Datenschutzprobleme bei 45 % der Gesundheitsorganisationen

Wir führen in Deutschland ja gerade die elektronische Patientenakte ein. Bereits im November 2024 ist mir eine Studie auf den Tisch gekommen, die sich mit Datenschutz im Gesundheitswesen (Health Care) befasst. Die frustrierende Aussage: „45 % der Gesundheitsorganisationen haben Probleme, den Datenschutz für ihre ‚Kunden‘ bzw. Patienten sicherzustellen“.

Es ist kein Geheimnis und durch diverse Reports auch belegt: Das Gesundheitswesen ist eines der häufigsten Ziele Angriffen durch Cyberkriminellen. Im Jahr 2023 erhielt das Internet Crime Complaint Center (IC3) des FBI 1.193 Beschwerden von Organisationen, die zu einem kritischen Infrastruktursektor gehören und von einem Ransomware-Angriff betroffen waren. Die Gesundheitsbranche war mit 249 Angriffen am stärksten betroffen.

Trotz des Umgangs mit sensiblen Patientendaten zeigen die neuesten Daten aus Herbst 2024, dass Organisationen im Gesundheitswesen ungenügend aufgestellt sind und angemessene Cybersicherheitsmaßnahmen benötigen. Eine Analyse des HIPAA Journal zeigt, dass die Zahl der Datenschutzvorfälle im Gesundheitswesen im Jahr 2023 gegenüber 2022 um 156 % auf 133 Millionen gestiegen ist. Im Jahr 2023 wurden durchschnittlich 373.788 Gesundheitsdatenschutzverletzungen pro Tag begangen.

Aus dem Cybernews Business Digital Index geht hervor, dass 45 % der untersuchten Unternehmen des Gesundheitswesens weltweit mit der Note „F“ (wohl ungenügend) für ihre Cybersicherheitsmaßnahmen bewertet wurden. Das sind die Ergebnisse einer Analyse von 1.182 Finanz- und Gesundheitsunternehmen weltweit

Sicherheit im Gesundheitswesen hinkt hinterher

Der sensible Charakter von Patientendaten zieht die Aufmerksamkeit von Cyberkriminellen auf sich. Obwohl man annehmen könnte, dass Gesundheitseinrichtungen die Daten ihrer Kunden mit besonderer Sorgfalt behandeln, verfügen die meisten nicht über ausreichende Budgets für Cybersicherheit und wenden keine guten Datenschutzpraktiken an.

Laut dem Business Digital Index, der Unternehmen auf der Grundlage ihrer Online-Sicherheitsmaßnahmen bewertet, erhielten 45 % der weltweit analysierten Gesundheitsorganisationen die Note F, und 23 % bekamen die knappe Note D. Nur 3 % der Gesundheitsorganisationen waren eine A-Bewertung für ihre Sicherheitsmaßnahmen wert.

Auch bei den anderen Bewertungen sieht es nicht viel besser aus: 4 % der Unternehmen des Gesundheitswesens wurden mit B bewertet, 24 % erhielten die Note C. Nur zwei Unternehmen erhielten die beste Bewertung mit 97 von 100 Punkten. Der Durchschnitt aller untersuchten Unternehmen lag jedoch nur bei 71.

Die häufigsten Sicherheitsprobleme

Der Business Digital Index zeigt, dass das häufigste Sicherheitsproblem mit der Secure Sockets Layer (SSL)-Konfiguration zusammenhängt. In 201 Unternehmen des Gesundheitswesens wurden über 6.000 Probleme festgestellt. Darüber hinaus haben diese Organisationen über 21.000 Unternehmensdaten verloren.

Der Schutz von Unternehmens- und Kundendaten wird noch schwieriger, wenn rund ein Drittel (30 %) der Mitarbeiter geleakte Passwörter wieder verwenden. Darüber hinaus fand der Index über 700 kritische und risikoreiche Schwachstellen in den Websites von Gesundheitsunternehmen.

Im Jahr 2024 kam es bei der Plattform Change Healthcare von UnitedHealth zu einer Datenpanne, von der über 100 Millionen Amerikaner betroffen waren (siehe Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group). Hacker setzten Ransomware ein, um den Betrieb der Plattform zu stören und sensible Daten zu exfiltrieren. Es handelte sich um die größte Datenpanne im Gesundheitswesen in den USA und machte deutlich, wie wichtig die Cybersicherheit in dieser Branche ist.

Positiv zu vermerken ist, dass nur ein Fünftel (18 %) der Unternehmen im Gesundheitswesen über potenziell fälschbare Domains verfügt. Allerdings sollten 55 % der Organisationen an der Verbesserung ihrer Cloud-Hosting-Systeme arbeiten, so die Empfehlung, da diese derzeit auf niedrigem Niveau sind.