Bericht zur Cyber-Resilienz 2023
Das ist Artikel Teil 8 von 14 In diesem Bericht.
August 01, 2023 / 6 Lesezeit in Minuten
Das Cyber-Profil des Gesundheitswesens hat sich zwar verbessert, aber beim Thema Resilienz bleibt noch einiges zu tun
Die Umstellung auf das Internet der Dinge stellt einen enormen kulturellen und technologischen Wandel für den Sektor dar, und jedes Unternehmen im Gesundheitswesen sollte sich auf die Entwicklung von Strukturen zur Steigerung seiner Cyber-Reife fokussieren.
Wesentliche Erkenntnisse
- Die Kunden meldeten verbesserte Cyber-Risikoprofile, wobei die Mehrheit von ihnen infolgedessen von „basic“ auf „managed“ wechselte.
- Die demnächst in der EU umzusetzende Richtlinie zur Netz- und Informationssicherheit (NIS2) wird voraussichtlich zu einer weiteren Verbesserung im Umgang mit Risiken führen.
- Unternehmen sollten dann regelmäßig Bewertungen in Bezug auf technische Schutzmaßnahmen, Kontrollreife, finanzielle Auswirkungen und Versicherbarkeit durchführen.
Aus Sicht der Cyber-Sicherheit ist die Gesundheitsbranche wie kein anderer Sektor einem Risiko ausgesetzt. Bei zu treffenden Entscheidungen muss stets auf die Sicherheit und das Wohlergehen der Patienten geachtet werden, und während die Krankenhaussysteme in der Bewältigung von Unternehmensrisiken wie z. B. Naturkatastrophen geübt und gut darauf vorbereitet sind, lässt die Resilienz im Hinblick auf Cyber-Risiken möglicherweise noch zu wünschen übrig. Die Gesundheitsbranche, die noch immer von den Auswirkungen der Pandemie betroffen ist, steht vor schwierigen Herausforderungen. Nach zwei Jahren des Kampfes gegen COVID-19 ist der offiziell verhängte öffentliche Gesundheitsnotstand für den Sektor im Mai 2023 ausgelaufen, und die Krankenhäuser und Kliniken sehen sich weiterhin mit einem Mangel an Pflegekräften und Vergütungsforderungen der Mitarbeiter konfrontiert1. Neben dem Bedarf an mehr Personal für die Patientenversorgung fehlen auch Talente in der Informationstechnologie (IT)2. Aus unserer Erfahrung wissen wir, dass Gesundheitsorganisationen ihre IT häufig an kleinere Unternehmen auslagern, die möglicherweise über ein anderes Maß an Sicherheit oder IT-Kontrollen verfügen als größere, etabliertere Anbieter oder sogar die Gesundheitsorganisation selbst. Möglicherweise stellen sie auch Leiharbeitnehmer oder Vertragsarbeiter aus anderen Regionen ein, was dazu führt, dass die Sicherheit der Daten, die in das Netzwerk des Unternehmens hinein- und wieder rausfließen, nicht gewährleistet ist.
Dieser Mangel an IT-Fachkräften einerseits korreliert leider mit einer stets wachsenden technologischen Präsenz und einer immer größer werdenden Angriffsfläche auf der anderen Seite. Organisationen im Gesundheitswesen müssen heutzutage ein neues Maß an digitaler Innovation erreichen, um mit vielen Lösungen Schritt halten zu können: von der Integration hybrider Cloud-Technologie bis zum Einsatz von Telemedizinanwendungen mit künstlicher Intelligenz (KI) und tragbaren Geräten. Und je mehr Internet-Konnektivität ein Unternehmen durch neue Tools und Anwendungen schafft, desto größer wird die Angriffsfläche für Cyber-Angriffe. Diese komplexen, vernetzten Systeme ermöglichen mehrere Einstiegspunkte, und das durch Dritte und Vierte bedingte Risiko ist größer.
Der Exfiltration sensibler Daten und dem Diebstahl geistigen Eigentums wird in den Bereichen Biowissenschaften und Gesundheitswesen die höchste Aufmerksamkeit gewidmet, unabhängig davon, ob diese Bedrohungen von böswilligen Insidern, mit Regierungs- oder Aktivistengruppen verbundenen Hackern oder von Ransomware ausgehen3. Nach zahlreichen Fusionen und Übernahmen in den letzten Jahren sieht sich die Branche mit Sicherheitsrisiken konfrontiert, die unter anderem die Datenmigration bei der Konsolidierung von Systemen betreffen. Doch die Gefahr ist nicht nur finanzieller Natur. Cyber-Sicherheitslücken in medizinischen Geräten und bei Medizintechnik-Unternehmen können für Menschen, die auf eine sofortige oder ständige Versorgung mit Geräten wie Herzschrittmachern und Insulinpumpen angewiesen sind, lebensbedrohlich sein.
Die Umstellung auf das Internet der Dinge stellt einen enormen kulturellen und technologischen Wandel dar. Jede Gesundheitsorganisation muss sich auf die Entwicklung von Strukturen zur Steigerung ihrer Cyber-Reife konzentrieren, während sie gleichzeitig in einem zunehmend regulierten und klagefreudigen Umfeld tätig ist. Patienten, Versicherer und Aufsichtsbehörden setzen die Branche unter Druck, Cyber-Resilienz-Standards zu erfüllen, und es werden bei Nichteinhaltung teilweise empfindliche Strafen verhängt4. Gesetze wie der Health Insurance Portability and Accountability Act (HIPAA) und der Health Information Technology for Economics and Clinical Health Act (HITECH) erlegen Geschäftspartnern, Anbietern und sonstigen Dienstleistern Haftpflichten auf. Aufgrund dieser komplexen Haftungskette müssen Gesundheitsorganisationen Cyber-Risiken ganzheitlich betrachten und Strategien für den Risikotransfer und die Risikominderung genauestens planen. Cyber-Versicherungsträger verlangen inzwischen ein Mindestmaß an Cyber-Sicherheitskontrollen, um einen Cyber-Versicherungsschutz zu erhalten oder zu behalten. Organisationen des Gesundheitswesens müssen schon seit vielen Jahren die technischen Anforderungen der HIPAA-Sicherheitsrichtlinie erfüllen, aber nach Überprüfung der uns vorliegenden Daten wird die Cyber-Reife aufgrund der zunehmenden Anzahl von Cyber-Angriffen immer genauer unter die Lupe genommen.
Aon Kundenbericht: Gesundheitsbranche und Risiko-Reifegrad
Der durchschnittliche Prozentsatz des IT-Budgets, der den Angaben zufolge für Sicherheit ausgegeben wird, stieg ebenfalls weltweit an, wobei Gesundheitseinrichtungen angaben, 8 Prozent des IT-Budgets für Sicherheit ausgegeben zu haben.
Gemäß der CyQu-Bewertung von Aon5 verbesserte sich der Gesamtwert für das Cyber-Risiko im Jahr 2022 für mittelständische Kunden von 2,6 auf 2,8 (auf einer Skala von 4), und 70 Prozent der Unternehmen meldeten Werte von über 2,5 im Jahr 2022. Dies deutet darauf hin, dass sich die Unternehmen auf einer „basic“ Stufe der Cyber-Reife befinden, sich aber der Stufe „managed“ nähern. Bei Großunternehmen und Weltkonzernen verbesserte sich das Gesamtrisikoprofil von „basic“ auf „managed“, und mehr als 80 Prozent der Unternehmen meldeten Scorewerte von über 2,5. Die sich abzeichnenden Auswirkungen der Richtlinie über Netz- und Informationssicherheit (NIS2) werden voraussichtlich zu einer weiteren Verbesserung der Risikoprofile führen.
CyQu-Risiko-Scorewerte für Kundensegmente des Gesundheitswesens und der Sozialhilfe
Jahresumsatz (Gruppe) | 2020 | 2022 | Veränderung |
---|---|---|---|
Weltkonzern | 2.1 | 2.9 | +0.8 |
Großunternehmen | 2.0 | 2.8 | +0.8 |
Mittelständisch | 2.6 | 2.8 | +0.2 |
KMU | 2.3 | 2.5 | +0.2 |
CyQu-Risiko-Reifegrad-Scoring
Initial: 1.0 - 1.9
Basic: 2.0 - 2.5
Managed: 2.6 - 3.4
Advanced: 3.5 - 4.0
In den USA meldeten die Gesundheitsorganisationen zwar insgesamt eine Verbesserung des Reifegrads, aber nur in vier von neun IT-Kontrollbereichen erzielten sie wirkliche Fortschritte. Die von Aon erhobenen Daten für Red-Flag-Kontrollen für Zusatzanträge in Bezug auf Ransomware deuten darauf hin, dass US-Gesundheitsunternehmen für den Abschluss von Versicherungen eine signifikante Verbesserung bei der Durchführung wichtiger Multi-Faktor-Authentifizierungskontrollen (MFA) meldeten (77 Prozent gegenüber 64 Prozent im Jahr 2021). Wir haben diese Verbesserung erwartet, da den Meldungen zufolge Ransomware zu den drei größten Risiken für Organisationen im Gesundheitswesen gehört und der Versicherungsmarkt den verstärkten Schwerpunkt auf MFA vorangetrieben hat. Die Anbieter sollten sich regelmäßig auf Sicherheitslücken überprüfen lassen und die gleichen strengen Cyber-Sicherheitskontrollen durchführen, wie sie von den meisten Cyber-Versicherern verlangt werden.
Britische Gesundheitseinrichtungen gaben an, dass die Umsetzung von IT-Kontrollen im Jahr 2022 in allen Kategorien weniger fortgeschritten war als die von vergleichbaren US-amerikanischen Einrichtungen. Laut den von Aon erhobenen Daten für Red-Flag-Kontrollen für Zusatzanträge in Bezug auf Ransomware haben Unternehmen 63 Prozent der Netzwerk- und Datensicherheitskontrollen nicht durchgeführt. Als sicherster Kontrollbereich für britische Gesundheitsorganisationen wurde das Patchmanagement genannt, bei dem fast 80 Prozent der Kontrollen als angemessen erachtet wurden.
Maßnahmen für Organisationen des Gesundheitswesens
Die eigenen Risiken verstehen
Durchführung regelmäßiger Bewertungen in Bezug auf technische Schutzmaßnahmen, finanzielle Auswirkungen, den Kontroll-Reifegrad und die Versicherbarkeit. Herausfinden, welche Schwachstellen zu erheblichen menschlichen oder materiellen Verlusten führen könnten, und Quantifizierung dieser potenziellen Verluste, um besser informierte Budgetentscheidungen im Rahmen eines Modells zur Rentabilität von Sicherheitsinvestitionen zu treffen. Die Kenntnisse über das Risikoprofil und die Sicherheitslage des Unternehmens nutzen, um praktikable Lösungen für den Risikotransfer zu entwickeln. Darüber hinaus die Untersuchung von Drittanbietern und Verkäufern, um Bedrohungen in der Lieferkette zu mindern, sowie Durchführung von Insider-Risikobewertungen, um die wachsende Bedrohung durch böswillige, vorsätzlich handelnd Insider-Bedrohungsakteure besser zu bewältigen.
Verknüpfen des EEOC mit Cyber-Risiken
Die Stärken des Enterprise Emergency Operations Centers (EEOC) Ihres Unternehmens voll ausschöpfen, um die Cyber-Resilienz zu erhöhen. Planung von Cyber-Risikoszenarien, Entwicklung von Incident-Response-Plänen und Einbeziehung von Cyber-Risiken in laufende Tabletop-Übungen.
Vorbereitung auf die NIS2-Richtlinie.
Das richtige Verständnis des Geltungsbereichs der Richtlinie zur Netz- und Informationssicherheit (NIS2)6, einer EU-weiten Rechtsvorschrift, die für Unternehmen des Gesundheitswesens, der Biowissenschaften und der Pharmaindustrie gilt. Zu den größten Änderungen in der NIS2 gehören die festgelegten Haftungen der Geschäftsführung und die Bußgelder bei Nichteinhaltung der Vorschriften. Sie fordert direkte Maßnahmen in einigen Schlüsselbereichen der Cyber-Sicherheit und legt neue umzusetzende Kontrollen sowie neue Leitlinien für die Meldung von wichtigen Vorfällen fest. Es gilt zu verstehen, was für das eigene Unternehmen gilt und wie man sich am besten darauf vorbereiten kann.
Abstimmen der IR- und Geschäftskontinuitätspläne aufeinander
Beseitigung der Trennung zwischen der Geschäftskontinuitäts- und Incident-Response-Vorbereitung Durchführung einer diagnostischen Überprüfung der bestehenden Pläne und einer Analyse der Auswirkungen auf die Geschäftstätigkeit. Es sollten Überlegungen angestellt werden, wie ein Stillstand aussehen könnte. So weit wie möglich das Inseldenken zugunsten einer ganzheitlichen Risikobetrachtung hinter sich lassen und sicherstellen, dass Ziele, Abläufe und Verfahren aufeinander abgestimmt sind.
Referenzen
1 „Die sechs Herausforderungen des Gesundheitswesens im Jahr 2023 und wie sie zu bewältigen sind.“ Beirat. Tägliches Briefing. 2023.
2 „Talentlücken bei der Cyber-Sicherheit: Mit diesen Lösungen können Sie immer wiederkehrende Probleme beheben.” Aon. Artikel. Januar 2023 Talentlücken bei der Cyber-Sicherheit: Mit diesen Lösungen können Sie immer wiederkehrende Probleme beheben | Aon..
3 „Ein Katz-und-Maus-Spiel: Cyber-Bedrohungen branchenübergreifend hinter sich lassen.” Aon. Artikel. März 2023. https://www.aon.com
4 „Wie Sie die verheerenden Folgen der Nichteinhaltung des HIPAA vermeiden können.“ HFMA. Serrano, Hernan. Artikel. 29. Mai 2019.
5 Aon Cyber Quotient. Zum Patent angemeldete Technologie.
6 Cyber-Sicherheitsrahmen 2.0 des NIST. Abgerufen von https://eur-lex.europa.eu/eli/dir/2022/2555/oj
Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.
Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.
Ähnliche Beiträge
Cyber-
Management in sechs vorgestellten Risikobereichen
Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.