Wenn Cyberkriminelle an Kreditkarten- oder Finanzdaten gelangen, gewinnt das Thema Internetsicherheit und Datenschutz für die Betroffenen an Bedeutung. Dies gilt umso mehr, wenn sich Hacker Zugang zu Krankenakten und medizinischen Daten verschaffen. Zudem wird eine sichere IT zunehmend zum Wettbewerbsfaktor.
Die Angst vor Sicherheitsverletzungen im Gesundheitswesen ist nicht unbegründet. Die jüngsten Berichte über einen hochkarätigen Angriff auf eine Krankenversicherung in den USA sind Anlass genug. Und es kommt immer wieder zu Sicherheitsvorfällen dieser Art, Tendenz steigend. Das Ponemon Institute beziffert den Anstieg der Cyberangriffe auf das Healthcare-Umfeld auf 125 Prozent seit 2010. Hacker sind also scheinbar sehr interessiert an den Informationen, die von den Kostenträgern im Gesundheitswesen gehortet werden.
»Die Versicherungsunternehmen sind wie eine Schatzkiste für Cyberkriminelle, da sie nicht nur die Sozialversicherungsdaten der Kunden verarbeiten, sondern auch alle weiteren persönlichen Informationen«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.« Dazu gehören Bankverbindungen, Kreditkartendaten, Beschäftigungs- und Einkommensdaten, Adresse, Geburtsdatum, medizinische Aufzeichnungen und mehr. Grundsätzlich kann jedes Bit an wertvollen Informationen auf dem Schwarzmarkt verkauft werden.
Es gibt aber Möglichkeiten, wie sich potenziell betroffene Unternehmen besser schützen können:
- Überblick gewinnen, Risiken verstehen und die Sicherheitslage beurteilen
Dieser auf den ersten Blick aufwendige Prozess scheint schwer umsetzbar zu sein angesichts ohnehin knapper Ressourcen und Budgets. Moderne Netzwerksicherheits-Appliances sind hier sehr hilfreich, da sie diese Aufgaben im Tap-Modus erledigen, ohne Unterbrechung des täglichen Betriebs. So gewinnt das Sicherheitsteam ohne großen Aufwand innerhalb weniger Tage einen wertvollen Überblick zu Anwendungen und vorhandener Malware im gesamten Netzwerk. Wird dabei speziell die Server-Kommunikation betrachtet, die sensible Daten der Versicherten betrifft, wird schnell ersichtlich, wo es in der IT-Umgebung an Sicherheit mangelt.
- Strengere Segmentierung mit Kontrolle auf Applikationsebene
Die heutige Realität ist, dass viele Unternehmen immer noch ein Netzwerk betreiben, das viel zu flach organisiert ist, um sensible Daten vor fortschrittlichen Angriffsszenarien zu schützen. Dies gilt insbesondere für Angriffe, die sich, sobald sie im Netzwerk stattfinden, seitlich bewegen können. Der Schutz sensibler und regulierter Daten erfordert eine strengere Segmentierung, die auf Anwendungs-Whitelisting und Benutzerzugriffskontrolle basiert, und eine systematische Überprüfung aller Nutzlasten, einschließlich der von zugelassenen Anwendungen. Auf diese Weise lassen sich Risiken bereits deutlich reduzieren, so dass Sicherheitsteams manuell und moderne Sicherheitstools automatisiert optimal arbeiten können.
- Quantifizierung der Risiken und Kosten einer Datenpanne für das eigene Unternehmen
Sicherheitsverantwortliche sollten für die Argumentation in der Führungsetage anschauliche Daten bereithalten, die aufzeigen, warum das Unternehmen mehr in Sicherheit investieren sollte. Allein zu den Sicherheitsvorfällen im vergangen Jahr gibt es jede Menge Studien.
- Sicherheitsbewusstsein der Mitarbeiter schärfen
Das Sicherheitsbewusstsein und die entsprechende Weiterbildung müssen im Rahmen einer alltäglichen Interaktion trainiert werden, bis sie verinnerlicht werden. Das Ziel ist hier nicht, einen Zustand der Paranoia zu schaffen. Für jeden Mitarbeiter sollte jedoch klar sein, dass die Sicherheit von entscheidender Bedeutung für die Stabilität des Unternehmens ist. Dazu gehört auch, dass jeder Mitarbeiter – und nicht nur der IT-Administrator – in der Lage ist, möglichst schnell Anzeichen zu erkennen, wenn etwas nicht in Ordnung ist im Netz.
- Vernetzung mit Interessengruppen in der Gesundheits- und Versicherungsbranche
Hacker und Cyberkriminelle sind immer mehr und besser organisiert. Ebenso müssen einzelne Unternehmen nicht allein auf weiter Flur gegen die organisierte Cyberkriminalität kämpfen. Durch den Austausch innerhalb von Interessengruppen können Sicherheitsverantwortliche mehr erfahren über erfolgreiche Praktiken, etwa welche Abwehrmaßnahmen bei bestimmten Angriffen wirksam sind. Wer an Foren dieser Art teilnimmt, wird feststellen, dass das Volumen an wertvollen Informationen, die unternehmensübergreifend geteilt werden, erstaunlich groß ist.
- Führungskräfte für die Sicherheitsagenda engagieren
Cybersicherheit ist nicht mehr nur ein IT-Problem, sondern ein Businessthema. Viele führende Unternehmen haben dies bereits vor vielen Jahren beherzigt und entsprechend in Ressourcen und Tools investiert, um sich zu schützen. Wenn in einem Unternehmen jedoch einiges darauf hindeutet, dass Handlungsbedarf besteht, ist es umso wichtiger, die Führungsetage zu erreichen und den Status quo in Sachen Sicherheit zur Sprache zu bringen.
»IT-Verantwortliche können diese Handlungsempfehlungen in einem ersten Schritt als Argumentationshilfe nutzen. So kann es gelingen, Führungskräfte und Entscheider davon zu überzeugen, in zeitgemäße Lösungen und Maßnahmen für Cybersicherheit und Datenschutz zu investieren«, fasst Thorsten Henning zusammen. »Nur so wird es gelingen Cyberkriminellen, die es auf den Datenschatz im Gesundheitswesen abgesehen haben, wirksam entgegenzutreten. Außerdem sollte nicht vergessen werden, dass eine sichere IT auch durchaus ein Qualitätsmerkmal ist, das im Wettbewerb der Unternehmen im Gesundheitswesen massiv an Bedeutung gewinnt.«