Wie kann die Cybersicherheit von Gesundheitseinrichtungen gewährleistet werden?
Die digitale Transformation im Gesundheitswesen hat die Art und Weise, wie Gesundheitsversorgung bereitgestellt und verwaltet wird, revolutioniert. Diese zunehmende Digitalisierung hat jedoch auch zu höheren Risiken für Gesundheitseinrichtungen geführt.
Laut ANSSI machten Krankenhäuser im Jahr 2023 10 % der Opfer von Ransomware in Frankreich aus.
Diese Situation veranlasste den Rechnungshof, sich mit dieser Frage zu befassen und einen Bericht mit dem Titel „Die IT-Sicherheit in Gesundheitseinrichtungen” zu verfassen, der im Januar 2025 veröffentlicht wurde.
Er beleuchtet die aktuellen Lücken in der Cybersicherheit im Gesundheitswesen und schlägt Lösungsansätze vor.
Gesundheitseinrichtungen und Cybersicherheit: ein besorgniserregender Kontext
Die digitale Entwicklung und ihre Folgen
In den letzten Jahren haben Gesundheitseinrichtungen digitale Tools eingeführt, um ihre Abläufe zu optimieren.
Neue Technologien finden sich in allen Abteilungen und auf allen Ebenen von Gesundheitseinrichtungen, von medizinischen Bildgebungsgeräten bis hin zu Krankenhausverwaltungssoftware.
Obwohl diese Fortschritte für die Verbesserung der Versorgungsqualität unerlässlich sind, erhöhen sie auch die Anfälligkeit für Cyberangriffe.
Gesundheitseinrichtungen verwalten sensible Daten, insbesondere persönliche und medizinische Informationen von Patienten, die bei Cyberkriminellen besonders begehrt sind.
Die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten müssen gewährleistet sein, um das Vertrauen der Patienten und den reibungslosen Betrieb der Dienste zu gewährleisten.
Beispielsweise kann ein Cyberangriff auf ein Krankenhaus den Zugriff auf elektronische Patientenakten beeinträchtigen und so Diagnosen und Behandlungen verzögern.
Eine Vielzahl von Cyberbedrohungen
Der Bericht des Rechnungshofs nennt mehrere Arten von Cyberangriffen, die auf die IT-Systeme von Gesundheitseinrichtungen abzielen können:
- Ransomware: Diese Schadsoftware verschlüsselt die Daten der Opfer und verlangt ein Lösegeld für die Wiederherstellung des Zugriffs. Solche Angriffe können ein Krankenhaus vollständig lahmlegen.
- Datenschutzverletzungen: Der Diebstahl von Krankenakten kann schwerwiegende Folgen haben, die von Identitätsdiebstahl bis hin zu Erpressung reichen.
- DDoS-Angriffe (Distributed Denial of Service): Sie zielen darauf ab, die Online-Dienste der Einrichtungen unzugänglich zu machen und damit einen Teil der Dienste de facto lahmzulegen.
- Phishing-Angriffe: Versuche, Krankenhausmitarbeiter zu kompromittieren, um Zugang zum Computernetzwerk zu erhalten oder persönliche Daten zu stehlen.
- Verunstaltung von Websites: Eine Technik, die häufig von Hacktivisten eingesetzt wird, um eine politische Botschaft mit großer Medienresonanz zu verbreiten.
Das französische Gesundheitssystem im Visier?
Laut ENISAist Frankreich innerhalb der Europäischen Uniondas am stärksten von Cyberangriffenbetroffene Land im Gesundheitswesen im weiteren Sinne (Krankenhäuser, Labore, Krankenkassen, Pharmaindustrie usw.), wie die folgende Infografik veranschaulicht.
Quelle: ENISA. Karte der zwischen Januar 2021 und März 2023 im Gesundheitswesen beobachteten Cybersicherheitsvorfälle
Diese Feststellung muss jedoch aus mindestens zwei Gründen relativiert werden. Erstens verfügt Frankreich über mehr Gesundheitseinrichtungen als andere Länder, wodurch sich die Angriffsfläche vergrößert.
Darüber hinaus sind französische Gesundheitseinrichtungen seit 2016 verpflichtet, alle schwerwiegenden Cybersicherheitsvorfälle zu melden, was nicht unbedingt in allen europäischen Ländern der Fall ist.
Dennoch bleibt die Cybersicherheit im Gesundheitswesen ein wichtiges Thema in unserem Land.
Diagnose der Cybersicherheit in Gesundheitseinrichtungen
Die wichtigsten festgestellten Mängel
Der Rechnungshof weist auf mehrere strukturelle und organisatorische Schwachstellen hin, die Gesundheitseinrichtungen erheblichen Cyberrisiken aussetzen:
- Unzureichende Regierungsführung
Viele Einrichtungen verfügen über keine klare Strategie für Cybersicherheit. Diese fehlende Governance resultiert oft daraus, dass diesen Themen zugunsten anderer budgetärer und betrieblicher Zwänge keine Priorität eingeräumt wird. Darüber hinaus sind nationale Richtlinien nicht immer auf die spezifischen Bedürfnisse lokaler Krankenhäuser zugeschnitten.
- Begrenzte personelle Ressourcen
Die Einrichtungen leiden unter einem eklatanten Mangel an Spezialisten für Cybersicherheit. Die für die Informationssysteme zuständigen Teams sind oft unterbesetzt und nicht ausreichend geschult, um den aktuellen Bedrohungen zu begegnen. Krankenhäuser haben Schwierigkeiten, Fachkräfte anzuwerben, die in anderen Branchen ein deutlich höheres Gehalt erzielen könnten. Infolgedessen sind 5 % der Stellen in den IT-Abteilungen von Krankenhäusern unbesetzt.
- Veraltete Systeme
Viele Einrichtungen verwenden weiterhin veraltete Geräte und Software. Diese Systeme, für die keine Updates mehr verfügbar sind, weisen Schwachstellen auf, die von Cyberkriminellen ausgenutzt werden können.
Quelle: Rechnungshof
- Unzureichende Sensibilisierung
Das Krankenhauspersonal, sei es in der Verwaltung oder im medizinischen Bereich, ist sich nicht immer der bewährten Praktiken im Bereich der Cybersicherheit bewusst. Dies kann zu riskantem Verhalten führen, wie z. B. der Verwendung schwacher Passwörter oder dem Anklicken von Phishing-Links.
Die Folgen von Sicherheitslücken
Cyberangriffe im Gesundheitswesen können schwerwiegende Folgen haben:
- Unterbrechung der Dienstleistungen : Die Nichtverfügbarkeit der Systeme kann eine Einrichtung dazu zwingen, bestimmte wichtige Dienste wie die Notaufnahme zu schließen, lebenswichtige Behandlungen zu verschieben, Aufnahmen zu verschieben usw.
- Beeinträchtigung der Pflege: Bei einem ausgefallenen IT-System ist es für das Krankenhauspersonal sehr schwierig, die Sicherheit der Patienten in der Einrichtung weiterhin zu gewährleisten. Wie soll man beispielsweise wissen, welcher Patient in welchem Zimmer liegt?
- Vertrauensverlust : Nach einem Cyberangriff, der zu einem Datenleck geführt hat, können Patienten und Partner die Fähigkeit der Einrichtung, streng vertrauliche Informationen zu schützen, in Frage stellen.
- Verwaltungs- und Finanzmanagement: Durch den Ausfall der Systeme können Verwaltungsabteilungen möglicherweise wichtige tägliche Finanzvorgänge (Rechnungen, Gehaltsabrechnungen usw.) nicht mehr verwalten.
- Hohe finanzielle Kosten : Nach Schätzungen von Krankenhäusern, die Cyberangriffe erlebt haben, können die Gesamtkosten eines Cyberangriffs unter Berücksichtigung der entgangenen Betriebseinnahmen bis zu 20 Millionen Euro betragen.
Es sei darauf hingewiesen, dass die Kosten für Cyberangriffe manchmal von der ARS über den regionalen Interventionsfonds übernommen werden, dies jedoch nicht systematisch geschieht. Einige betroffene Krankenhäuser können sich daher nach einem Cyberangriff in einer sehr schwierigen finanziellen Lage befinden.
Wie kann die Cybersicherheit von Gesundheitseinrichtungen verbessert werden?
Stärkung der Regierungsführung
Es ist unerlässlich, eine klare und zentralisierte Governance für Cybersicherheit einzurichten.
Dazu gehören die Ernennung eines Verantwortlichen für die Sicherheit der Informationssysteme (RSSI) in jeder Einrichtung sowie die Ausarbeitung geeigneter strategischer Pläne.
CISOs müssen über ausreichende Befugnisse verfügen, um Änderungen durchzusetzen und die Umsetzung von Sicherheitsrichtlinien sicherzustellen.
Erhöhung der personellen und technischen Ressourcen
Für Gesundheitseinrichtungen ist es unerlässlich, sowohl in die Einstellung von qualifiziertem Personal für den Schutz der Systeme als auch in die Erneuerung veralteter IT-Tools zu investieren.
In beiden Fällen ist natürlich der finanzielle Aspekt ein ebenso wichtiger wie einschränkender Faktor in einem sehr komplexen Haushaltskontext.
Förderung einer Kultur der Prüfung und Zusammenarbeit
Es sollten regelmäßige Audits durchgeführt werden, um Schwachstellen zu identifizieren und die erzielten Fortschritte zu verfolgen.
Gleichzeitig kann eine bessere Koordination zwischen den Gesundheitseinrichtungen ein entscheidender Faktor für die Widerstandsfähigkeit und ein Weg sein, um dem Mangel an finanziellen Mitteln zu begegnen.
Sensibilisierung der Mitarbeiter für Cybersicherheit
Schließlich ist die Schulung des Personals von entscheidender Bedeutung, um riskante Verhaltensweisen zu reduzieren. Es müssen gezielte Sensibilisierungskampagnen durchgeführt werden, um eine echte Cyber-Kultur innerhalb der Teams zu etablieren.
Das ist der Sinn der Lösung AvantdeCliquer , die kontinuierliche Sensibilisierung und praktische Maßnahmen anbietet, um zu lernen, wie man Phishing-Versuche vereitelt.
Der Rechnungshof weist darauf hin, dass Phishing je nach Jahr die häufigste oder zweithäufigste Ursache für Vorfälle ist, die dem Cert Santé gemeldet werden.
Mehr denn je muss daher der Mensch im Mittelpunkt des Schutzes digitaler Systeme in Gesundheitseinrichtungen stehen.
Mehr über das Angebot erfahren VorhervonCliquez für die Welt des Gesundheitswesens.
Fazit: Langfristige Begleitung erforderlich
Die IT-Sicherheit ist für den Gesundheitssektor von entscheidender Bedeutung. Auch wenn die Einrichtungen noch viele Lücken schließen müssen, enthält der Bericht des Rechnungshofs konkrete Empfehlungen zur Stärkung ihrer Widerstandsfähigkeit gegenüber Cyberbedrohungen.
Die fortschreitende Digitalisierung der Gesundheitsdienste erfordert ein kontinuierliches Engagement im Bereich der Cybersicherheit. Dazu gehört insbesondere die langfristige finanzielle Unterstützung von Gesundheitseinrichtungen.
Eine Initiative, die bereits durch das Programm „Cyberaccélération et résilience des établissements“ (CaRE) ins Leben gerufen wurde, das von 2023 bis 2027 eine Finanzierung in Höhe von 750 Millionen Euro für die Sicherheit von IT-Systemen vorsieht.
Dabei ist jedoch zu bedenken, wie der Rechnungshof betont, dass „das Ende des CaRE-Programms nicht das Ende der Notwendigkeit bedeutet, die Informationssysteme von Krankenhäusern zu sichern“.
DSI, RSSI, DPO, fordern Sie eine kostenlose Demonstration der vollständig automatisierten Lösung zur Sensibilisierung für Phishing an:
