Organisation im Gesundheitswesen stehen unter Druck, die digitale Transformation voranzutreiben und gleichzeitig für den Schutz vertraulicher Daten zu sorgen.
Aus dem Bericht »2018 Thales Data Threat Report, Healthcare Edition« geht hervor, dass lediglich 30 % der weltweit befragten Organisationen im Gesundheitswesen noch nicht von einer Datenschutzverletzung betroffen waren. Erschreckende 39 % der Befragten waren allein im letzten Jahr betroffen, die Mehrheit der Befragten (70 %) bereits zu einem anderen Zeitpunkt in der Vergangenheit. Das entspricht einem Anstieg von 16 % gegenüber den Ergebnissen des Reports von 2017. Die Resultate der in Zusammenarbeit mit den Analysten von 451 Research entstandenen Studie belegen den negativen Einfluss, den Cyberkriminelle grundsätzlich haben: Mehr als die Hälfte der Befragten (55 %) fühlen sich als »sehr« beziehungsweise »extrem« verwundbar gegenüber Verletzungen der Datensicherheit.
Digitale Transformation: Führt zu Verbesserungen im Gesundheitswesen, bringt aber auch Risiken mit sich
Das Gesundheitswesen sieht sich mehr und mehr in der Pflicht effizientere Dienste anzubieten, nicht zuletzt aus Kostengründen. Deshalb haben gerade in letzter Zeit Technologien im Gesundheitswesen Einzug gehalten, die insbesondere die digitale Transformation vorantreiben. Dazu gehören Cloud-Technologien, Big Data, das Internet der Dinge (IoT – Internet of Things) und Container-Software. Alle diese Technologien gestatten es Unternehmen, Daten besser zu erheben und zu verwalten sowie kritische Informationen effizienter zu speichern.
Beinahe sämtliche der weltweit Befragten (93 %) gaben an, diese Technologien auch im Hinblick auf vertrauliche Daten zu verwenden. Allerdings bringt jede der genannten Technologien auch neue Sicherheitsherausforderungen mit sich, die umgehend adressiert werden müssen um die Angriffsfläche nicht weiter zu vergrößern.
Einige der wichtigsten Ergebnisse des Reports auf einen Blick:
- Sämtliche der weltweit Befragten (100 %) gab an Cloud-Technologien zu benutzen, 54 % davon verwenden sogar drei und mehr verschiedene Cloud-Anbieter innerhalb ihrer IaaS-Infrastruktur anstatt eine Infrastruktur vor Ort vorzuhalten.
- Ein Drittel (33 %) der weltweit Befragten nutzt über 50 Cloud-basierte Software-Applikationen (SaaS) und 54 % nutzen drei und mehr verschiedene Cloud-basierte Plattform-Umgebungen (PaaS).
- Beinahe alle Befragten (99 %) verwenden Big Data, 94 % benutzen bereits mobile Bezahltechnologien oder arbeiten daran sie einzusetzen, 94 % haben schon ein Blockchain-Projekt implementiert oder befinden sich im Prozess der Implementierung.
- 96 % setzen IoT-Technologien ein, zu denen internetfähige Herzfrequenzmesser, implantierbare Defibrillatoren und Insulinpumpen gehören können.
Als Folge davon sind Unternehmen im Gesundheitswesen zu einem der wichtigsten Ziele für Hacker avanciert und wertvolle medizinische Daten einem Risiko ausgesetzt. Gestohlene Kreditkartendaten haben nur einen zeitlich begrenzten Wert, während demgegenüber Protected Health Information (PHI) und Electronic Medical Records (EMR) voll sind mit Daten, die ihren Wert dauerhaft behalten, und die hunderte von Dollar pro Datensatz auf illegalen Marktplätzen erzielen.
Compliance spielt eine zunehmend wichtigere Rolle bei Sicherheitsüberlegungen im Gesundheitswesen
Zurückliegende Berichte haben ergeben, dass in den USA Compliance eine größere Rolle spielt als in anderen Teilen der Welt. Das hängt vor allem mit dem überwiegend privat organisierten Gesundheitssystem zusammen, das auf einem komplexen Netz von Regularien und Standards beruht. Allerdings ist es fraglich ob eine Compliance-basierte Strategie tatsächlich effektiver ist: 77 % der Befragten aus den USA verzeichneten in der Vergangenheit wenigstens eine Datenschutzverletzung. Das ist die höchste Zahl unter allen im letzten Jahr durchgeführten Branchenumfragen in den USA. Trotz dieser Ergebnisse gehen 64 % der weltweit im Gesundheitswesen Befragten immer noch davon aus, dass Compliance-Anforderungen »sehr« oder »extrem« effektiv sind, wenn es darum geht Verstöße gegen die Datensicherheit zu verhindern. Da verwundert es nicht, dass Compliance im Gesundheitswesen weltweit einer der wesentlichen Treiber ist, wenn es um Investitionen in die IT-Sicherheit geht (das sehen 51 % der Befragten so). Die Prozentzahl ist damit höher als in jedem anderen Bereich und mit 44 % auch höher als der Vergleichswert in den USA.
Verschlüsselung als sehr wichtig erachtet – aber spiegelt sich das in den getätigten Investitionen?
83 % der weltweit aus dem Gesundheitswesen Befragten plant mehr in die IT-Sicherheit zu investieren (eine Zahl, die über den globalen Vergleichswerten anderer Branchen liegt), aber nur 40 % der Befragten planen mehr Budget für Sicherheitslösungen, die Daten während des Speicherns schützen (Data-at-Rest). Eine Haltung, die einigermaßen verwundert, wenn man sich die übrigen Ergebnisse des Reports ansieht. Ein Beispiel: Die in Kürze wirksam werdende Datenschutzgrundverordnung (DSGVO), auch General Data Protection Regulation (GDPR), bringt das Thema Datenhoheit auf die Agenda der meisten international agierenden Unternehmen ganz nach oben. Ebenfalls weltweit betrachtet ist Verschlüsselung die Technologie der Wahl, um den Vorschriften zum Schutz der Privatsphäre zu entsprechen (36 %). Anders als in den USA wo der Schutz von Data-at-Rest (wie durch Verschlüsselung und Tokenisierung) auf dem zweitletzten Platz der Prioritätenliste steht, rangiert der Schutz von Daten während der Speicherung bei 76 % der Befragten im Gesundheitswesen weltweit demgegenüber auf Platz 1 bei den gewählten Datenschutzmaßnahmen (verknüpft mit Maßnahmen zum Schutz von Data-in-Motion, also Daten während der Übertragung).
Dazu Peter Galvin, Chief Strategy Officer, Thales eSecurity: »Im Bereich Datenschutz und Datensicherheit steht das Gesundheitswesen weltweit zunehmend unter Druck. Aus diesem Grund sind einige der Ergebnisse des jüngsten Reports wenig eingängig. Zum Beispiel investieren 63 % der weltweit Befragten Geld in den Schutz von Endpunkten, wohl wissend, dass diese Maßnahmen kaum helfen, ist der Perimeter erst umgangen. Investitionen in die Datensicherheit müssen sich an den Realitäten im Gesundheitswesen orientieren. Einer Branche, die zunehmend Technologien einsetzt, die die digitale Transformation vorantreiben. In Verschlüsselung zu investieren sorgt dafür, dass bekannte und unbekannte sensible Daten besser geschützt sind. Daten, die längst nicht mehr in den traditionellen vier Wänden der Netzwerkumgebungen im Gesundheitswesen liegen.«
[1] Der vollumfängliche Report 2018 Thales Healthcare Data Threat Report steht Ihnen nach Registrierung hier auf Englisch zum Herunterladen zur Verfügung und enthält zusätzliche Empfehlungen und Best Practices. https://dtr-healthcare.thalesesecurity.com/
Gesundheitswesen als chronischer Patient in Sachen IT-Sicherheit – Herausforderungen und Lösungswege
Sicherheitsarchitektur: Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen
Post-Intrusion Report – Gesundheitswesen ist bevorzugtes Ziel von Cyberattacken
Gesundheitswesen: Ärzte sind offen für die digitale Zukunft der Medizin
Risiken und Nebenwirkungen – Wachsende Bedrohung für das Gesundheitswesen
Gesundheitswesen massiv im Visier der Cyberkriminellen – Tipps für Gegenmaßnahmen
IT-Trends für das Gesundheitswesen: Patienten- und serviceorientierte Versorgung