Technologische Innovationen wie die elektronische Patientenakte (ePA) oder die Ausstellungspflicht für E-Rezepte stellen das Gesundheitswesen vor immer größere Herausforderungen. Eine störungsfrei funktionierende Infrastruktur ist dabei genauso wichtig wie die Sicherheit der Patientendaten. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit kritisiert allerdings, dass „Server teilweise noch nicht mal minimal abgesichert“ wären und verweist beispielhaft auf den Fall des Terminservices Dubidoc, wo Millionen von Patientendaten frei zugänglich waren.
Statistiken über Sicherheitsvorfälle im Gesundheitswesen unterstreichen nicht nur die zunehmende Raffinesse von Cyberbedrohungen, sondern auch die entscheidende Rolle von Identitätssicherheitsmaßnahmen beim grundlegenden Schutz der Telematikinfrastruktur (TI) – des Gesundheitsnetzes, an das unter anderem Ärzte und Apotheker angeschlossen sind. Die Sicherheit von Gesundheitsdaten ist hier von entscheidender Bedeutung, und die Integrität von Gesundheitsdiensten hängt direkt mit der Cybersicherheitslage von Unternehmen zusammen.
Hohe Herausforderungen für die Betriebssicherheit im Gesundheitswesen
Als ethische Grundhaltung ihres Berufsstandes legen Ärzte den hippokratischen Eid ab. „Meine Verordnungen werde ich treffen zu Nutz und Frommen der Kranken, nach bestem Vermögen und Urteil; ich werde sie bewahren vor Schaden und willkürlichem Unrecht“, heißt es in der Schwurformel. Die Unantastbarkeit menschlichen Lebens und das unerschütterliche Engagement für die Patientenversorgung waren schon immer die Eckpfeiler der Medizin. Angesichts eines Digitalisierungsschubs und eskalierenden Cybersicherheitsbedrohungen steht die Gesundheitsbranche jetzt vor ganz neuen Herausforderungen, um diesen Ethikkodex einhalten zu können. Cyberbedrohungen stören kritische Dienste und schaden der wirtschaftlichen Leistungsfähigkeit von Gesundheitseinrichtungen — im schlimmsten Fall gefährden sie sogar menschliches Leben.
Der Hackerangriff auf die Uniklinik Düsseldorf ist ein anschauliches Beispiel für die gefährlichen Folgen mangelnder Cybersicherheit. In der Nacht zum 10. September 2020 wurde festgestellt, dass unbekannte Täter einen Ransomware-Angriff gestartet hatten und etwa 30 Server verschlüsseln konnten. Server waren deaktiviert und stürzten das größte Krankenhaus der Stadt ins Chaos. Operationen waren nicht mehr möglich, die Notaufnahme musste schließen. Möglicherweise kostete der Angriff sogar ein Menschenleben, weil eine schwerkranke Patientin in eine andere Einrichtung nach Wuppertal gebracht werden musste.
Darum ist die Sicherheit von Gesundheitsdaten so wichtig
Der Vorfall zeigt auf deutlichste Weise, wie ernst man Gefahren durch Cyberangriffe – insbesondere im Gesundheitswesen – nehmen und gegen Cyberbedrohungen gewappnet sein muss. Negative Auswirkungen können weit über finanzielle Verluste oder Reputationsschäden hinausgehen. Die Verbesserung der Informationssicherheit zählt zu den dringendsten Aufgaben, um Patientensicherheit, Betriebskontinuität und das grundlegende Vertrauen in die Gesundheitssysteme gewährleisten zu können. Deshalb legt der Gesetzgeber strenge Rahmenbedingungen und Standards für die Vertraulichkeit, Integrität und Verfügbarkeit von Gesundheitsinformationen fest. Die Einhaltung höchster Sicherheitsstandards beim Schutz von Patientendaten mindert somit auch das Risiko, von Geldbußen, Klageverfahren oder Reputationsschäden wegen Datenschutzverletzungen betroffen zu sein.
Die Auswirkungen vernachlässigter Sicherheit beim Schutz von Patientendaten sind weitreichend. So können Datenverstöße zu Identitätsdiebstahl, Finanzbetrug und sogar Erpressungsversuchen führen, wenn sensible Gesundheitsinformationen in die falschen Hände geraten. Angesichts einer immer engeren Vernetzung der Gesundheitssysteme mit elektronisch hinterlegten Patientenakten, telemedizinischen Diensten, mobilen Gesundheitstechnologien (mHealth) und Zugriffsmöglichkeiten aus der Ferne auf cyber-gestützte Gesundheitsdienste nehmen Ausmaß und Auswirkungen potenzieller Verstöße exponentiell zu. Eine digitale Vernetzung ist zwar vorteilhaft für die Patientenversorgung und die betriebliche Effizienz, sie bringt aber auch komplexe Herausforderungen für die Cybersicherheit mit sich, die proaktive und zielgerichtete Reaktionsmöglichkeiten erfordern.
Sicherer Fernzugriff und IT-Support im Gesundheitswesen
Gerade in Szenarien hoher Kritikalität, bei denen Präzision, Echtzeitdaten und fachlicher Input von größter Bedeutung sind, haben Remote-Support-Technologien das Gesundheitswesen grundlegend verändert. Einsatzszenarien von Remote-Support-Technologien sind vielfältig und verbessern die Patientenversorgung, indem ortsunabhängige Interventionsmöglichkeiten für Mitarbeiter oder Auftragnehmer bereitgestellt und Zugang zu spezialisiertem Fachwissen erleichtert werden.
In der Neurochirurgie und Radiologie beispielsweise bieten Remote-Support-Technologien revolutionäre Möglichkeiten für die Patientenversorgung. Bei komplizierten Eingriffen, welche die Überwachung von Hirnströmen oder das Auslesen von MRT-Bildern erfordern, können Ärzte den Fernzugriff auf interoperable Medizingeräte nutzen, um Echtzeitanalysen durchzuführen und Behandlungsempfehlungen zu geben. Solch eine digital gestützte Remote-Zusammenarbeit stellt sicher, dass Ärzte-Teams miteinander interagieren, fundierte Entscheidungen treffen und Behandlungen in der Akutversorgung anpassen können.
Die Digitalisierung im Gesundheitswesen schreitet schnell voran, was zwangsläufig eine Priorisierung von Cybersicherheitsmaßnahmen insbesondere beim Fernzugriff auf Patientendaten und interoperable Medizingeräte zur Folge haben muss. Erweiterter Remote Support zur Verbesserung der Patientenversorgung erfordert notwendigerweise angepasste Cybersicherheitsprotokolle. Die Technologien ermöglichen eine flexible Bereitstellung und Echtzeit-Interaktionen zur individuellen Patientenversorgung, aber leider setzen sie die medizinischen Geräte dadurch auch Bedrohungsakteuren aus, die permanent nach Sicherheitslücken und Angriffsmöglichkeiten suchen.
Hohe Identitätssicherheit und Privileged Access Management (PAM) zur Verbesserung der betrieblichen Effizienz
Die Folgen mangelhafter Sicherheitsvorkehrungen können fatal sein. Auf anschauliche Weise zeigte sich das beim WannaCry-Ransomware-Angriff des Jahres 2017, der zahlreiche Organisationen weltweit betraf — darunter den britischen National Health Service (NHS). Der Angriff nutzte Schwachstellen in veralteten Systemen aus, was in Großbritannien zu weitreichenden Störungen des Krankenhausbetriebs führte, medizinische Eingriffe verzögerte und die Patientenversorgung beeinträchtigte. Die finanziellen Auswirkungen waren immens, da dem NHS finanzielle Kosten in Höhe von etwa 92 Millionen Pfund entstanden.
Moderne, digitale Gesundheitsumgebungen bieten umfangreiche Vernetzungsmöglichkeiten über verschiedene Plattformen, Geräte und Systeme hinweg. Die Absicherung der Identität jedes Benutzers ist dabei die Grundlage für alle Cybersicherheitsmaßnahmen. Zur Erreichung der IT-Security-Ziele kommt daher dem Privileged Access Management (PAM) als umfassendem Strategieansatz eine entscheidende Bedeutung zu.
Das IT-Management von Berechtigungen fällt in den Aufgabenbereich des Identitäts- und Zugriffsmanagements (IAM). Durch Kombination von PAM und IAM ist eine differenzierte Kontrolle, Transparenz und Überprüfbarkeit aller Anmeldeinformationen, Berechtigungen und Zugriffe möglich. Sensible Gesundheitsdaten und Medizinsysteme stehen verifizierten und vertrauenswürdigen Personen zur Verfügung, was zugleich die Wahrscheinlichkeit von Cyberangriffen, Betriebsunterbrechungen und finanziellen Folgeschäden erheblich verringert.
Acht Vorteile von Privileged Access Management (PAM) für das Gesundheitswesen
Die wichtigsten Vorteile von Privileged Access Management-Lösungen für das Gesundheitswesen im Überblick:
- Reduzierung der Angriffsfläche: Einschränkung der Berechtigungen für Personen, Prozesse und Anwendungen, um die Angriffsfläche zu verringern und den Zugriff auf sensible Patienteninformationen, Finanzinformationen und interoperable Medizingeräte zu minimieren.
- Durchsetzung von Least-Privilege-Vorgaben: Beschränkung der Zugriffsrechte auf Dienste, die Benutzer für die Ausführung ihrer Aufgaben unbedingt benötigen, zur Minimierung potenzieller privilegierter Angriffsvektoren und der Wahrscheinlichkeit, dass Bedrohungsakteure durch Raub digitaler Identitäten unbefugten Zugriff auf kritische Patientendaten oder Fernüberwachungssysteme erhalten können.
- Minimierung von Insider-Bedrohungen: Durch das Entfernen von Administratorrechten und die Implementierung von Least Privilege und Just-in-Time-Zugriff lässt sich das Risiko für Patientendaten und Finanzinformationen durch Insider-Bedrohungen mit übermäßigem Zugriff minimieren.
- Anwendungskontrolle: Zulassungslisten, Sperrlisten und graue Listen stellen sicher, dass Benutzer nur im richtigen Kontext auf legitime, autorisierte Anwendungen zugreifen können. Das Risiko sinkt, dass kritische Infrastrukturen und Patientenversorgungs-/Überwachungssysteme von Malware oder Ransomware infiziert werden.
- Remote Access: Detaillierte Kontrolle über den Fernzugriff von Drittanbietern, Auftragnehmern und Mitarbeitern, Verbesserung der Transparenz und Kontrolle über Sitzungen und Optimierung des Zugriffsmanagements auf Medizingeräte, um unbefugte Datenzugriffe oder Systemmanipulationen verhindern, Wartungsaufgaben erledigen und erwünschtes Nutzerverhalten durchsetzen zu können.
- Überwachung und Verwaltung privilegierter Sitzungen: Echtzeitüberwachung aller privilegierten Sitzungen und Erkennung von Anomalien — unabhängig davon, ob es sich um den Zugriff auf Patientendaten, Finanzinformationen oder Fernüberwachungssysteme handelt.
- Nachweis von IT-Compliance: Durchsetzung von IT-Compliance-Vorgaben im Gesundheitswesen durch Einhaltung der Vertraulichkeit privilegierter Zugriffe und Dokumentation aller privilegierten Aktivitäten.
- Einhaltung von Cyberversicherungsanforderungen: Ransomware-Angriffe und Lösegeldzahlungen beeinträchtigen das Finanzergebnis von Cyberversicherungen und bedrohen ihre Existenz. Die Cyberversicherungsbranche setzt daher PAM-Kontrollen zur Risikominimierung durch, um Bedrohungen stoppen und wirksame Instrumente zur Reduzierung der Haftungskosten nutzen zu können.
Auf geschäftlicher Ebene kann die Stärkung Ihres Identitätssicherheits-Frameworks den Betrieb kosteneffizient ausgestalten, indem Zugriffskontroll- und IT-Compliance-Prozesse automatisiert werden. In der Folge sinkt der Verwaltungsaufwand für das IT-Personal und die Einhaltung von gesetzlichen Vorgaben wird erleichtert. Die Automatisierung der Prozesse stellt sicher, dass Zugriffsrechte gemäß aktualisierten Richtlinien gewährt und widerrufen werden, wenn sie nicht mehr benötigt werden (oder wenn ein Mitarbeiter das Unternehmen verlässt), was zu einer sicheren und effizienten Betriebsumgebung führt.
Die nächsten Schritte
Gut implementierte Identitätssicherheits- und PAM-Strategien können die Angriffsfläche stark einschränken und das Potenzial für unbefugten Zugriffsmissbrauch minimieren. Sie stellen sicher, dass Benutzer nur die Berechtigungen erhalten, die zur Erfüllung ihrer medizinischen Arbeit unerlässlich sind — und diese Zugriffsrechte nur für einen begrenzten Zeitraum zur Verfügung stehen. Durch strenges Management von High-Level-Zugangspunkten können Organisationen im Gesundheitswesen ihr Risiko von Cyberangriffen erheblich verringern und die Auswirkungen potenzieller Angriffe minimieren.
Bedrohungsakteure werden in absehbarer Zeit nicht verschwinden. Durch Einhaltung des Prinzips der geringsten Zugangsrechte und Installation proaktiver Cybersicherheitsvorkehrungen können Gesundheitsorganisationen einen sicheren und effizienten Betrieb aufrechterhalten, der nicht nur profitabel ist, sondern durch den Schutz personenbezogener Daten auch das Patientenvertrauen stärkt.
Kontaktieren Sie uns direkt, um weitere Informationen zur Unterstützung von IT-Anforderungen im Gesundheitswesen und zum Schutz von Gesundheitsdaten durch Identitätssicherheit und PAM mit BeyondTrust zu erhalten.
![Photograph of Allen Longstreet](https://assets.beyondtrust.com/assets/images/user-photos/_people/MicrosoftTeams-image.png?auto=format&q=80)
Allen Longstreet, Content Marketing Writer
Allen is a content marketing writer at BeyondTrust. He has a wealth of experience building content strategy for tech start ups and SAAS businesses. He has a passion for video production, creative storytelling, and the intersection between the two.