPAA in erster Linie um ein US-Gesetz handelt, könne es auch für deutsche Unternehmen relevant sein, wenn sie Gesundheitsdaten aus den USA verarbeiten oder darauf Zugriff haben, so die Autoren.

Cyber-Resilienz wird mittlerweile als eine wichtige strategische Voraussetzung eingeschätzt, damit Unternehmen ihre geschäftskritischen Endpoint-Security-Kontrollen und Geschäftsanwendungen stets aktiviert und voll funktionsfähig halten können, um sich gegebenenfalls schnell von Ransomware, BSOD-Ausfällen sowie störenden IT-Vorfällen zu erholen.

„Ransomware-Gruppen haben es weiterhin auf den Gesundheitssektor abgesehen und nutzen verwundbare Endpunkte aus, um den Betrieb zu stören und sensible Patientendaten zu stehlen. Gleichzeitig steigen die Compliance-Risiken, da Organisationen im Gesundheitswesen damit zu kämpfen haben, gesunde Sicherheitskontrollen aufrechtzuerhalten und KI-bezogene Bedrohungen zu überwachen“, so Thomas Lo Coco, Sales Manager Central Europe bei Absolute Security. „Mit einem proaktiven Resilienz-Ansatz können Krankenhäuser, Kliniken und Gesundheitsdienstleister Risikolücken schließen, regulatorische Verstöße vermeiden und sich nach einem Cyberangriff oder IT-Vorfall schnell wieder erholen.“