Trotz zahlreichen Vorkommnissen hinkt das Gesundheitswesen hinterher, sich ausreichend vor Cyberangriffen zu schützen.
Quelle: KU Gesundheitsmanagement
Cyber Security bezeichnet den Zustand oder Prozess des Schutzes und der Wiederherstellung von Netzwerken, Computersystemen, Mobilgeräten sowie Daten vor bzw. nach digitalen Angriffen.
Erhöhte Sicherheitsbedrohungen im Gesundheitswesen
Die Digitalisierung und Vernetzung des Gesundheitswesens verspricht enorme Verbesserungen sowohl für Qualität als auch Effizienz der Medizin. Die Entwicklung der IT-Struktur birgt jedoch auch Risiken:
Die digitale Patientenakte und Automatisierung klinischer Systeme bietet mit nicht-papierbasierter Dokumentation und automatisierten Prozessen eine Angriffsfläche für Hacker.
Bei vielen Gesundheitsdienstleistern herrscht eine rudimentäre IT-Landschaft.
Die Gefahr derWeitergabe von Patienten- bzw. Gesundheitsdaten sowohl intern beispielsweise durch Laptops als auch extern durch Schnittstellen und Cloud-Dienste ist gegeben.
Es bestehen Sicherheitslücken durch die heterogene Natur vernetzter Systeme und Anwendungen.
Ein Ausbau der Cyber Security ist mit Kosten verbunden. Gerade Krankenhäuser entscheiden sich, wenn es darum geht Investitionen zu tätigen, immer öfter für den Ausbau der Patientenversorgung und gegen den von Cyber Security und Datenschutz. Dabei stehen Gesundheitsorganisationen bei der Häufigkeit von Cyberangriffen mit an der Spitze. Jedoch die Anzahl der betroffenen Gesundheitsorganisationen, die dem Angriff nachgehen, gibt Anlass zur Sorge: Nur circa 13 Prozent geben an,mehr als einmal am Tag bekannte Versuche einer Cybersicherheitsverletzung nachzuvollziehen (Studie von KPMG: Health Care and Cyber Security. Increasing Threats Require Increased Capabilities).
Ansätze für Gesundheitseinrichtungen
Angesichts des sich wandelnden Ausmaßes und der Bedeutung von Cyberangriffen im Gesundheitswesen erfordert die Prävention, Überwachung und Bewältigung dieser Bedrohungen einen neuen Ansatz:
Einbezug der Cybersicherheit in die Technologie- und Netzwerkarchitektur über strategisches Design. Da viele Organisationen ihre Interkonnektivität durch Evolution erreicht haben, was zu unzureichenden Kontrollen führte, ist heutzutage in vielen Fällen die Neugestaltung eines Sicherheitsimplementierungsplans erforderlich. Investitionen in die Sicherheit müssen Teil einer zusammenhängenden, koordinierten digitalen Strategie werden.
Etablierung eines professionellen Cyber-Sicherheitsteams und eines Security Operations Center. Dabei ist die Ernennung einer Führungskraft zu empfehlen, die die Verantwortung für die Cybersicherheit trägt.
Sensibilisierung für und Verbesserung der Cybersicherheit. Cybersicherheit ist sowohl ein Geschäftsrisiko als auch ein Technologierisiko. Daher müssen Führungskräfte mit beiden vertraut sein.
Überblick über die Organisation bei der Implementierung der Cybersicherheit. Durch die Zusammenarbeit mit einer Vielzahl von Geschäftspartnern sind Gesundheitseinrichtungen zu erweiterten Wertschöpfungsketten geworden. Die Schnittstelle zu einem Drittanbieter birgt ein erhöhtes Cybersicherheitsrisiko. Es ist von entscheidender Bedeutung das inhärente Risiko der Beteiligung mehrerer Dritter zu verstehen und die damit einhergehenden Risiken zu identifizieren.
Autor: Prof. Dr. Nils Breuer, KPMG AG Wirtschaftsprüfungsgesellschaft, nilsbreuer@kpmg.com
Quelle: KU Gesundheitsmanagement 07/2019
