Mit Unterstützung von Proofpoint befragte das Ponemon Institute 641 IT- und IT-Sicherheitsexperten in Gesundheitsorganisationen, die für die Umsetzung von Cybersicherheitsstrategien, einschließlich der Festlegung von IT-Cybersicherheitsprioritäten, der Verwaltung von Budgets und der Auswahl von Anbietern und Auftragnehmern verantwortlich sind.

Laut der Studie waren 89 Prozent der untersuchten Organisationen in den letzten 12 Monaten von Cyberangriffen betroffen. Die durchschnittliche Anzahl der Angriffe in dieser Gruppe lag bei 43. Die Befragten wurden gebeten, den teuersten einzelnen Cyberangriff in den letzten 12 Monaten auf einer Skala von weniger als 10.000 US-Dollar bis zu mehr als 25 Millionen US-Dollar zu schätzen. Die Antworten ergaben, dass die durchschnittlichen Gesamtkosten für den teuersten Cyberangriff bei 4,4 Millionen Dollar lagen. Darin enthalten waren alle direkten Barauslagen, direkte Arbeitsausgaben, indirekte Arbeitskosten, Allgemeinkosten und entgangene Geschäftsmöglichkeiten.

Mit durchschnittlichen Kosten von 1,1 Millionen Dollar war der Produktivitätsverlust die bedeutendste finanzielle Folge des Cyberangriffs. Trotz des Zusammenhangs zwischen Cyberangriffen und Patientensicherheit entstanden die geringsten Kosten nach einem Cyberangriff durch den Zeitaufwand, der erforderlich war, um die Auswirkungen auf die Patientenversorgung zu beheben (664.350 US-Dollar).

Der Bericht analysiert vier Arten von Cyberangriffen und ihre Auswirkungen auf Gesundheitsorganisationen, Patientensicherheit und Patientenversorgung:

  • Cloud-Kompromittierung. 75% der Befragten geben an, dass ihre Organisationen durch eine Cloud-Kompromittierung gefährdet sind. In den letzten zwei Jahren gaben 54% der Befragten an, dass ihr Unternehmen mindestens einmal von einem Cloud-Angriff betroffen war. Organisationen in dieser Gruppe hatten in den letzten zwei Jahren durchschnittlich 22 solcher Kompromittierungen zu verzeichnen.
  • Ransomware. 72% der Befragten glauben, dass ihr Unternehmen anfällig dafür ist einem Ransomware-Angriff zum Opfer zu fallen. Auf die Frage, welche Bedrohungen der Cybersicherheit ihren Unternehmen am meisten Sorgen bereiten, steht Ransomware an erster Stelle (60% der Befragten). In den letzten zwei Jahren hatten Unternehmen, die von Ransomware-Angriffen betroffen waren (41% der Befragten), durchschnittlich drei solcher Angriffe zu verzeichnen.
  • Angriffe auf die Lieferkette. 71% der Befragten gaben an, dass ihr Unternehmen durch Angriffe auf die Lieferkette gefährdet ist. 50% der Befragten gaben an, dass ihr Unternehmen in den letzten zwei Jahren mindestens einen Angriff auf die Lieferkette erlebt hat. Die in dieser Gruppe vertretenen Unternehmen hatten in den letzten zwei Jahren durchschnittlich vier Angriffe auf die Lieferkette zu verzeichnen.
  • Business Email Compromise (BEC)/Spoofing-Phishing. BEC-Angriffe umfassen ein breites Spektrum an Imitationsmethoden wie Spoofing, Phishing und Social Engineering. 64% der Befragten geben an, dass ihr Unternehmen für BEC-Angriffe anfällig ist. 51% der Befragten gaben an, dass sie in den letzten zwei Jahren mindestens einen BEC-Vorfall erlebt haben. Die Unternehmen in dieser Gruppe hatten in den letzten zwei Jahren durchschnittlich 3,5 BEC-Angriffe zu verzeichnen.

Organisationen im Gesundheitswesen sind anfällig für Cyberangriffe

Organisationen des Gesundheitswesens wissen, wie anfällig sie für die vier in dieser Studie untersuchten Cyberangriffe sind. Die Befragten wurden gebeten, die Anfälligkeit ihrer Organisationen für bestimmte Arten von Bedrohungen auf einer Skala von 1 = nicht anfällig bis 10 = stark anfällig zu bewerten. Wie gezeigt, erkennen fast alle Befragten die Bedrohung durch Cloud-Angriffe (75%), gefolgt von Ransomware-Angriffen (72%) und Angriffen auf die Lieferkette (71%). Ebenfalls hoch ist die Anfälligkeit von Organisationen im Gesundheitswesen für BEC/Spoofing-Phishing (64% der Befragten).

Die sechs größten Bedrohungen der Cybersicherheit

Unsichere medizinische Geräte und mobile Geräte gehören zu den größten Cybersecurity-Problemen im Gesundheitswesen. Im Durchschnitt haben Organisationen mehr als 26.000 mit dem Netzwerk verbundene Geräte.

64% der Befragten gaben an, dass sie sich Sorgen um die Sicherheit ihrer medizinischen Geräte machen, die einen erheblichen Einfluss auf die Patientensicherheit haben können. Beispiele für medizinische Geräte sind Herzschrittmacher und Insulinpumpen. 59% der Befragten gaben an, dass sie über unsichere mobile Anwendungen besorgt sind. Ransomware ist die zweitgrößte Bedrohung (60% der Befragten).

Eigene Grafik 1


→ Cloud-Angriffe und Angriffe in der Lieferkette waren die häufigsten Arten von Angriffen auf Organisationen des Gesundheitswesens.
Die Kompromittierung der Cloud resultiert daraus, dass Kriminelle sich Zugang zu Anmeldeinformationen (Benutzer-IDs und Passwörter) verschaffen. Die Folge ist in der Regel eine Kontoübernahme, bei der Kriminelle diese validierten Anmeldeinformationen verwenden, um Konten zu übernehmen, Betrug zu begehen und sensible Daten auf Systeme unter ihrer Kontrolle zu übertragen. Vierundfünfzig Prozent der Befragten gaben an, dass ihr Unternehmen in den letzten zwei Jahren von einer Cloud-Kompromittierung betroffen war. Die durchschnittliche Anzahl der Cloud-Kompromittierungen für diese Unternehmen betrug 22 in den letzten zwei Jahren.

→ 41% der Befragten gaben an, dass ihre Unternehmen in den letzten zwei Jahren durchschnittlich drei Ransomware-Angriffe erlebt haben.
Ransomware ist eine ausgeklügelte Malware, die den Zugriff des Opfers auf Dateien blockiert. Es gibt zwar viele verschiedene Arten von Ransomware, aber im Allgemeinen lassen sie sich in zwei Kategorien einteilen. Krypto-Ransomware verschlüsselt Dateien auf einem Computer oder Mobilgerät und macht sie instabil. Krypto-Ransomware nimmt die Dateien im Wesentlichen als Geiseln und fordert ein Lösegeld im Austausch für den Entschlüsselungsschlüssel, der zur Wiederherstellung der Dateien benötigt wird. Bei Locker-Ransomware handelt es sich um einen Virus, der grundlegende Computerfunktionen blockiert und dem Opfer im Wesentlichen den Zugriff auf seine Daten und Dateien auf dem infizierten Gerät verwehrt. Anstatt die Dateien zu verschlüsseln, verlangen die Cyberkriminellen ein Lösegeld, um das Gerät zu entsperren.

→ 50% der Befragten gaben an, dass ihr Unternehmen in den letzten zwei Jahren von einem Angriff auf die Lieferkette betroffen war. Die durchschnittliche Anzahl der Angriffe lag bei vier in den letzten zwei Jahren.
Angriffe auf die Identität von Lieferanten und die Kompromittierung von Daten erfolgen, wenn sich ein böswilliger Akteur als ein E-Mail-Konto in der Lieferkette ausgibt oder dieses erfolgreich kompromittiert. Der Angreifer beobachtet dann, ahmt nach und nutzt historische Informationen, um Szenarien zu entwerfen, mit denen er Mitarbeiter in der Lieferkette täuschen kann.

→ 51% der Gesundheitsorganisationen in dieser Studie hatten in den letzten zwei Jahren mindestens einen BEC-Angriff. Die Organisationen in dieser Gruppe hatten in den letzten zwei Jahren durchschnittlich 3,5 BEC-Angriffe.
BEC-Angriffe sind eine Form der Cyberkriminalität, bei der Organisationen des Gesundheitswesens mit E-Mail-Betrug angegriffen werden, um ein bestimmtes Ziel zu erreichen, das sich negativ auf die Zielorganisation auswirkt. Beispiele hierfür sind Rechnungsbetrug, Erpressung, Umleitung von Gehaltsabrechnungen und Vorschussbetrug.

Wie Cyberangriffe die gesundheitliche Betreuung beeinträchtigt und damit das Risiko für die Patienten erhöht haben

Von den Organisationen, die von in dieser Studie beschriebenen vier Angriffsarten betroffen waren, glauben 70% der Befragten, dass Angriffe auf die Lieferkette die Patientenversorgung nachhaltig gestört haben, gefolgt von BEC- und Ransomware-Angriffen, die 67% der Befragten als Beeinträchtigung für die Patientenversorgung benannten. Ransomware Angriffe wurden von 67% und Kompromittierung der Cloud von 64% der Befragten genannt.

Zu diesen Beeinträchtigungen gehören Verzögerungen bei Verfahren und Tests, die zu schlechten Ergebnissen, einer längeren Patientenverweildauer, einer Zunahme von Patienten, die in andere Einrichtungen verlegt oder umgeleitet werden mussten, einer Zunahme von Komplikationen bei medizinischen Verfahren und einem Anstieg der Sterblichkeitsrate geführt haben.

Ransomware-Angriffe beeinträchtigen die Patientensicherheit und die medizinische Versorgung jedoch mit größerer Wahrscheinlichkeit als andere Cyberangriffe. 64% der Befragten aus Organisationen, die einen Ransomware-Angriff erlebt haben, gaben an, dass dieser zu Verzögerungen bei Verfahren und Tests geführt hat, was teilweise sogar einer Erhöhung des Schweregrads der Krankheit als Konsequenz nach sich zog. 59% dieser Befragten gaben an, dass die Patienten aufgrund von Ransomware länger im Krankenhaus bleiben mussten, was eine Belastung für die Gesundheitsorganisationen darstellt.

Die Verlagerung sensibler Gesundheitsdaten in die Cloud birgt Gefahren

Organisationen, die einer Cloud-Kompromittierung unterlagen, verzeichneten in den letzten zwei Jahren durchschnittlich 22 solcher Vorfälle.

Eigene Grafik 2

67% der Befragten geben an, dass die Cloud, mobile Geräte, Big Data und das Internet der Dinge die Bedrohungen für Patientendaten und -sicherheit erhöhen. 59% der Befragten sagen, dass die Übernahme von Cloud-Konten ein erhebliches Sicherheitsrisiko darstellt. 47% benennen internes Phishing als Gefahrenquelle für Cloud-Konten.

Mangelnde Vorbereitung auf Cyber-Szenarien gefährdet Gesundheitseinrichtungen und Patienten

Während unsichere medizinische Geräte als die größte Bedrohung für die Cybersicherheit von Organisationen im Gesundheitswesen gelten, gibt nur etwa die Hälfte (51%) der Befragten an, dass ihre Organisation die Vorbeugung und Reaktion auf einen Angriff auf diese Geräte als Teil ihrer Cybersicherheitsstrategie vorsieht. Weniger als die Hälfte
der Befragten geben an, dass sie die Schritte zur Vorbeugung und Reaktion auf einen BEC-Angriff (48%) und/oder Angriffe auf die Lieferkette (44%) dokumentiert haben. Die meisten Unternehmen konzentrieren sich auf Maßnahmen zur Vorbeugung und Reaktion auf Cloud-Angriffe (63% der Befragten) und/oder Ransomware (62% der Befragten).

Fehlendes internes Fachwissen, unzureichende Personalausstattung und die Zusammenarbeit mit anderen Abteilungen sind Herausforderungen für eine effektive Cybersicherheitsstrategie. 53% der Befragten geben an, dass es ihren Unternehmen an internem Fachwissen mangelt, und weitere 46% der Befragten bemängeln, dass unzureichendes Personal eine Herausforderung darstellt. Das Arbeiten in Silos und die mangelnde Zusammenarbeit mit anderen Fachbereichen wirken sich ebenfalls auf die Wirksamkeit der Cybersicherheitsstrategie der Unternehmen der Befragten aus.

Die Gewährleistung der Sicherheit ohne Beeinträchtigung der Benutzerproduktivität gilt als wesentlicher Bestandteil der Cybersicherheitsstrategie von Unternehmen. Im Gesundheitswesen ist es von entscheidender Bedeutung, dass die Mitarbeiter produktiv sind und gleichzeitig hochsensible und vertrauliche Patientendaten wirksam geschützt werden. Produktivitätsverluste sind auch die höchsten Kosten, die bei der Reaktion auf einen Cyberangriff entstehen (1,1 Millionen US-Dollar).

Die Befragten wurden gebeten, bestimmte Schritte und Lösungen zur Verringerung von Bedrohungen der Cybersicherheit zu bewerten.

Eigene Grafik 3


Die drei wichtigsten Schritte sind die Verwendung adaptiver Zugriffskontrollen, um die am meisten gefährdeten Benutzer zu schützen, ohne die Produktivität anderer Benutzer zu beeinträchtigen (79% der Befragten), starke Authentifizierungskontrollen vor dem Zugriff auf Daten und Anwendungen in der Cloud (78% der Befragten) und die Unterstützung mehrerer Identitätsverbundstandards, einschließlich der Security Assertion Markup Language (SAML) (74% der Befragten).

Maßnahmen der Unternehmen zur Risikominimierung

Schulungs- und Sensibilisierungsprogramme sowie die Überwachung der Mitarbeiter sind die beiden wichtigsten Maßnahmen zur Verringerung des Insider-Risikos. Nachlässige Mitarbeiter stellen ein erhebliches Risiko für Organisationen im Gesundheitswesen dar. 59% der Befragten gaben an, dass ihre Organisation Maßnahmen ergreift, um das Risiko des mangelnden Bewusstseins der Mitarbeiter für Cybersicherheitsbedrohungen, insbesondere BEC, zu verringern. 63% der Befragten sagen, dass ihre Organisation ein regelmäßiges Schulungs- und Sensibilisierungsprogramm durchführt, und 59% der Befragten geben an, dass ihre Organisation die Handlungen der Mitarbeiter überwacht.

Um Phishing- und BEC-Angriffe einzudämmen, setzen Unternehmen auf Identitäts- und Zugriffsmanagement (56% der Befragten), Multi-Faktor-Authentifizierung (56% der Befragten) und Data Loss Prevention für E-Mails (52% der Befragten).

Als Teil ihrer Cybersicherheitsstrategie setzen Unternehmen am häufigsten Firewalls (84% der Befragten), Anti-Virus/Anti-Malware (81% der Befragten) und Privileged Access Management (70% der Befragten) ein.

Quelle: Cyber Insecurity in Healthcare: The cost and impact on patient safety and care. Ponemom Institute, 2022.