[datensicherheit.de, 18.03.2026] Laut einer Meldung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, vom 17. März 2026, wird sich diese „aus gesundheitlichen Gründen von ihrem Amt zurückzuziehen, sobald die Nachfolge geregelt ist“.

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider bleibt noch bis zur Klärung der Nachfolge im Amt

BfDI-Position darf niemals unbesetzt sein

Specht-Riemenschneider erklärte: „Datenschutz ist ein zentraler Wert unserer Gesellschaft. Deshalb ist es wichtig, dass das Amt der Bundesbeauftragten von einer Person vertreten wird, die jederzeit und uneingeschränkt präsent ist. Ich brauche aber Zeit, um wieder vollständig zu genesen. Deshalb habe ich mich entschlossen, mich von meinem Amt zurückzuziehen.“

Um einen geordneten Übergang zu gewährleisten und die aktuellen Gesetzgebungsverfahren weiter zu begleiten, beabsichtigt Specht-Riemenschneider das Amt erst dann aufzugeben, wenn die Nachfolge geregelt ist: „Die Position der BfDI darf angesichts der Bedeutung des Amtes nicht unbesetzt sein, auch nicht für einen kurzen Moment.“

BfDI-Handlungsfähigkeit uneingeschränkt gewährleistet

Die Übergangszeit gebe dem Parlament ausreichend Zeit, einen Nachfolger oder eine Nachfolgerin zu bestimmen. Selbstverständlich bleibe in dieser Zeit die Handlungsfähigkeit der BfDI uneingeschränkt gewährleistet.

Specht-Riemenschneider betonte abschließend: „Ich danke allen, die meinen Weg bis hierhin begleitet, unterstützt und die Vertrauen in mich gesetzt haben! Es war eine große Ehre für mich, dieses Amt ausüben zu dürfen, die Arbeit hat mir viel Freude bereitet.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

[datensicherheit.de, 16.12.2025] Object First hat eine Studie zur psychischen Gesundheit von IT-Fachleuten veröffentlicht. Diese verdeutlicht demnach, dass der zunehmende Stress, den IT- und Cybersicherheitsexperten empfinden, „nicht nur ein HR-Problem“ sei, sondern eine Herausforderung für die Resilienz der Unternehmen. Diese Studie sei von Dynata für Object First unter IT- und Cybersicherheitsexperten in den USA durchgeführt worden, um herauszufinden, „wie diese im Jahr 2025 mit der zunehmend angespannten Cyberbedrohungslage und der daraus resultierenden psychischen und emotionalen Belastung umgehen“. Hierfür seien insgesamt 500 IT- und Cybersicherheitsexperten, von Berufseinsteigern bis hin zu Führungskräften aus Unternehmen jeder Größenordnung, befragt worden.

Foto: Object First

David Bennett warnt vor dem Risiko von Produktivitätseinbußen und dem Verlust von IT-Fachkräften aufgrund von Burnout

IT-Experten melden immer häufiger Bedenken hinsichtlich ihrer psychischen Gesundheit an

Die von Object First veröffentlichten Ergebnisse der Studie zeigten, dass IT-Experten aufgrund zunehmender Cyberbedrohungen immer häufiger Bedenken hinsichtlich ihrer psychischen Gesundheit anmeldeten.

• „Von den 500 befragten IT- und Cybersicherheitsexperten aus den USA gaben 84 Prozent an, dass sie sich aufgrund von IT-Sicherheitsrisiken zunehmend gestresst fühlen und 78 Prozent befürchten, für IT-Sicherheitsvorfälle persönlich verantwortlich gemacht zu werden.“

Diese Zahlen zeigten, dass Unternehmen ihre IT-Fachleute in Zeiten zunehmender Cyberbedrohungen mehr Unterstützung zukommen lassen sollten – sowohl in Form von Ressourcen zum Schutz ihrer psychischen Gesundheit und Stressreduzierung als auch durch weniger komplexe und benutzerfreundlichere Sicherheitslösungen.

Weitere wichtige Erkenntnisse der Studie zur Befindlichkeit von IT-Fachleuten:

• Emotionale Belastung
  47 Prozent der Befragten hätten angegeben, dass sie nach einem sicherheitsrelevanten Vorfall Druck von ihren Führungskräften ausgesetzt seien, „alles in Ordnung zu bringen“. Fast jeder Fünfte (18%) fühle sich während und nach einem sicherheitsrelevanten Vorfall „hoffnungslos und überfordert“.
• Fluktuationsrisiken
  59 Prozent der Befragten hätten aufgrund von Stress bereits über einen Arbeitgeberwechsel nachgedacht oder seien aktiv auf der Suche nach einem neuen Arbeitgeber.
• Hoher Druck bei mangelnden Ressourcen
  55 Prozent der Befragten hätten angegeben, dass hohe Arbeitsbelastung und unterbesetzte Teams die Hauptursachen für ihren empfundenen Stress seien – gefolgt von Sorgen hinsichtlich Cyberangriffen und dem Druck, Betriebskontinuität und Service-Verfügbarkeit zu gewährleisten.
• Unzureichende Unterstützung durch den Arbeitgeber
  50 Prozent der Befragten meinten, dass ihr Unternehmen das Wohlbefinden und die psychische Gesundheit ihrer Mitarbeiter nicht ausreichend priorisiere. Als wertvolle Ressourcen hätten die Befragten unter anderem gezielte Unterstützungsprogramme und -initiativen zur Verbesserung von Wohlbefinden und psychischer Gesundheit genannt, aber auch umfassende Sozialleistungen, flexible Arbeitszeiten und bezahlten Urlaub.
• Notwendigkeit besserer Daten-Backup- und Wiederherstellungslösungen
  74 Prozent der Befragten äußerten die Ansicht, dass die in ihren Unternehmen genutzten Lösungen für die Datenwiederherstellung zu komplex seien – was eine zusätzliche Belastung darstelle. Gleichzeitig seien 67 Prozent der Befragten der Meinung, dass schnellere, leistungsfähigere Backup-Lösungen zur Minimierung von Ausfallzeiten die Produktivität im Unternehmen und das Vertrauen im Unternehmen hinsichtlich einer effektiven Reaktion auf Cyberangriffe signifikant verbessern würden.
• Stärkere Validierung durch Dritte
  67 Prozent der Befragten hätten angegeben, dass die Nutzung von Technologien, welche von vertrauenswürdigen Drittanbietern hinsichtlich Sicherheit und Zuverlässigkeit geprüft wurden, die Produktivität der IT-Teams und das Vertrauen im Unternehmen hinsichtlich der Wiederherstellung von Daten nach Cyberangriffen verbessern würde.

Stress der IT- und Cybersicherheitsexperten eine Herausforderung für die Resilienz der Unternehmen

„Der zunehmende Stress, den IT- und Cybersicherheitsexperten empfinden, ist nicht nur ein HR-Problem, sondern eine Herausforderung für die Resilienz von Unternehmen!“, kommentiert David Bennett, CEO von Object First.

• Wie die Ergebnisse ihrer Studie zeigten, beeinträchtige der Druck, als letzte Cyberverteidigungslinie im Unternehmen zu fungieren, die psychische Gesundheit und die Arbeitsleistung dieser Fachkräfte signifikant.

„Da Cyberbedrohungen immer komplexer werden und häufiger auftreten, steigt auch gleichzeitig das Risiko von Produktivitätseinbußen und dem Verlust von IT-Fachkräften aufgrund von Burnout kontinuierlich“, umreißt Bennett abschließend die Problemlage.

Weitere Informationen zum Thema:

OBJECT FIRST
Wenn Sie an Veeam denken, denken Sie an Object First / Object First glaubt an eine Welt, in der Daten gut gegen bösartige Verschlüsselung geschützt sind. Aus diesem Grund haben wir Ootbi entwickelt – den besten Speicher für Veeam. Wir haben einen ransomware-sicheren und unveränderlichen Out-of-the-Box-Backup-Speicher entwickelt, der sicher, einfach und leistungsstark ist!

OBJECT FIRST, 01.10.2025
Object First Umfrage: 84% der IT-Profis fühlen sich aufgrund steigender Cybersecurity-Bedrohungen am Arbeitsplatz unangenehm gestresst / Die Ergebnisse zeigen den Bedarf an mehr Unterstützung für die psychische Gesundheit von Arbeitgebern und an IT-Sicherheitslösungen, die einfacher zu bedienen sind

FORBES, Technology Council
David Bennett – CEO Object First Boulder, CO

datensicherheit.de, 26.02.2025
Stärkung der Sicherheitskultur im Unternehmen durch intensiven Informationsaustausch / KnowBe4-Bericht zur „verborgene Kraft des Informationsaustauschs bei der Gestaltung der Sicherheitskultur eines Unternehmens“ erschienen

datensicherheit.de, 25.06.2019
Cyberkriminelle: Unternehmen fühlen sich oft schutzlos ausgeliefert / Signifikante Qualifikationslücken bedrohen Unternehmenssicherheit

[datensicherheit.de, 09.07.2025] Die Einführung der sogenannten elektronischen Patientenakte (ePA) soll einen Meilenstein für die Zukunft der digitalen Gesundheitsversorgung setzen – Ziel sei es, eine umfassende Datentransparenz – sowohl für Patienten als auch das medizinische Personal – zu schaffen, um die Qualität der Versorgung zu optimieren und Mitarbeiter im Gesundheitswesen zu entlasten. Die aktuelle Studie „Digitale Zwickmühle im Gesundheitswesen: Zwischen Innovationsdruck und Systemrisiken“ von SOTI zeigt jedoch, dass es in vielen deutschen Gesundheitseinrichtungen noch immer an den nötigen technischen Voraussetzungen mangelt, um diesem Anspruch in der Praxis auch wirklich gerecht zu werden. „Für diese Erhebung wurden weltweit IT-Entscheidungsträger im Healthcare-Bereich befragt.“

Gesundheitswesen ringt mit TOM-Herausforderungen

So hätten 39 Prozent der Studienteilnehmer in Deutschland (weltweit 43%) angegeben, dass bei der Nutzung von IoT- und telemedizinischen Geräten vollständige Gesundheitsinformationen für jeden Patienten bereits vor der Einführung der ePA nicht an einem zentralen Ort verfügbar gewesen seien.

• Darüber hinaus klagten – in Deutschland und weltweit – 41 Prozent generell über häufige technische Probleme im Arbeitsalltag, 32 Prozent (in Deutschland und weltweit) erlebten häufige Ausfallzeiten und 37 Prozent (weltweit 40%) bemängelten, dass aktualisierte Informationen nicht automatisch an weitere interne Systeme weitergegeben würden.

Die IT-Sicherheit stelle ebenfalls weiterhin ein zentrales Problem dar: „45 Prozent der deutschen Gesundheitseinrichtungen (weltweit 39%) waren seit 2023 von einem Ransomware- oder DDoS-Angriff betroffen, so dass fast ein Drittel (23% der Studienteilnehmer in Deutschland, weltweit 30%) den Schutz sensibler Daten als die größte Sorge der IT-Abteilung in ihrer Organisation nennt.“

Technische Unwägbarkeiten im Vorfeld der verpflichtenden Nutzung

Diese größte Sorge bestehe zurecht, wie sich erst Anfang Mai 2025 wieder einmal gezeigt habe: „Hackern war es damals gelungen, die bereits verbesserten Schutzvorkehrungen der E-Patientenakte auszuhebeln.“

• Auch die sichere Verwaltung und Kontrolle gemeinsam genutzter mobiler Geräte – etwa für Visiten oder in der Pflege – habe 17 Prozent der deutschen IT-Abteilungen (weltweit 13%) erhebliche Schwierigkeiten bereitet.

All diese technischen Unwägbarkeiten würden voraussichtlich auch nach der Ausspielung aller bisher ausstehenden Software-Updates noch immer nicht überwunden sein. Die – spätestens ab Oktober 2025 – verpflichtende Nutzung der ePA für Arztpraxen, Apotheken und Krankenhäuser werde sich deshalb für nicht wenige Gesundheitsdienstleister schwierig gestalten.

Mangel an modernen digitalen Infrastrukturen und Verwaltungskonzepten

De Liste an Herausforderungen bei der Nutzung telemedizinisch genutzter Geräteflotten gehe noch weiter: Jeder dritte Befragte (34 % in Deutschland, 33% weltweit) habe durch neue Systeme eine Verlangsamung der Prozesse beobachtet, was sich negativ auf die Patientenversorgung auswirke.

• Ein Viertel der Studienteilnehmer in Deutschland (25%, weltweit 30%) habe darüber hinaus angegeben, eingesetzte Systeme würden zu häufig geändert, so dass Mitarbeiter nutzungstechnisch nicht mehr Schritt halten könnten. Zusätzlich seien 26 Prozent der Studienteilnehmer (19% weltweit) zu dem Ergebnis gekommen, dass die Systeme allgemein zu kompliziert in der Bedienung seien.

„Die aktuellen Sicherheitslücken bei der elektronischen Patientenakte zeigen, dass Gesundheitseinrichtungen ihre digitalen Infrastrukturen modernisieren müssen, um ihre mobilen Endgeräte und IT-Systeme zu unterstützen“, kommentiert Stefan Mennecke, „VP of Sales, Middle East, Africa & Central, Southern and Eastern Europe“ bei SOTI.

Schwächste Stelle oft nicht zentrale Server, sondern dezentrale Zugangspunkte in Praxen und Kliniken

Mennecke führt aus: „Wenn Experten warnen, dass Angreifer auf Millionen von Patientendaten zugreifen könnten, wird klar: Die schwächste Stelle sind oft nicht die zentralen Server, sondern die dezentralen Zugangspunkte in Praxen und Kliniken. ,Enterprise Mobility Management’-Lösungen ermöglichen sowohl eine sichere Verwaltung aller mobilen Geräte und Zugänge als auch die lückenlose Protokollierung und Überwachung aller Zugriffe auf sensible Gesundheitsdaten.“

• Alte, oft siloartig genutzte Systeme stellten IT-Entscheidungsträger im Gesundheitswesen weiterhin vor große Herausforderungen. Die Studie habe ergeben, dass 37 Prozent der Befragten in Deutschland (weltweit 38%) Schwierigkeiten bei der Bereitstellung und Verwaltung neuer mobiler Geräte und Drucker hätten.

Eine Remote-Unterstützung sei deshalb aus der Ferne nicht möglich, weshalb auch detaillierte Informationen im Falle von Geräteproblemen nicht abrufbar seien. Nahezu die Hälfte der Studienteilnehmer (43%) in Deutschland, (39% weltweit) habe zudem von einem zu hohen zeitlichen Aufwand bei der Behebung von Störungen oder Ausfällen berichtet.

Leistungsstarke EMM-Lösungen könnten helfen, die ePA-Vorteile bestmöglich zu nutzen

EMM-Lösungen, wie z.B. „SOTI MobiControl XSight“, böten Gesundheitseinrichtungen die Möglichkeit, all die Vorteile der elektronischen Patientenakte ausschöpfen zu können – ohne Kompromisse bei der Datensicherheit eingehen zu müssen.

• Durch ein zentralisiertes und kontrolliertes System würden effiziente Arbeitsumgebungen für das medizinische Personal geschaffen und gleichzeitig die Vertraulichkeit und der Schutz von Patientendaten gewährleistet.

Mithilfe professioneller EMM-Lösungen könnten Ärzte und Pflegekräfte über sichere mobile Endgeräte jederzeit und überall auf relevante Patientendaten zugreifen – ob am Krankenbett, in der Ambulanz oder bei Hausbesuchen. Dabei sorge eine automatische Verschlüsselung dafür, dass sensible Gesundheitsdaten vor unbefugtem Zugriff, Malware-Angriffen und Cyber-Attacken geschützt blieben.

Jedes Tablet, jeder Scanner und jeder mobile Arbeitsplatz gemäß höchsten Sicherheitsstandards verwalten können

Gleichzeitig ermöglichten granulare Zugriffsberechtigungen, dass jeder Mitarbeiter nur auf die für seine Tätigkeit relevanten Informationen zugreifen könne. Besonders bei der Nutzung telemedizinischer Geräte zeigten sich die Stärken moderner EMM-Lösungen: Vitaldatenmonitore, mobile Ultraschallgeräte oder Telekonferenz-Tablets würden automatisch konfiguriert, überwacht und bei Bedarf remote aktualisiert. Dies gewährleiste nicht nur die optimale Funktionsfähigkeit der Geräte, sondern auch die sichere Übertragung und Speicherung der erfassten Patientendaten direkt in die E-Patientenakte. Medizinisches Personal könne so effizienter arbeiten, während gleichzeitig die Kontinuität der Patientenversorgung sichergestellt werde.

• Moderne EMM-Lösungen böten zudem umfassende Monitoring- und „Compliance“-Funktionen, welche besonders im Gesundheitswesen unverzichtbar seien. Automatische Sicherheitsupdates, kontinuierliche Geräteüberwachung und detaillierte Audit-Protokolle würden dabei helfen, gesetzliche Anforderungen wie die DSGVO zu erfüllen und gleichzeitig potenzielle Sicherheitsrisiken frühzeitig zu erkennen. Falls ein Gerät verloren geht oder kompromittiert wird, könnten Administratoren es sofort remote sperren oder löschen, um Datenlecks zu verhindern.

Somit werde jetzt jedes Tablet, jeder Scanner und jeder mobile Arbeitsplatz gemäß höchster Sicherheitsstandards verwaltet. Nur so könnten Gesundheitsdienstleister langfristig das Vertrauen der Patienten gleichzeitig die Vorteile der Digitalisierung voll ausschöpfen.

Weitere Informationen zum Thema:

SOTI, Shash Anand, 05.06.2025
The Cost of Inaction: Why Reactivity is Draining Your Budget

SOTI
Mehr Lebensqualität: Neugestaltung einer mobilen Patientenversorgung / Sichern und verwalten Sie alle Ihre Mobilgeräte und IoT-Endpunkte

Bundesministerium für Gesundheit
Die elektronische Patientenakte (ePA) für alle / Die ePA für alle kann seit dem 29. April 2025 bundesweit genutzt werden. Sie wird den Austausch und die Nutzung von Gesundheitsdaten vorantreiben und die Versorgung gezielt unterstützen.

heise online, Marie-Claire Koch, 30.04.2025
E-Patientenakte weiterhin unsicher: Schutzmaßnahmen nicht ausreichend / Am Tag nach dem Start der ePA muss die Gematik melden, dass sie mit einer „Sofortmaßnahme“ eine weitere Sicherheitslücke geschlossen hat.

datensicherheit.de, 08.02.2025
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware / Es droht die kommerzielle ePA-Datennutzung durch Konzerne zu Lasten der gesetzlich Versicherten und der Ärzteschaft

datensicherheit.de, 28.01.2025
BLZK-Kritik an ePA: Vertrauen in Datenschutz verspielt / BLZK-Präsident Dr. Wohl fordert, die elektronische Patientenakte zurück auf null zu setzen

datensicherheit.de, 14.01.2025
Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch / vzhh empfiehlt Verbrauchern, sich umfassend zu informieren und eine „bewusste Entscheidung zum Einsatz der ePA“ zu treffen

datensicherheit.de, 21.11.2024
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient / Elektronische Patientenakte (ePA) kommt nun 2025 – Risiken und Nebenwirkungen werden nicht thematisiert, weshalb Datenschützer empfehlen sich zu informieren und zu widersprechen

[datensicherheit.de, 21.06.2025] Der foodwatch e.V. hat in einer Stellungnahme vom 20. Juni 2025 moniert, dass in den Sozialen Medien „irreführende Gesundheitswerbung für Nahrungsergänzungsmittel allgegenwärtig“ sei – dies belege ein neuer foodwatch-Report. Die Verbraucherorganisation hat demnach „Instagram“-Posts von 95 sogenannten Gesundheits- und Fitness-Influencern unter die Lupe genommen und sei zu folgendem Ergebnis gekommen: „In allen Fällen, in denen mit Gesundheitsversprechen geworben wurde, war das aus Sicht von foodwatch unzulässig!“ Diese Posts verstießen unter anderem gegen die europäische „Health Claims“-Verordnung (HCVO), welche Verbraucher vor irreführender Werbung schützen solle. foodwatch engagiert sich demnach für eine bessere Kontrolle von Gesundheitswerbung im Netz.

Abbildung: foodwatch e.V.

foodwatch-Warnung: In Sozialen Medien irreführende Gesundheitswerbung für Nahrungsergänzungsmittel allgegenwärtig

Nicht Ausnahme, sondern Regel: foodwatch moniert unzulässige Werbung

„Was sich in Sozialen Medien abspielt, ist der ,Wilde Westen’ der Gesundheitswerbung. Ohne Kontrolle, ohne Regeln, ohne Rücksicht auf Risiken“, warnt Dr. Chris Methmann, Geschäftsführer von foodwatch. Die Hersteller von Nahrungsergänzungsmitteln seien in „Goldgräberstimmung“ – Verbraucher zahlen indes, im schlimmsten Fall sogar mit ihrer Gesundheit. „Der wachsende Online-Markt muss endlich wirksam überwacht werden!”

• foodwatch habe die „Instagram“-Storys von 95 sogenannten Fitness- und Gesundheits-Influencern über einen Zeitraum von 20 Tagen analysiert: In 358 Storys hätten diese konkrete Nahrungsergänzungsmittel beworben – insgesamt 152 verschiedene Produkte.

Die Verbraucherorganisation habe diese Storys auf Gesundheitsversprechen gemäß der HCVO gecheckt. Das Ergebnis: „Rund ein Drittel der ,Instagram’-Stories, in denen Nahrungsergänzungsmittel beworben werden, enthält gesundheitsbezogene Aussagen – und in sämtlichen Fällen stuft foodwatch diese Werbung als unzulässig ein.“

Drei Beispiele aus dem aktuellen foodwatch-Report:

• Klassische Heilungsversprechen
  Eine Influencerin habe in einem „Instagram“-Beitrag davon berichtet, dass ihre Leberwerte „wieder super sind”. Dies habe sie auch dem Leberkomplex eines bestimmten Herstellers zu verdanken. Die HCVO erlaube jedoch nicht, mit der Heilung einer Krankheit zu werben.
• Wissenschaftlich nicht belegte Behauptungen
  Ein Influencer sei überzeugt: „Kollagensupplemente können helfen, (…) deine Haut elastischer, deine Gelenke geschmeidiger und deine Knochen noch stärker zu machen”. Er bewerbe Nahrungsergänzungsmittel seiner eigenen Marke – für Kollagen seien aber keine Aussagen zu einer gesundheitlichen Wirkung zugelassen.
• Allgemeine Gesundheitsversprechen
  In einem anderen „Instagram“-Post werde suggeriert, dass bestimmte Nahrungsergänzungsmittel einer Marke „Schlaf und Regeneration” fördern würden. Ein solche unspezifische Behauptung sei laut HCVO nur dann zulässig, wenn er mit spezifischen, zugelassenen Behauptungen gekoppelt würde. Dies sei häufig nicht der Fall.

Zwei Unternehmen stechen besonders hervor: Eines aus Schleswig-Holstein und ein Berliner Hersteller – diese Marken kooperierten mit Dutzenden beliebten Influencern, welche bei ihren Anhängern große Glaubwürdigkeit besäßen. Dahinter stecke ein Milliardenmarkt, der auch online immer stärker wachse.

Foodwatch fordert Kontrolle des Online-Markts auf Bundesebene

foodwatch sieht das Hauptproblem bei der kommunal organisierten Lebensmittelüberwachung in Deutschland:

• Litten die Überwachungsämter ohnehin schon unter Personalmangel und kämen kaum hinterher, Hygienevorschriften in Restaurants zu kontrollieren, stießen sie bei der Überprüfung der Werbung in Sozialen Medien endgültig an ihre Grenzen.

Die Kontrolle des Online-Markts müsse auf Bundesebene gebündelt und die Überwachung ausreichend personell und finanziell ausgestattet werden, fordert foodwatch eindringlich.

Weitere Informationen zum Thema:

foodwatch, Mai 2025
Report 2025

foodwatch, 2024/2025
Gesundheitsschwindel

Bundesministerium für Landwirtschaft, Ernährung und Heimat
Nährwert- und gesundheitsbezogene Angaben bei Lebensmitteln – die Health Claims-Verordnung / „fettarm“, „zuckerfrei“, „Ballaststoffe tragen zu einer normalen Darmfunktion bei“

datensicherheit.de, 23.10.2018
Operation PANGEA XI: Kampf dem illegalen Handel mit Arzneimitteln im Internet / Aktionswoche der deutschen Zoll- und Polizeibehörden vom 9. bis 16. Oktober 2018

datensicherheit.de, 31.01.2018
Produktwarnungen: foodwatch kritisiert unzureichende Information der Verbraucher / Im Durchschnitt allein drei Lebensmittelrückrufe pro Woche

datensicherheit.de, 16.07.2012
Ein Jahr lebensmittelklarheit.de: foodwatch veröffentlicht 15-Punkte-Plan gegen Etikettenschwindel / Gesetzliche Vorgaben statt freiwillige Siegel zum Schutz vor Verbrauchertäuschung

[datensicherheit.de, 31.10.2024] „Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern ist unerlässlich, um Patientendaten zu sichern, die Betriebskontinuität zu gewährleisten und die Patienten bestmöglich behandeln zu können“, betont Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Im Zuge moderner Ransomware-Methoden, wie sie jüngst beim „Trinity“-Angriff auf den US-amerikanischen Gesundheitssektor zum Einsatz gekommen seien, würden zunehmend sensible Daten vor ihrer Verschlüsselung exfiltriert. Dieser Ansatz ziele verstärkt auf Kritische Branchen wie das Gesundheitswesen und verdeutliche die Notwendigkeit einer starken Sicherheitskultur. Dr. Krämer führt hierzu aus: „Hierbei ist nicht nur die Technik gefordert, sondern auch das Sicherheitsbewusstsein der Geschäftsführung und die Schulung aller Mitarbeitenden, um die Sicherheit im Umgang mit solchen Bedrohungen zu erhöhen.“

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt u.a. regelmäßige Trainings – etwa Phishing-Simulationen

Cyber-Angreifer nehmen Gesundheitssektor ins Visier

Die Häufigkeit von Cyber-Angriffen nehme zu, besonders im Gesundheitswesen, wie der aktuelle Bericht „Hacked Healthcare: A Global Crisis in Cybersecurity“ von KnowBe4 demnach verdeutlicht. Nach einem Ransomware-Angriff auf 140 Krankenhäuser habe das Health-ISAC (Health Information Sharing and Analysis Center) im Mai 2024 eine dringliche Empfehlung herausgegeben, welche auf eine deutliche Zunahme gezielter Angriffe im Gesundheitsbereich hinweise.

„Die Empfehlung verwies auf schwere Betriebsstörungen in Gesundheitsorganisationen in Europa und den USA“, so Dr. Krämer. Laut „Check Point Research“ seien die weltweiten Cyber-Angriffe im Jahr 2023 um drei Prozent gestiegen, wobei das Gesundheitswesen mit einem Zuwachs von elf Prozent und durchschnittlich 1.613 Angriffen pro Woche den globalen Durchschnitt deutlich übertroffen habe.

Cyber-Resilienz des Gesundheitswesens entscheidend für Stabilität und Schutz der gesamten Gesellschaft

Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern sei unerlässlich, um Patientendaten zu schützen und die Betriebskontinuität aufrechtzuerhalten. Die Gesundheitsbranche sehe sich zunehmend mit Angriffen wie Ransomware, Datenschutzverletzungen und Malware konfrontiert, die Patientendaten, Diagnosegeräte und Kritische Systeme gefährdeten.

„Diese Angriffe riskieren nicht nur die Privatsphäre der Patienten, sondern können medizinische Dienste extrem stören und Behandlungen verzögern oder ganz ausfallen lassen – im Extremfall mit lebensbedrohlichen Konsequenzen“, warnt Dr. Krämer. Cyber-Resilienz in diesen Bereichen sei daher entscheidend für die Stabilität und den Schutz der gesamten Gesellschaft.

Aufbau einer umfassenden Sicherheitskultur auch im Gesundheitswesen erfordert gezielte Schulungen

Ransomware-Angriffe wie „Trinity“ zeigten, dass Organisationen auf eine Balance zwischen technischen Schutzmaßnahmen und einem informierten Team setzen müssten. „Eine starke Sicherheitskultur verwandelt potenzielle Schwachstellen in wertvolle Ressourcen, die zur Cyber-Resilienz der Organisation beitragen können“, rät Dr. Krämer.

Der Aufbau einer umfassenden Sicherheitskultur beginne mit gezielten Schulungen, kontinuierlichen Sensibilisierungsprogrammen und klarer Führungskompetenz. Regelmäßige Trainings, wie etwa Phishing-Simulationen, könnten Mitarbeiter helfen, Bedrohungen zu erkennen und richtig darauf zu reagieren. „Verstehen alle Mitglieder die Bedeutung ihrer Rolle für die Cyber-Sicherheit, können sie aktiv zum Schutz der gesamten Organisation beitragen!“, unterstreicht Dr. Krämer abschließend.

Weitere Informationen zum Thema:

U.S. Department of Health and Human Services, Health Sector Cybersecurity Coordination Center (HC3), 04.10.2024
Trinity Ransomware

KnowBe4, 2024
Hacked Healthcare: A Global Crisis in Cybersecurity

[datensicherheit.de, 20.02.2024] Erfolgreiche Cyber-Angriffe auf Einrichtungen des Gesundheitswesens, zum Beispiel auf Krankenhäuser, sollten in besonderer Weise alarmierend wirken – denn diese gehen alltäglich auch mit den sensibelsten aller persönlichen Daten um. Offenbar sind solche Angriffe inzwischen gar nicht mehr so selten, wie beispielsweise die Vorfälle im Krankenhaus Lindenbrunn, dem Dreifaltigkeitshospital in Lippstadt, der Caritas-Klinik Domenicus in Berlin und den Bezirkskliniken Franken gezeigt haben – dabei handelt es sich nur um die Geschädigten, die im noch jungen Jahr 2024 zur Kenntnis der Medien gelangt sind. Da stellt sich die Frage nach dem Grund, weshalb Krankenhäuser offenbar ein so leichtes Ziel für Cyber-Kriminelle geworden sind… Für Einrichtungen des Gesundheitswesens, wie auch für andere Organisationen, ist der Hauptangriffsweg nach Expertenansicht die E-Mail – und für die überzeugendsten E-Mail-Angriffe fälschen Cyber-Kriminelle demnach die E-Mail-Adresse einer Organisation, zu der ihr Opfer bereits eine Beziehung aufgebaut hat: Hier nun im Falle von Einrichtungen des Gesundheitswesens sind dies eben in erster Linie andere solche Einrichtungen. Dabei gibt eine relativ einfache Möglichkeit, diese Fälschungen zu verhindern – nämlich die Implementierung des DMARC-Protokolls (Domain-based Message Authentication Reporting and Conformance). Die Wirksamkeit dieses Protokolls zur Eindämmung von Phishing, BEC (,Business Email Compromise’), Spam und anderer Betrugsmethoden soll nun auch der Grund sein, weshalb Google und Yahoo es für Unternehmen, welche E-Mails in großen Mengen versenden wollen, zur Pflicht machen werden.

Foto: Proofpoint

Miro Mitrovic: Ergebnisse sind beunruhigend: Nur 31 Prozent der deutschen Krankenhäuser haben überhaupt einen DMARC-Eintrag veröffentlicht

DMARC-Analysen von 194 Domains deutscher Krankenhäuser

IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben DMARC-Analysen von 194 Domains deutscher Krankenhäuser durchgeführt – und zwar von jenen, die es demnach auf die „Newsweek“-Liste der weltbesten Krankenhäuser 2023 geschafft haben: „Die Ergebnisse sind beunruhigend. Nur 31 Prozent von ihnen haben überhaupt einen DMARC-Eintrag veröffentlicht. Das bedeutet, dass 69 Prozent keinerlei Maßnahmen ergriffen haben, um Patienten, Lieferanten und andere Gesundheitseinrichtungen vor E-Mail-Betrug zu schützen.“ Noch schlimmer sei, dass nur sechs Prozent DMARC auf höchster Umsetzungsstufe („Reject“ / ablehnen) implementiert hätten, was im Umkehrschluss zur Folge habe, dass 94 Prozent nicht proaktiv verhinderten, dass betrügerische E-Mails ihre Ziele erreichen.

Weil der jüngste erfolgreiche Angriff auf ein deutsches Krankenhaus, das Krankenhaus Lindenbrunn, in Niedersachsen stattgefunden habe, hätten Experten von Proofpoint auch eine DMARC-Analyse für alle Krankenhäuser in diesem Bundesland durchgeführt – mit höchst alarmierenden Ergebnissen: „Von den 119 analysierten Domains haben nur 40 (34%) einen DMARC-Eintrag veröffentlicht. Somit haben 66 Prozent überhaupt keinen Eintrag veröffentlicht. Von den untersuchten niedersächsischen Krankenhäusern haben nur vier (3%) DMARC auf ,Reject’-Level implementiert. 97 Prozent verhindern folglich nicht proaktiv, dass betrügerische E-Mails, die ihre Domäne missbrauchen, ihre Adressaten erreichen.“

Führende deutsche Krankenhäuser setzen andere Krankenhäuser, Lieferanten und Patienten sehr hohem Risiko aus

„Nur wenn sie DMARC auf der ,Reject’-Stufe implementieren, verhindern Organisationen effektiv, dass betrügerische E-Mails, die ihre Domain missbrauchen, andere Organisationen erreichen“, stellt Miro Mitrovic, „Area Vice President für die DACH-Region“ bei Proofpoint, klar und unterstreicht: „Mit anderen Worten: 94 Prozent der führenden deutschen Krankenhäuser, die DMARC nicht auf ,Reject’-Stufe implementieren, setzen andere Organisationen – nicht zuletzt andere Krankenhäuser, Lieferanten und Patienten – einem sehr hohen Risiko aus, Opfer von E-Mail-basierter Cyber-Kriminalität zu werden.“

Dies sei ein äußerst bedauernswerter Zustand, zumal DMARC weder ein sehr teurer Weg ist, IT-Sicherheit zu gewährleisten und andere zu schützen, noch handele es sich um so etwas wie ein gut gehütetes Geheimnis. „Angesichts der Sensibilität der Daten, mit denen Krankenhäuser zu tun haben, ist das Ergebnis unserer Analyse besonders schockierend. Unseres Wissens schneidet keine andere Branche so schlecht ab wie das Gesundheitswesen“, kommentiert Mitrovic.

Nicht nur für Krankenhäuser: DMARC weithin anerkanntes E-Mail-Validierungsprotokoll

DMARC sei ein weithin anerkanntes E-Mail-Validierungsprotokoll, welches Domain-Namen vor dem Missbrauch durch Cyber-Kriminelle schützen solle. Es authentifiziere die Identität des Absenders, „bevor eine Nachricht ihren Bestimmungsort erreicht“. DMARC habe drei Schutzstufen: „Monitor“, „Quarantäne“ und „Reject“. „Reject“ sei nun die zuverlässigste Methode, um zu verhindern, dass verdächtige E-Mails ihre Adressaten erreichen.

„Vor diesem Hintergrund kündigten Google, Yahoo! und Apple Ende letzten Jahres an, dass sie ab dem ersten Quartal 2024 eine E-Mail-Authentifizierung verlangen werden, damit Nachrichten von ihren Plattformen versandt werden können. Dies ist ein wichtiger Schritt zur Verhinderung von Spam und Betrug.“ Diese Sicherheitsanforderungen gelten laut Mitrovic insbesondere für Konten, die täglich große Mengen an E-Mails versenden, z.B. Organisationen des Gesundheitswesens, welche neben anderen Maßnahmen auch das DMARC-Authentifizierungsprotokoll einsetzen müssten. Die Nichteinhaltung der Vorschriften werde die Zustellbarkeit legitimer Nachrichten an Kunden mit „Gmail“- und „Yahoo“-Konten erheblich beeinträchtigen.

Weitere Informationen zum Thema:

CSO DEUTSCHLAND, Julia Mutzbauer, 12.02.2024
IT lahmgelegt / Cyberangriff auf Krankenhaus Lindenbrunn

proofpoint, Craig Temple, 31.01.2024
Google and Yahoo Set a Short Timeline to Meet New DMARC Requirements. Are You Ready?

proofpoint
Email Fraud Defense – Für sichere E-Mails

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

datensicherheit.de, 29.10.2020
Ransomware-Attacke auf US-Krankenhäuser / Hacker versuchen mittels Ransomware Daten zu erbeuten und Lösegeldzahlungen zu erzwingen

datensicherheit.de, 16.09.2020
Hacker-Angriffe: Krankenhäuser können Abwehr stärken / Michal Salat gibt Tipps, wie Systeme, Patientendaten und Operationen gegen Hacker geschützt werden können

[datensicherheit.de, 04.09.2023] 78 Prozent der Einrichtungen weltweit waren 2022 laut der „Global Healthcare Cybersecurity Study 2023“ von Claroty Opfer von Beeinträchtigungen ihrer Cyber-Sicherheit: „Drei von vier Gesundheitseinrichtungen in Deutschland (73%) wurden im letzten Jahr zum Opfer von Cyber-Vorfällen. Dabei waren ,nur’ in jedem zweiten Fall die jeweiligen IT-Systeme betroffen.“ Die Mehrzahl der Vorfälle (57%) betraf demnach cyber-physische Systeme (CPS) – wie vernetze medizinische Geräte oder die Gebäudetechnik. Für den zugrundeliegenden Report wurden laut Claroty weltweit insgesamt 1.100 Fachkräfte aus den Bereichen Cyber-Sicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen befragt.

Abbildung: Claroty

Claroty gab Umfrage unter Gesundheitsdienstleistern, Krankenhäusern und Kliniken in Nordamerika (500), Südamerika (100), APAC (250) und Europa (250) in Auftrag

Gesundheitseinrichtungen stehen vor zahlreichen Herausforderungen

Die sogenannte Healthcare-Branche habe im Bereich der Cyber-Sicherheit mit vielen Herausforderungen zu kämpfen – schnell wachsende Angriffsflächen, veraltete Technologien, Budgetbeschränkungen und ein globaler Mangel an Cyber-Fachkräften.

Claroty-Studie zeigt, dass das Gesundheitswesen volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden benötigt

Yaniv Vardi, „CEO“ von Claroty, kommentiert: „Unsere Studie zeigt, dass das Gesundheitswesen die volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden braucht, um medizinische Geräte vor den wachsenden Bedrohungen zu schützen und so die Sicherheit der Patienten zu gewährleisten!“ Der vorliegende Report beleuchte dabei die Erfahrungen der Sicherheitsverantwortlichen mit Cybersecurity-Vorfällen im vergangenen Jahr, den aktuellen Stand ihrer Sicherheitsanstrengungen sowie ihre zukünftigen Prioritäten.

Die wichtigsten Ergebnisse der weltweiten Erhebung zur Cyber-Sicherheit im Gesundheitswesen:

• 78 Prozent der Befragten hätten 2022 mindestens einen Cybersecurity-Vorfall verzeichnet (Deutschland: 73%).
• In 30 Prozent der Fälle weltweit seien sensible Daten wie geschützte Gesundheitsinformationen (PHI) betroffen gewesen (Deutschland: 23 %).
• 60 Prozent der Vorfälle weltweit hätten moderate oder erhebliche Auswirkungen auf die Patientenversorgung gehabt, weitere 15 Prozent ernsthafte Auswirkungen, welche die Gesundheit und Sicherheit der Patienten gefährdeten. In Deutschland seien zwar mit 33 Prozent die moderaten bis erheblichen Auswirkungen deutlich geringer, dafür jedoch die Anzahl der Vorfälle mit ernsthaften Auswirkungen deutlich höher (27%).
• 20 Prozent der von Ransomware betroffenen Einrichtungen in Deutschland hätten das geforderte Lösegeld gezahlt (weltweit 26%).
• Weltweit trieben vor allem gesetzgeberische Maßnahmen die Cyber-Sicherheit im Gesundheitswesen voran: 44 Prozent der Befragten sähen in ihnen den größten externen Einfluss auf die eigene Cybersecurity-Strategie.
• Weltweit orientierten sich Sicherheitsverantwortliche am stärksten am „NIST Cybersecurity Framework“ (zu 38%, in Deutschland: 30%). Während das „HITRUST Cybersecurity Framework“ global mit 38 Prozent ebenfalls bedeutend sei, spiele es in Deutschland eine eher untergeordnete Rolle (17%). Hier setze ein Drittel (33%) vor allem auf die „CISA CPGs“.

Mangel an Cyber-Fachkräften auch im Gesundheitssektor offensichtlich

Diese Studie habe zudem gezeigt, dass der Mangel an Cyber-Fachkräften auch im Gesundheitssektor nach wie vor eine der größten Herausforderungen sei: Jede zweite Einrichtung (53 ) in Deutschland sei auf der Suche nach neuen Mitarbeitern für den Bereich Cyber-Sicherheit. Dabei hätten 70 Prozent der Befragten Schwierigkeiten bei der Rekrutierung des geeigneten Personals.

Weitere Informationen zum Thema:

Claroty
The Global Healthcare Cybersecurity Study 2023 / Priorities and challenges amid escalating cyber-physical connectivity

[datensicherheit.de, 12.01.2023] „In puncto IT-Security haben Mitarbeitende in deutschen Unternehmen einen großen Nachholbedarf: Fast 34 Prozent haben nur geringe oder sehr geringe Kompetenzen und riskieren damit die Sicherheit ihrer Firma vor Cyber-Angriffen“, meldet G DATA CyberDefense in einer aktuellen Stellungnahme. Im Vergleich zum Vorjahr (2022) sei der Wert angestiegen, so dass IT-Verantwortliche im Zugzwang stünden, für „Security Awareness“ zu sorgen. Dies werde durch die aktuelle Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit statista und „brand eins“ belegt.

Foto: G DATA CyberDefense AG

Andreas Lüning: Security Awareness muss Teil eines jeden IT-Sicherheitskonzepts im Unternehmen werden!

Schlechtes Wissen rund um IT-Sicherheit – Belegschaft nicht für den Ernstfall eines Angriffs gewappnet

Cyber-Kriminelle hätten leichtes Spiel in deutschen Unternehmen: „Durch das schlechte Wissen rund um IT-Sicherheit, ist die Belegschaft nicht für den Ernstfall eines Angriffs gewappnet.“ Mehr als ein Drittel der Umfrageteilnehmer bewertet demnach die persönliche Kompetenz mit „gering“ oder „sehr gering“. Nur jeder zehnte Arbeitnehmer sehe bei sich selbst „sehr große“ Fähigkeiten in diesem Bereich.

„Im Vergleich zu 2021 stieg der Wert derjenigen, die sich für wenig bis gering qualifiziert halten, um rund sieben Prozent an.“ Daraus ergebe sich ein dringender Handlungsbedarf, denn Cyber-Angriffe auf Unternehmen seien schnell erfolgreich oder fielen gravierender aus, „wenn die Belegschaft nicht weiß, was im Ernstfall zu tun ist“. Nötig sei ein hoher Grad an „Security Awareness“, um Mitarbeiter zu einem Teil der unternehmenseigenen Cyber-Abwehr zu machen.

„Vielen Mitarbeitenden in Unternehmen fehlt es an Grundwissen zur IT-Sicherheit. Das ist alarmierend. Cyber-Kriminelle haben so ein zu leichtes Spiel. Daher ist es wichtig, den Grad an ,Security Awareness’ zu steigern und das Personal entsprechend zu schulen. Dies muss Teil eines jeden IT-Sicherheitskonzepts im Unternehmen werden“, kommentiert Andreas Lüning, Gründer und Vorstand der G DATA CyberDefense AG.

Gesundheits- und Sozialsektor leidet an IT-Kompetenzmangel

Die Belegschaft in den Branchen Telekommunikation und Informationsdienstleistungen verfügten über das höchste Wissen im Bereich IT-Sicherheit. Gute Kompetenzen bescheinigten sich ebenfalls die Mitarbeiter der Finanz- und Versicherungsdienstleister. Das Schlusslicht bilde dagegen der Bereich Gesundheit und Soziales.

„Gerade im Gesundheitswesen stehen aktuell einige Digitalisierungsprojekte an, zum Beispiel die Digitale Patientenakte. Mitarbeitende leiden aber gerade in diesem und im Sozialbereich unter einer hohen Arbeitsbelastung, die in diesem Fall die IT-Sicherheit gefährdet.“

Die nun vorliegende neue Studie „Cybersicherheit in Zahlen“ zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. statista-Experten hätten die Befragung durchgeführt und könnten dank einer Stichprobengröße weit über dem branchenüblichen Standard „belastbare und valide Marktforschungsergebnisse“ im Heft „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA
Cybersicherheit in Zahlen / Wir machen Komplexes verständlich. Auf 104 Magazinseiten.

datensicherheit.de, 10.01.2023
Gesundheitswesen: IT-Sicherheit muss verbessert werden / Christoph Saatjohann erforscht an der der FH Münster Schwachstellen der medizinischen IT-Infrastruktur

datensicherheit.de, 18.11.2022
Herausforderungen an Cyber-Sicherheit im Gesundheitswesen: Personalmangel, Investitionsstau und Verquickung von IT mit OT / Jüngster dramatischer Cyber-Angriff auf Medibank Anlass zur Stellungnahme von Bernard Montel zur Cyber-Sicherheit im Healthcare-Bereich

datensicherheit.de, 18.10.2022
Ransomware: Ein Viertel aller betroffenen Gesundheitseinrichtungen muss Betrieb einstellen / Trend-Micro-Studie weist Lieferketten als Ransomware -Hauptrisikoquelle aus

[datensicherheit.de, 18.10.2022] Trend Micro hat nach eigenen Angaben eine neue Studie veröffentlicht, aus der demnach hervorgeht, dass weltweit 86 Prozent der Unternehmen und Einrichtungen im Gesundheitswesen, die von Ransomware betroffen waren, Betriebsausfälle erlitten.

Foto: Trend Micro

Richard Werner warnt vor häufig zu geringen IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen…

57% der Healthcare-Unternehmen in den letzten drei Jahren durch Ransomware kompromittiert

Laut dieser Studie räumten weit mehr als die Hälfte (57%) der befragten Healthcare-Unternehmen ein, in den letzten drei Jahren durch Ransomware kompromittiert worden zu sein. „25 Prozent der Opfer gaben außerdem an, dass ihr Betrieb vollständig zum Erliegen gekommen sei. Weitere 60 Prozent erlebten eine Beeinträchtigung ihrer Geschäftsprozesse.“

Im Durchschnitt habe es bei den meisten Unternehmen Tage (56%) oder Wochen (24%) gedauert, bis der Betrieb wieder vollständig hergestellt war. Ransomware verursache nicht nur im Gesundheitssektor erhebliche betriebliche Probleme, sondern gelte auch in anderen Branchen als eines der größten Cyber-Risiken.

Bei 60% der Befragten sensible Daten durch Ransomware-Angriff in falsche Hände geraten

Bei drei Fünftel (60%) der Befragten seien sensible Daten durch den Angriff in falsche Hände geraten. Dies stelle ein erhöhtes Compliance-Risiko dar und könne der Unternehmensreputation schaden. Außerdem erhöhten sich die Kosten für Nachforschungen, Eindämmungsmaßnahmen und die Bereinigung des Vorfalls.

Die Teilnehmer der Studie nannten laut Trend Micro Schwachstellen in der Lieferkette als eine der größten Herausforderungen. Relevant seien vor allem folgende Bereiche:

• „43 Prozent sind der Überzeugung, ihre Partner hätten sie zu einem attraktiveren Angriffsziel gemacht.
• 43 Prozent geben außerdem an, ein Mangel an Transparenz in der gesamten Ransomware-Angriffskette habe sie anfälliger gemacht.
• 36 Prozent nennen einen mangelnden Überblick über ihre Angriffsoberfläche als weiteren Grund, der sie verstärkt zu einem Ziel für Attacken gemacht habe.“

Malware- und Ransomware-Schutz: regelmäßig Patches aktualisieren

Die gute Nachricht sei, dass ein Großteil der Gesundheitseinrichtungen (95%) bei vor allem nach außen sichtbaren Systemen regelmäßig Patches aktualisiere, während ein fast ebenso großer Anteil (91%) E-Mail-Anhänge einschränke und so das Malware-Risiko verringere. „Viele befragte Unternehmen nutzen darüber hinaus Tools für Network (NDR), Endpoint (EDR) oder Extended Detection and Response (XDR).“

Die Studie zeige jedoch auch potenzielle Schwachstellen auf, darunter:

• „Ein Fünftel (17%) verfügt über keinerlei Kontrollen des Remote-Desktop-Protokolls (RDP).
• Viele Unternehmen tauschen keine Bedrohungsdaten mit Partnern (30%), Lieferanten (46%) oder ihrem breiteren Ökosystem (46%) aus.
• Ein Drittel (33%) tauscht keine Informationen mit den Strafverfolgungsbehörden aus.
• Nur die Hälfte oder weniger befragte Unternehmen verwenden derzeit NDR (51%), EDR (50%) oder XDR (43%).
• Besorgniserregend wenige Healthcare-Unternehmen sind in der Lage, ,Lateral Movement’ (32%), Erstzugriffe (42%) oder die Verwendung von Tools wie ,Mimikatz’ und ,PsExec’ (46%) zu erkennen.“

Gesundheitswesen noch immer zu leichtes Opfern von Ransomware-Angriffen

„Cyber-Kriminelle suchen sich ganz gezielt Einrichtungen des Gesundheitswesens heraus, die ein vermeintlich schwaches Glied in ihrer Verteidigungskette aufweisen. Der große Druck, der derzeit auf Unternehmen und Einrichtungen in der Branche lastet, sowie häufig geringe IT-Security-Budgets, die nicht in Relation zur Wichtigkeit der Systeme stehen, machen sie zu leichten Opfern von Angriffen“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Er betont: „Damit zählt die Healthcare-Branche zu den Top 3 der am meisten angegriffenen Branchen weltweit.“ Abschließend weist er auch darauf hin, dass die Bundesregierung im Rahmen des Krankenhauszukunftsgesetz (KHZG) seit Januar 2021 auch Investitionen in die IT-Security unterstützt.

Weitere Informationen zum Thema:

TREND MICRO
A global study / EVERYTHING IS CONNECTED: Uncovering the ransomware threat from global supply chains

[datensicherheit.de, 14.09.2022] Der kürzlich von der Europäischen Union veröffentlichte „Digital Economy and Society Index“ (DESI) stelle Deutschland „kein gutes Zeugnis in Sachen Digitalisierung“ aus. So liege die Bundesrepublik im Vergleich der Digitalisierungsbemühungen in der gesamten EU nur auf Platz 13 unter den 27 Mitgliedsstaaten. Stefan Mennecke, „VP of Sales, Central, Eastern und Southern Europe“ bei SOTI, kommentiert dieses Ergebnis in seinem aktuellen Kommentar:

Deutschland in der EU mit großem Nachholbedarf

„Die Ergebnisse des ,Digital Economy and Society Index’ der Europäischen Union, die Deutschland nur auf den 13. Platz sehen, sind ein Alarmzeichen“, betont Mennecke. Dies sei eine bedenkliche Entwicklung, da „Deutschland früher für Innovationen und Fortschritt bekannt war“ – nur leider nicht im Bereich IT und Digitalisierung. Die Technologien seien längst vorhanden und es gebe offensichtlich einen großen Nachholbedarf, „was die Digitalisierung der eigenen Infrastruktur in Organisationen und Unternehmen betrifft“, aber die Kluft zwischen Bemühen und dem tatsächlichen Niveau der Digitalisierung sei gerade in Deutschland noch zu groß.

Dies zeige auch die aktuelle SOTI-Studie „Eine entscheidende Investition: Am Puls der Technologie im Gesundheitswesen“. Demnach verlieren deutsche Fachkräfte im Gesundheitsbereich durchschnittlich 18 Arbeitstage im Jahr aufgrund eines schlechten IT-Supports. Die Folge laut Mennecke: Ohne digitalisierte Prozesse leidet die Belegschaft im Healthcare-Bereich unter Geräteausfallzeiten und verliert entscheidende Zeit in der Patientenversorgung. „Auf der anderen Seite sagen 87 Prozent der IT-Entscheider in Deutschland (73 % weltweit), dass sie seit dem Jahr 2020 ihre jährlichen Ausgaben für Technologie erhöht haben.“

Mangelnder Datenschutz eines der Haupthindernisse der erfolgreichen Digitalisierung in der EU

Mangelnder Datenschutz zähle neben einer unvollständigen Integration verbundener Geräte und hohen Geräteausfallzeiten zu den Haupthindernissen einer erfolgreichen Digitalisierung – nicht nur im Gesundheitswesen. Dabei seien die notwendigen Technologien seit langer Zeit vorhanden. „Digitalisierung muss also professionell und umfassend erfolgen“, betont Mennecke. Mit einer Enterprise-Mobility-Management-Lösung z.B. könnten Organisationen und Unternehmen Geräte und Daten professionell verwalten und so Vertrauen bei Bürgern, Kunden und Patienten schaffen.

„Indem Geräte und IoT-Endpunkte fernverwaltet werden, können sie im Falle eines Datenschutzvorfalls beispielsweise deaktiviert werden, so dass personenbezogene Daten nicht in falsche Hände gelangen“, führt Mennecke abschließend aus.

Weitere Informationen zum Thema:

European Commission
Shaping Europe’s digital future / The Digital Economy and Society Index (DESI)

SOTI
Mehr Lebensqualität: Neugestaltung einer mobilen Patientenversorgung