[datensicherheit.de, 19.09.2019] Die Digitalisierung stellt die Gesundheitsbranche offensichtlich immer wieder vor Herausforderungen – so auch im neuesten bekanntgewordenen Fall, bei dem millionenfach hochsensible medizinische Patientendaten ungeschützt im Netz gelandet sind. Schon 2017 habe eine Studie der Unternehmensberatung Roland Berger nachweisen können, dass bereits 64 Prozent der Kliniken mindestens einmal von einem Hacker-Angriff betroffen gewesen seien. Hans-Peter Bauer, „Vice President Central Europe“ bei McAfee, geht in seiner Stellungnahme auf die Herausforderungen ein, welchen sich Krankenhäuser im Umgang mit Cyber-Kriminalität stellen müssten, und zeigt Lösungsansätze auf.

Abbildung: McAfee

McAfee-Bericht „Gefahren für das Gesundheitswesen – Cyber-Kriminelle nehmen das Gesundheitswesen ins Visier“

Oftmals noch Gefahr der Cyber-Kriminalität unterschätzt

„Medizinische Daten sind durch ihre Sensibilität wertvoll. Oftmals wird die Gefahr von Cyber-Kriminalität unterschätzt, da sie fernab vom alltäglichen Leben lokalisiert wird. Die Gefahr ist jedoch für jeden real. Wenn man die letzten drei, vier Jahre etwa zusammennimmt, hat sich die Anzahl der Angriffe verdoppelt.“

Darkweb: Illegaler Handel mit Patientendaten

McAfee habe bei einer Untersuchung feststellen können, dass im sogenannten Darkweb bereits illegal mit Patientendaten gehandelt werde und eine aktive Nachfrage für diese bestehe. Der Paketpreis für solche Datensätze habe sogar über dem Großmarktpreis für Kreditkartendaten gelegen. Auch Erpressungen seien ein boomender Geschäftsbereich.

Gefahr durch Ransomware

Mögliche Risiken seien unter anderem, dass Unbekannte die Server und Datenbanken von Krankenhäusern verschlüsseln könnten, so dass das Personal nicht mehr auf benötigte Dateien zugreifen könne. Bauer betont: „Diese sind jedoch für die bestmögliche Versorgung von Erkrankten unerlässlich.“

Krankenhäuser müssen Präventivmaßnahmen ergreifen

„Daher müssen Krankenhäuser Präventivmaßnahmen ergreifen, um die Wahrscheinlichkeit eines Datendiebstahls zu verringern. Um die Innovationen, die sich hierdurch ergeben, nicht auszubremsen, können Sicherheitslösungen von IT-Dienstleistern unterstützend wirken, beispielsweise durch den aktiven Schutz der Daten in der Cloud.“ Dafür müssten jedoch alle Beteiligten zunächst die dazugehörigen Risiken verstehen und in die digitale Sicherheit der Patienten investieren.

Weitere Informationen zu Thema:

BR24, 17.09.2019
Millionenfach Patientendaten ungeschützt im Netz

Roland Berger, Juli 2017
Krankenhausstudie 2017

McAfee
Bericht: Gefahren für das Gesundheitswesen / Cyber-Kriminelle nehmen das Gesundheitswesen ins Visier

datensicherheit.de, 19.09.2019
Patientendaten: Luxemburg forciert sicheren Austausch

datensicherheit.de, 18.09.2019
Öffentlich zugänglich Patientendaten: Was Unternehmen nun lernen sollten

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

[datensicherheit.de, 11.07.2019] „Daten liegen nicht nur in der Cloud – mit Daten wird gearbeitet.“ Genau das sei der Punkt, der IT-Verantwortliche weltweit immer noch vor Herausforderungen stellt: Nur ein Drittel (33 Prozent) könne beispielsweise für ausreichend Sicherheit sorgen, wenn Mitarbeiter Links zu Dateien in der Cloud generieren und weitergeben. Nur 40 Prozent hätten die volle Kontrolle, wenn Mitarbeiter von ihren privaten Geräten auf Cloud-Daten zugreifen, so ein neuer Report von McAfee, in dem die Daten aus einer Befragung von 1.000 IT-Verantwortlichen mit Erkenntnissen aus Milliarden von Event-Daten tausender McAfee-Kunden verknüpft worden seien.

Effektive Zugiffskontrolle lässt Unternehmen überdurchschnittlich profitierten

Der Report zeigt demnach aber auch: Gelingt eine effektive Zugriffskontrolle, profitierten Unternehmen überdurchschnittlich von den Verheißungen der Cloud: 45 Prozent der Unternehmen mit einem „Cloud Access Security Broker“ (CASB) brächten Produkte beispielsweise dank der Cloud schneller auf den Markt (+ 36 Prozent im Vergleich zu Unternehmen ohne CASB), 46 Prozent spürten eine Verbesserung der Mitarbeiterproduktivität (+ elf Prozent).
Die „Business Growth Edition“ des aktuellen „Cloud Adoption & Risk Reports“ wurde laut McAfee erst kürzlich veröffentlicht, nachdem 1.000 IT-Verantwortliche in elf Ländern befragt worden seien. Ergänzt würden die Umfragedaten durch Milliarden an anonymisierten Event-Daten tausender McAfee-Kunden. Diese gäben zum Beispiel Aufschluss darüber, in welchen Cloud-Anwendungen die meisten Unternehmen sensible Daten speichern.

Mehrheit der IT-Verantwortlichen sieht Daten in der Cloud besser aufgehoben als anderswo

„Die Cloud ist endlich in den Unternehmen angekommen“, so Hans-Peter Bauer, „Vice President Central Europe“ bei McAfee. „Die vielen Vorteile für die betrieblichen Abläufe sind allen schon lange klar – doch zum ersten Mal sieht die Mehrheit der IT-Verantwortlichen (52 Prozent) ihre Daten in der Cloud auch besser aufgehoben als anderswo. Kein Wunder, die großen Cloud-Anbieter haben riesige Beträge in die Sicherheit investiert.“ Was bleibe sei ein großes Stück Eigenverantwortung für den Datenverkehr zwischen Cloud und Anwender. Dort müssten Unternehmen selbst nachbessern.
Fast zwei Drittel (65 Prozent) der sensiblen Unternehmensdaten finden sich laut McAfee-Untersuchung in Business-Anwendungen wie „Office 365“ (31 Prozent), „Salesforce“ (16 Prozent) oder auch „Slack“ und „Google Docs“ (je zwei Prozent). „13 Prozent sind bei großen Cloud-Anbietern wie AWS oder Microsoft Azure gespeichert und zehn Prozent der Daten leben immer noch in Shadow-IT-Anwendungen, also Programmen, die von der IT-Abteilung nicht offiziell freigegeben sind.“

Rechte-Management in Bezug auf die Weitergabe von Zugriffslinks noch zu verbessern

McAfee erwähnt im Report die großen Budgets, die Cloud-Anbieter wie Amazon oder Microsoft in Cloud-Sicherheit investieren, verweist aber auch auf den Bereich, um den sich Unternehmen selbst kümmern müssen: Verlassen Daten die Cloud, weil sie beispielsweise von Mitarbeitern genutzt werden, bedürfe es professioneller „Data Loss Prevention“-Stategien (DLP).
Hierbei hapert es laut Report noch: Das Rechte-Management in Bezug auf die Weitergabe von Zugriffslinks hätten nur 33 Prozent voll im Griff, ebenfalls ein Drittel könne Shadow-IT entdecken, 40 Prozent sähen Zugriffe auf Cloud-Daten von privaten Geräten und 43 Prozent könnten schädliche Handlungen von Nutzern erkennen.

Gefahr des Verlustes von Geistigem Eigentum wehren!

„Wenn ich mir die Art der identifizierten Schwachstellen ansehe, muss ich unmittelbar an die Gefahr durch Phishing oder Spear-Phishing denken“, warnt Bauer. „Gegen Schadprogramme dürften die Cloud-Anbieter gut gewappnet sein, aber solange Unternehmen in großem Maßstab nicht nachvollziehen können, was mit ihren Daten passiert, wenn diese die Cloud verlassen, besteht die Gefahr des Verlustes von Geistigem Eigentum. Eine bessere Nachvollziehbarkeit schützt auch die Mitarbeiter.“
Um Cloud-Daten besser zu schützen rät McAfee:

• Identifizieren Sie die Anwendungen, in denen Ihr Unternehmen sensible Daten in der Cloud speichert. Starten Sie die Verbesserungen dort, wo die meisten sensiblen Daten liegen!
• Implementieren Sie IT-Sicherheit schon während der Entwicklung. 62 Prozent der Befragten fahren so einen DevOps-Ansatz, 33 Prozent kümmern sich erst bei der Einführung der Anwendung. Legen Sie besondere Aufmerksamkeit auf die Konfiguration Ihrer „Infrastructure-as-a-Service“ -Angebote (IaaS)!
• Setzen Sie auf einen „Cloud Access Security Broker“! Unternehmen, die eine CASB-Lösung nutzen, verzeichnen beispielsweise eine um 45 Prozent höhere Mitarbeiterzufriedenheit oder eine um 15 Prozent bessere Zusammenarbeit von Mitarbeitern als Unternehmen ohne CASB.

Weitere Informationen zum Thema:

McAfee
Cloud Adoption and Risk Report / Business Growth Edition

datensicherheit.de, 10.07.2019
Personaldaten: Vorstände beim Datenschutz in der Pflicht

datensicherheit.de, 28.06.2019
Trotz hoher Risiken: Unternehmen vertrauen auf die Sicherheit der Cloud-Provider

datensicherheit.de, 23.06.2019
Google Cloud-Ausfälle zeigen Schwachstellen bei wichtigen Anbietern auf