Jenny Radcliffe von Human Factor Security hat vor Kurzem mit Kate Mullin, Chief Information Security Officer (CISO) bei Cancer Treatment Centers of America, über die aktuellen Bedrohungen im Gesundheitswesen gesprochen. Dabei wurden verschiedenste Themen angesprochen – von Ransomware und hybriden Arbeitsplätzen bis zu den Kompetenzen, die heutige Cybersicherheitsexperten benötigen.
Kate Mullin hat unter anderem Folgendes berichtet:
Das Gesundheitswesen im Visier der Angreifer
Ich bin bereits seit etlichen Jahren im Gesundheitswesen für Cybersicherheit verantwortlich und mit der Situation, ständig im Visier der Cyberkriminellen zu stehen, bestens vertraut. Die Ereignisse der vergangenen Jahre hatten jedoch ein ganz anderes Kaliber. Wir kämpfen mit den Auswirkungen von COVID-19, der Zunahme von Hybrid-Arbeit sowie aufgrund des Krieges in der Ukraine mit Medikamentenmangel – und müssen uns gleichzeitig weiterhin um unsere Patienten kümmern, denn wir arbeiten im onkologischen Bereich.
Diese Ereignisse haben unsere Arbeit natürlich erheblich gestört. Doch den Kriminellen ist das schlicht egal. Ransomware-Angriffe haben im Gesundheitswesen enorm zugenommen. Dabei steht bei einem Angriff erheblich mehr auf dem Spiel, weil die Versorgung unserer Krebspatienten gefährdet ist. Tragisch daran ist die Tatsache, dass viele Patienten keine Möglichkeit haben, eine unterbrochene Behandlung noch einmal von Neuem zu beginnen.
Es ist immer eine Frage von Glück oder Pech, ob das eigene Unternehmen gezielt angegriffen wird. In jedem Fall sollten alle auf den Ernstfall vorbereitet sein. Deshalb rate ich Unternehmen, Tabletop-Übungen zu Ransomware-Angriffen durchzuführen und auf diese Weise festzustellen, was funktioniert und was nicht.
Viele glauben immer noch, dass es genügt, das Lösegeld zu zahlen und einfach die Daten zu entschlüsseln. Das ist jedoch häufig nicht der Fall. Der „State of the Phish 2022“-Bericht von Proofpoint zeigt, dass viele Unternehmen trotz (teilweise mehrerer) Lösegeldzahlungen nie wieder auf ihre Daten zugreifen können. Zudem nimmt Entschlüsselung viel Zeit in Anspruch – teilweise sogar mehr als der Wiederaufbau der Systeme.
Hybride Arbeitsplätze und der Faktor Mensch
Hybrid-Arbeit hat zugenommen und zu neuen Risiken für Gesundheitsunternehmen geführt. Auch wenn viele jetzt in Smart-Home-Technik investieren, ist das noch nicht genug. Selbst bei abgesicherten Geräten benötigen Sie für Online-Verbindungen ein virtuelles privates Netzwerk (VPN), da Sie andernfalls ein ungeschütztes Netzwerk verwenden.
Hybrid-Arbeit hat auch deutlich gezeigt, dass der Faktor Mensch unsere größte Schwachstelle ist. Menschen stellen ein enormes Risiko dar, sei es aufgrund von Fehlern, aufgrund der großen Kündigungswelle, durch Mitarbeiterfluktuation oder durch Frühpensionierung. Im Gesundheitswesen können diese Risiken sowohl von der Belegschaft als auch von den Patienten ausgehen. Beide Seiten werden angegriffen. Und praktisch jeder kann auf eine gezielte und gut gemachte Phishing-Attacke hereinfallen – selbst wenn dazu manchmal mehrere Versuche nötig sind.
Dann gibt es auch noch das Problem des Schutzes von Patientendaten. Datensicherheit wird im Gesundheitswesen natürlich sehr ernst genommen und die Belegschaft ist dazu gut geschult. In einigen Bereichen ist jedoch eine gewisse Offenheit erwünscht – und das bereitet Probleme. Gesundheitsanbieter wollen Krankheiten heilen und integrieren Systeme, um eine bessere Versorgung zu gewährleisten. Doch die Integration bringt potenzielle Schwachstellen und Angriffsflächen für Kompromittierungen mit sich.
Warum Cybersicherheitskenntnisse für alle notwendig sind
Alle, die mit IT zu tun haben, benötigen Kenntnisse zur IT-Sicherheit – und heute hat jeder mit IT zu tun. Wenn Sie Apps auf Ihrem Smartphone installieren, haben Sie mit IT zu tun. Wenn Sie Kinder haben, haben Sie mit IT zu tun. Wenn Sie im Homeoffice arbeiten, haben Sie auf jeden Fall mit IT zu tun.
Vor dem Siegeszug von Hybrid-Arbeit konnten Sie Ihren Computer eingeschaltet lassen und am Morgen war – wie durch ein Wunder – alles aktualisiert. Doch mittlerweile erfolgen diese Schritte per Fernzugriff und unser Personal muss besser verstehen, warum Sicherheit so wichtig ist.
Alle Mitarbeiter müssen wissen, was beim Patchen eines Computers geschieht, was ein VPN ist und warum wir es verwenden und vieles mehr. Und wir als Cybersicherheitsverantwortliche müssen diese Kenntnisse besser vermitteln.
Möchten Sie mehr von CISOs hören?
In unserem CISO Voices-Podcast können Sie sich das vollständige Interview von Jenny Radcliffe mit Kate Mullin sowie weitere Folgen anhören.
Jenny Radcliffes Human Factor Security-Podcasts bietet auch weitere interessante Einblicke von Cybersicherheitsexperten. In unserem nächsten „CISO Voices“-Blog-Beitrag werden die Erkenntnisse von Tom Wade, einem auf Honorarbasis tätigen CISO, zum Thema Cybersicherheit vorgestellt.
Proofpoint CISO Hub
In unserem CISO Hub finden Sie regelmäßig aktuelle Informationen zur Cybersicherheitsforschung, Einblicke sowie Ressourcen speziell für CISOs auf der ganzen Welt.