Cybersicherheit auf der Intensivstation

Ein Expertenbericht bestätigt, dass die US-amerikanischen Krankenhäuser und Kliniken ihre IT nur ungenügend schützen

Datum
13. Juni 2017
Autor

Um die IT- und Informationssicherheit des US-amerikanischen Gesundheitswesens steht es schlecht. Das bestätigt der lang erwartete Bericht «Report on Improving Cybersecurity in the Health Care Industry», den eine Taskforce aus 21 Sicherheitsexperten erstellt hat. Der Bericht deckt zahlreiche Schwachstellen auf und gibt über 100 Empfehlungen ab, wie die Sicherheit verbessert werden kann.

«Was wir durchgängig festgestellt haben, sind strategische Schwächen in den Sicherheitskonzepten», fasst Joshua Corman den Bericht zusammen, «die IT- und Informationssicherheit im Gesundheitswesen sind in einem kritischen Zustand». Corman ist Mitglied der Cyber Statecraft Initiative und der Health Care Industry Cybersecurity Task Force.

Die Taskforce listet in ihrem 96-seitigen Bericht mehr als 100 Empfehlungen ab, die in sechs Kategorien unterteilt werden können:

  • Die Verantwortung für und die Steuerung der IT-Sicherheit klar definieren und regeln.
  • Die Sicherheit sowie Widerstandsfähigkeit der IT und aller mobilen Geräte verbessern.
  • Genügend finanzielle und personelle Ressourcen für Schutz- und Ausbildungsmaßnahmen bereitstellen.
  • Alle Mitarbeitenden ausbilden und für das Thema Informationssicherheit sensibilisieren.
  • Maßnahmen entwickeln, um geistiges Eigentum wie Forschungsergebnisse besser vor Angriffen zu schützen.
  • Informationen über Angriffe, Bedrohungen oder wirksame Schutzmaßnahmen teilen und so das ganze Gesundheitswesen besser schützen.

Laut Bericht ist kein anderer Sektor im Jahr 2015 öfters angegriffen worden als das Gesundheitswesen. Krankenhäuser, Kliniken oder Arztpraxen können es sich nicht leisten, ihre sensiblen Patientendaten oder lebenswichtigen Systeme zu gefährden, und sind darum beliebte Opfer von Ransomware-Angriffen.

Einschätzung

In den USA werden mehr Krankenhäuser oder Kliniken erpresst als in Deutschland. Das heißt aber nicht, dass die Gefahr bei uns kleiner oder die Cybersicherheit besser geschützt ist. Zum einen sind uns die USA (auch bei Ransomware) einen Schritt voraus, zum anderen berichten die Opfer nur ungern über Angriffe, weil sie sich Sorgen um ihr Image machen. Fakt ist, dass auch das deutsche Gesundheitswesen im Visier erpresserischer Hacker steht. Darum lohnt es sich, den Bericht «Report on Improving Cybersecurity in the Health Care Industry» zu lesen und die eine oder andere Maßnahme daraus umzusetzen.

Zielgruppen

  • Management
  • IT- und IS-Verantwortliche
  • Interessierte Kreise