Hacker und Mitarbeiter bedrohen deutsches Gesundheitswesen

Eine umfangreiche Studie des IT-Sicherheitsunternehmens Kaspersky belegt: Die digitale Bedrohungslage in Krankenhäusern, Pflege- und Forschungseinrichtungen ist extrem hoch. Vor allem in Deutschland sollen die eigenen Mitarbeiter das größte Risiko sein.

Das Bundesministerium für Gesundheit setzt auf die zunehmende Digitalisierung des Gesundheitswesens. Doch wie sicher ist die IT-Infrastruktur der Branche in Deutschland? Kaspersky hat im Rahmen einer neuen Studie über 250 IT-Entscheidungsträger aus dem Gesundheitswesen zur IT-Sicherheitslage in Deutschland, Österreich und der Schweiz befragt.

Speziell die Studienteilnehmer aus Deutschland sehen demnach die eigenen Mitarbeiter als größtes Sicherheitsrisiko für die eigene Organisation – gleichzeitig wird aber auch hierzulande im Vergleich zu den alpenländischen Nachbarn weniger in deren Schulungen investiert. Hinzu kommen laut einem Drittel der Befragten in Deutschland fehlende Tools und mangelndes Know-how für präventive IT-Sicherheitsmaßnahmen – beispielsweise um Gefahren im Vorfeld zu erkennen.

Hohes Angriffsniveau in der Pandemie

Dass die deutsche Gesundheitsbranche ein konstant hohes Angriffsniveau seit Beginn der Covid-19-Pandemie verzeichnet, beweist zudem, dass in puncto IT-Sicherheit noch ein paar Schritte zu gehen sind. 72 % und damit fast drei Viertel der deutschen Unternehmen im Gesundheitssektor erlebten während der Pandemie mindestens einen Cyberangriff auf ihre Organisation. Im Ländervergleich mit Österreich und der Schweiz blieb die Bedrohungslage damit in Deutschland am konstantesten: So gaben hierzulande 31,3 % an, ein gleichbleibendes Niveau an Cyberangriffen im Vergleich zum Zeitpunkt vor der Pandemie erlebt zu haben.

„Nahezu zwei Drittel der Befragten – 58,7 % in Deutschland und 61,4 % in der Region DACH – aus dem Gesundheitswesen stufen die aktuelle digitale Bedrohungssituation für sich selbst als hoch ein“, bestätigt Christian Milde, Geschäftsführer Central Europe bei Kaspersky. Das zeige, wie wichtig ein leistungsstarker Cyberschutz für die zum Teil sehr vulnerablen Systeme in vielen Healthcare-Bereichen, beispielsweise in Krankenhäusern, Pflegeeinrichtungen oder auch in der Forschung, Beratung und im Arzneimittelbereich, sei. Milde fordert daher: „Entscheidungsträger müssen jetzt aktiv werden und ihre Systeme vor Schadprogrammen und Cyberattacken präventiv schützen.“

Persönliche Daten im Visier

Die meisten Cybersicherheitsprobleme entstanden in der Gesundheitsbranche in Deutschland durch Spear-Phishing-Attacken (43,5 %). Dabei werden gefälschte Webseiten, E-Mails und Kurznachrichten eingeschleust, um an persönliche Daten eines Internetbenutzers zu gelangen. Danach folgt Spyware (31,5 %), Software, die Daten von Nutzerinnen und Nutzern ausspäht, und generischen Malware-Angriffe (27,8 %). Gezielte Angriffe gab es zu 25,9 %. Erpresserattacken über Ransomware (25 %), DDoS-Attacken (22,2 %), die Server mit Daten überfluten, und ungepatchte, also nicht aktuell korrigierte, Programme (18,5 %) bilden hier die untere Hälfte der Cyberbedrohungen im deutschen Gesundheitswesen ab. Das ergab die Studie.

Cyberrisiko Mitarbeiterinnen und Mitarbeiter

Kaspersky berichtet, dass ein Umfrageteilnehmer aus dem Bereich Prävention und Gesundheitsvorsorge auf die offen gestellte Frage „Was ist Ihre größte Sorge in Bezug auf die IT-Sicherheit in Ihrem Unternehmen?“ geantwortet hätte: „Die Sorglosigkeit der Mitarbeiter in Bezug auf IT-Sicherheit in mehreren Aspekten.“ Zwei andere Stimmen aus demselben Bereich führten weiter aus: „Der Mensch ist immer ein Faktor, wenn es um Sicherheit geht. Wenn ein Mitarbeiter Informationen preisgibt, kann kein Sicherheitssystem helfen.“ Und: „Zu wenige Mitarbeiter sind geschult.“ Individuelle Aussagen, die sich in der Studie widerspiegeln.

„30 % der von uns befragten IT-Entscheidungsträger in Deutschland sehen insbesondere ihre Mitarbeiter und deren fehlendes Cybersicherheitsbewusstsein als größtes IT-Sicherheitsrisiko,“ stellt Christian Milde fest. „Die gute Nachricht ist: Durch entsprechende Weiterbildungen und Kurse, auch durch externe IT-Sicherheitsexperten können alle Mitarbeiter, egal welcher Abteilung, individuell über den richtigen Umgang mit potenziellen digitalen Gefahren in ihrem jeweiligen Zuständigkeitsbereich umfassend geschult werden.“

Allerdings kann nur jeder vierte der an der Kaspersky-Studie teilnehmenden IT-Entscheider bestätigen, dass alle Mitarbeiter umfassend hinsichtlich Cybersicherheit im Unternehmen geschult sind.

Sorge um Verlust von Patientendaten

Darüber hinaus sorgen sich die befragten IT-Entscheider in Deutschland aus dem Gesundheitswesen um einen möglichen Verlust sensibler Patienten- und Unternehmensdaten. Mit 24 % sieht knapp ein Viertel der Befragten dies als größte Cyberbedrohung, da der Verlust von Patientenakten „im schlimmsten Fall bedeutet, dass Patienten sterben“, so drastisch formulierte das ein deutscher Mitarbeiter aus dem Bereich Vorsorge.