• Gesundheitseinrichtungen geraten zunehmend ins Visier von Cyberangriffen, da die von ihnen gespeicherten Daten äußerst wertvoll sind.

• Labore stehen vor besonderen Cybersecurity-Herausforderungen, darunter die Anfälligkeit medizinischer Geräte.

• Die Zusammenarbeit mit internen Cybersicherheitsexperten und -anbietern ist entscheidend, um sicherzustellen, dass die effektivsten Schutzmechanismen vorhanden sind

Gesundheitsorganisationen sind bereits großem Druck ausgesetzt. Gleichzeitig steigt die Häufigkeit von Cyberangriffen auf Gesundheitsorganisationen weltweit und es gibt keine Anzeichen dafür, dass diese abnehmen.

Angesichts der Tatsache, dass Gesundheitsorganisationen Teil der kritischen Infrastruktur vieler Länder sind, wächst verständlicherweise die Besorgnis über Cybersicherheitsprobleme. Besonders bedrohlich ist, dass Angriffe direkte Auswirkungen auf Patienten haben können, beispielsweise durch verzögerte oder nicht verfügbare Behandlungen. Ein kürzlich erfolgter Angriff auf einen Anbieter von Pathologiediensten in London hatte zur Folge, dass einige Krankenhausabteilungen nicht in der Lage waren, sich mit dem Hauptserver zu verbinden, was „erhebliche Auswirkungen“ auf die Erbringung der Dienstleistungen hatte. Bluttransfusionen und Testergebnisse wurden beeinträchtigt, Operationen abgesagt und Notfallpatienten mussten anderweitig umgeleitet werden.2

Bill O’Connell, Global Head of Product Security and Privacy, Roche Diagnostics, erklärt, was Gesundheitsorganisationen und Labore tun können, um sich vor Cyberangriffen zu schützen.

Frage: Warum ist die Gesundheitsbranche Ihrer Meinung nach häufig Ziel von Cyberangriffen?

Bill O’Connell: Gesundheitsdienstleister verfügen meist über eine enorme Menge an privaten Patientendaten, wie z. B. die Krankengeschichte, Behandlungsinformationen und Finanzinformationen. Sie speichern auch große Mengen an Mitarbeiterdaten, darunter Daten von Anbietern, Auftragnehmern, Beschäftigte und Lieferanten. Dieser Informationsgehalt und die Art und Weise, wie viele dieser Organisationen aufgebaut sind, machen Gesundheitsdienstleister aus mehreren Gründen zu attraktiven Zielen für Cyberkriminelle:

Erstens werden Gesundheitsdienstleister in der Regel über große interne Netzwerke betrieben, die sehr komplex sind. In einigen Fällen müssen aufgrund von alten Betriebsanforderungen ältere Netzwerkkonfigurationen gepflegt werden, damit kritische Systeme weiterhin unterstützt werden. Neuere Technologien, die dazu beitragen könnten, Malware oder Vorfälle einzudämmen, sind in der Regel teuer und können das Budget kleiner und mittlerer Organisationen übersteigen. So wurde beispielsweise im Jahr 2017 der nationale Gesundheitsdienst im Vereinigten Königreich (National Health Service, NHS) für mehrere Tage stillgelegt, wobei Tausende von Terminen und Operationen aufgrund eines Ransomware-Angriffs abgesagt werden mussten. Der Angriff nutzte eine Schwachstelle in der vom NHS verwendeten Version von Microsoft Windows aus, einem 15 Jahre alten Windows-System, für das Microsoft keine Sicherheits-Updates mehr bereitgestellt hatte.3,4

Zweitens verfügen Gesundheitsdienstleister über große Datenmengen, was bedeutet, dass selbst ein erfolgreicher Angriff in kleinem Maßstab Cyberkriminellen viele private Daten liefern kann, die im Darknet sehr lukrativ sein können. Der Grund dafür ist, dass Krankenakten zu den wertvollsten Vermögenswerten von Cyberkriminellen zählen. Sie schätzen ihren Wert auf 250 US-Dollar pro Krankenakte. Zum Vergleich: Kreditkartennummern bringen Cyberkriminellen etwa 5 US-Dollar, US-Sozialversicherungsnummern nur 1 US-Dollar ein.5

Zu guter Letzt wissen Cyberkriminelle, dass die Patientensicherheit und Patientenversorgung für Gesundheitsdienstleister oberste Priorität haben. Daher ist das Potenzial für Zahlungen von Lösegeld durch Ransomware oder andere Erpressungen größer. Um sicherzustellen, dass die Patienten nicht betroffen sind, werden viele Führungskräfte von Gesundheitsdienstleistern widerwillig das Lösegeld zahlen, um ihren Betrieb wieder in Gang zu bringen und die betrieblichen Auswirkungen für die Patienten möglichst gering zu halten. Im Februar 2024 kam es in den USA zu einer massiven Datenpanne durch die IT-Umgebung eines großen Gesundheitsdienstleisters, die sich auf Zahlungen und die Ausstellung von Rezepten auswirkte. Um den Systemausfall zu beenden, zahlte die Organisation 22 Millionen US-Dollar an die für den Angriff verantwortliche Ransomware-Gruppe.6

Frage: Glauben Sie in diesem Zusammenhang, dass Labore die Cybersicherheit ernst genug nehmen?

Bill O’Connell: Labore sind mit den Konzepten von Vertraulichkeit und Integrität, den Eckpfeilern von Cybersicherheit und Datenschutz, bestens vertraut. Sie haben die Aufgabe, ihrer Organisation genaue, zuverlässige und konsistente Ergebnisse zu liefern, damit ihre Mitarbeitenden den Patienten die beste Behandlung in kürzester Zeit bieten können. Deshalb nehmen sie sämtliche Auswirkungen auf die Patientensicherheit sehr ernst.

Die Herausforderung besteht darin, dass sie ihre Cybersicherheit-Verantwortlichkeiten mit denen ihrer IT-Abteilung und des Gesundheitsdienstleisters als Ganzes abwägen müssen, die unter zunehmendem externen Druck stehen. Viele globale Organisationen, Aufsichtsbehörden und Regierungen von Ländern bzw. Regionen arbeiten daran, die Cybersicherheitsanforderungen von Gesundheitsdienstleistern durch Vorschriften wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA und die Datenschutz-Grundverordnung (DSGVO) in Europa zu erhöhen.

Eines der Ziele dieser Vorschriften ist es, einen strengen Entwicklungs- und Betriebsrahmen zu schaffen, um sicherzustellen, dass die Systeme von Medizinprodukteherstellern besser vor Cyberangriffen geschützt sind. Medizinprodukte gelten als besonders anfällig, und zwar so sehr, dass das FBI 2022 eine Warnung ausgab, um darauf hinzuweisen, dass ungepatchte und veraltete Medizinprodukte eine Schwachstelle für Cyberangriffe sind.7

Bei laborbasierten Medizinprodukten besteht die Herausforderung darin, dass sich das Sicherheitsrisiko auf die Fähigkeit der Ärzte auswirkt, die Patientenversorgung sicherzustellen. Laborleiter müssen an Gesprächen über Cybersicherheit und Datenschutz teilnehmen, um sicherzustellen, dass sie für die Patientensicherheit und die betrieblichen, regulatorischen, akkreditierenden und rechtlichen Anforderungen des Labors eintreten.

Frage: Welche Best Practices können Labore anwenden, um ihre Cybersicherheit und ihren Datenschutz zu stärken?

Bill O’Connell: Es gibt einige zentrale Bereiche, die Labore bei der Cybersicherheit beachten können:

• Zusammenarbeit: Stellen Sie sicher, dass das Labor eine solide Beziehung zu seinem internen Cybersicherheitsteam pflegt. Cybersicherheit ist eine gemeinsame Verantwortung. Alle Beteiligten müssen zusammenarbeiten und dafür sorgen, dass sie über die neuesten Standards, Trends, Risiken und Technologien auf dem Laufenden bleiben.

• Segmentierung: Isolieren und segmentieren Sie alles. Laborgeräte benötigen definitiv keinen allgemeinen Internetzugang, und die Kommunikation sollte beschränkt sein. Sie sollten auf spezifische, einvernehmlich vereinbarte interne IP-Adressen und speziell auf detaillierte internetbasierte IP-Adressen beschränkt sein.

• Zero-Trust-Richtlinien: Arbeiten Sie im Rahmen einer Zero-Trust-Methode, um die Systemsicherheit zu erhöhen. Dabei gehen Sie davon aus, dass jeder Schritt eines Prozesses kompromittiert werden könnte. Es sollte nur essenzielle Kommunikation zugelassen werden, und alle Verbindungen sowie betrieblichen Anforderungen müssen überprüft werden, bevor Vertrauen gewährt wird.Denken Sie daran – erst verifizieren, dann vertrauen!

Frage: Wie sieht es bei Externen aus? Was sollte bei Vertriebspartnerschaften beachtet werden?

Bill O’Connell: Wenn Gesundheitsorganisationen und Anbieter von Medizinprodukten nicht im Sinne eines gegenseitigen Schutzes durch gesunden Menschenverstand zusammenarbeiten, steigt die Wahrscheinlichkeit deutlich, dass sich ein Problem auf die Verfügbarkeit eines Medizinprodukts auswirkt.

Anbieter müssen daher ihre ursprüngliche Rolle verlassen und langfristige Partner werden, insbesondere wenn es um neuere Technologien geht und darum, zu verstehen, dass neue Technologien neue potenzielle Cybersicherheitsbedrohungen schaffen. Da Systeme oder Komponenten aus der kontrollierten Laborumgebung migriert werden, sind eingehende Gespräche mit Anbietern erforderlich, damit sie die Anforderungen der Cybersicherheit wirklich erfüllen. Der Anbieter muss über Experten mit objektiven Nachweisen verfügen, um die Bandbreite der Cybersicherheits- und Datenschutzbestimmungen seiner Produkte im Detail zu beschreiben und zusätzlich zu erläutern, wie der Schutz umzusetzen ist. Der Anbieter muss auch seine Kompetenz in Bezug auf Schwachstellenmanagement, Patching und andere aktuelle Themen unter Beweis stellen, damit Sie sichergehen können, dass er ein vertrauenswürdiger Partner sein kann.

Frage: Wie sehen Sie die Zukunft der Cybersicherheit und des Datenschutzes im Labor?

Bill O’Connell: Im Zuge der Weiterentwicklung des Labors lagern Gesundheitsdienstleister viele Komponenten aus. Mit fortschreitender Entwicklung müssen sowohl das Labor als auch der Gesundheitsdienstleister und der Anbieter über geschulte Mitarbeitende verfügen, die sich gemeinsam mit der Technologie und den Anforderungen an die Patientensicherheit weiterentwickeln können.

Noch vor einigen Jahren war es undenkbar, Ressourcen außerhalb des Labors zu nutzen. Middleware wurde sogar in einem Seitenteil des klinischen Labors installiert und betrieben. Heute kann dieselbe Middleware im Labor, im Krankenhausnetzwerk oder cloudbasiert untergebracht sein. Das Labor von morgen wird sogar bis zu den Patienten nach Hause reichen.

Mit dem Fortschreiten der Technologie und der Verlagerung klinischer Geräte in patientenzentrierte Umgebungen werden Labore in einer dezentralisierten Atmosphäre arbeiten müssen, die auf cloudbasierten und Remote-Technologien beruht.Die Laborleiter von morgen müssen mit den Anbietern und dem internen Cybersicherheitsteam zusammenarbeiten, um dafür zu sorgen, dass Sicherheit, Datenschutz und Dezentralisierung integrale Bestandteile des Vertrags und der Konversation sind. Nur so bieten diese neuen Technologien mehr Sicherheit und Datenschutz, einen größeren Nutzen für die Gesundheitsdienstleister und eine bessere Patientenversorgung.

1. Check Point. (2023) Article available from https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/ [Accessed June 2024] 

2. BBC. (2024) Article available from https://www.bbc.co.uk/news/articles/c288n8rkpvno [Accessed June 2024] 

3. Acronis. (2020). Article available from https://www.acronis.com/en-gb/blog/posts/nhs-cyber-attack/ [Accessed June 2024] 

4. The Guardian. (2017). Article available from https://www.theguardian.com/society/2017/may/12/hospitals-across-england-hit-by-large-scale-cyber-attack [Accessed June 2024] 

5. Fierce Healthcare. (2021) Article available from https://www.fiercehealthcare.com/hospitals/industry-voices-forget-credit-card-numbers-medical-records-are-hottest-items-dark-web [Accessed June 2024] 

6. Forbes. (2024) Article available from https://www.forbes.com/sites/noahbarsky/2024/04/30/unitedhealths-16-billion-tally-grossly-understates-cyberattack-cost/ [Accessed June 2024] 

7. FBI. (2022). Article available from https://www.ic3.gov/media/news/2022/220912.pdf [Accessed June 2024]