Cyberkriminelle fokussieren auf Menschen, nicht Netzwerke

Die Netzwerksicherheit wird immer besser, sodass Cyberkriminelle nun das Augenmerk darauf richten, Menschen anzugreifen. Betrügerische E-Mails fungieren dabei an oberster Stelle, daher ist es so wichtig, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen.

Die digitale Transformation des Gesundheitswesens ist in den USA besonders weit fortgeschritten. Der höhere Digitalisierungsgrad bedeutet aber auch, dass die Institutionen des Gesundheitswesens hohen Cybersicherheitsrisiken ausgesetzt sind. 42.News sprach mit dem angesehenen Cybersicherheitsexperten Ryan Witt, Managing Director, Healthcare Practice, Proofpoint in den USA.

Ist Cybersicherheit ein wichtiges Thema in US-amerikanischen Krankenhäusern?

Mittlerweile haben die Krankenhäuser hier in den USA begriffen, dass die Sorgen um Cybersicherheit absolut berechtigt sind. Das Gesundheitswesen hat eine Menge Zeit verstreichen lassen, sich dieser Herausforderung zu stellen. Aber jetzt hat auch dieser Industriezweig erkannt, dass es sich bei Cybersicherheit um eine Angelegenheit handelt, der er sich annehmen muss. Trotzdem sehen wir noch nicht genügend Aktivitäten, Patientendaten zu sichern. Die meisten Krankenhäuser sind noch nicht ausreichend dazu ausgerüstet und haben bisher die notwendigen Investitionen gescheut. Eine Untersuchung des Ponemon Institutes mit dem Titel „Ponemon Institute Cost of a Data Breach Study 2018”, zeigt aber, dass sie dies nicht auf die lange Bank schieben sollten.

Die Studie, die sich detailliert mit der Thematik Sicherheitsverletzungen auseinandergesetzt hat, fand heraus, dass im Jahr 2018 die Pro-Kopf-Kosten für einen Datenschutzverstoß im Gesundheitswesen bei US$ 408 lagen und damit die Liste der 17 untersuchten Industriesektoren anführte. Den zweiten Platz nahm der Finanzsektor mit Pro-Kopf-Kosten von US$ 206 ein.

Wie wichtig ist der Schutz von Patientendaten in US-amerikanischen Krankenhäusern?

Früher konzentrierten sich US-amerikanische Krankenhäuser auf die Einhaltung von Konformitätsstandards, alles dreht sich darum, die Kriterien des Krankenversicherungsportabilitätsgesetzes (die sogenannte ‘Healthcare Insurance Portability and Accountability Act‘ (HIPAA)) zu erfüllen. Mittlerweile spiegelt dies aber nur einen Teil ihrer Motivation wider, denn die Wahrnehmung der Bedeutung von Patientendaten hat sich verändert. Nun wird der Schutz der Patientendaten als eine zentrale Komponente des Schutzes des Patienten insgesamt betrachtet.
 
Krankenhäuser sehen Datenschutz nicht länger als Wettbewerbsvorteil an, sondern als Herzstück der Patientensicherheit. Die Diskussionen zu Patientensicherheit finden allmählich auch außerhalb der IT-Abteilungen statt und werden auch mit dem Chief Medical Officer (CMO) geführt. Natürlich ist das ein langsamer Prozess, aber wenn die Patientensicherheit unter der Ägide des CMO steht, bedeutet das auch, dass es etwas leichter sein wird, Geld dafür lockerzumachen.

Leider ist die unangenehme Wahrheit dabei auch, dass das Gesundheitswesen wohl nicht ohne eine kräftige Kapitalspritze auskommen wird, um sich vor diesen Übergriffen zu schützen.

Wie verschaffen sich Cyberkriminelle üblicherweise Zugang zu einer Organisation?

Das mit Abstand anfälligste Glied in der Sicherheitskette ist der Mensch. Hacker konzentrierten sich auf Schwachstellen in der Netzwerkarchitektur, nutzen Patches aus, die nicht eingesetzt wurden, oder entwickeln im Extremfall Zero-Day-Angriffe.

Die Netzwerksicherheit hat so zugelegt, dass Cyberkriminelle sich jetzt darauf konzentrieren, Menschen anzugreifen. Sie verwenden LinkedIn, Google, Facebook usw., um die effektivste Methode zu ermitteln, einen überzeugenden Exploit gegen ihr beabsichtigtes Ziel zu lancieren – normalerweise per E-Mail oder anderen Messagingtools. Wenn die entsprechende E-Mail genau den richtigen Ton trifft und auch der Kontext stimmig scheint, kommt man nur allzu gerne der Aufforderung nach, Informationen preiszugeben, einen Link anzuklicken oder eine Datei herunterzuladen.

Eine weitere bedeutende Herausforderung ist der E-Mail-Betrug, bei dem die gleichen Social-Engineering-Techniken und Täuschungsmanöver (Spoofing) verwendet werden, um sich als einen Kollegen oder Geschäftspartner auszugeben. Laut Angaben des FBI hat E-Mail-Betrug die Geschäftswelt seit dem Jahr 2013 über 12 Milliarden US Dollar gekostet. Aus diesen Gründen sollten sich Krankenhäuser weniger um gehackte Netzwerke als um den Schutz von Personen, die durch die Art und Weise, wie sie arbeiten, beziehungsweise durch ihren Zugang zu Informationen, verwundbar sind, sorgen.

Welchen Rat können Sie CIOs hierzulande mit auf den Weg geben?

Heute fokussieren Cyberkriminelle auf Menschen. Dabei sind bestimmte Berufskategorien aufgrund ihrer Zugriffsmöglichkeiten auf Informationen beziehungsweise ihrer Arbeitsweise anfälliger für potenzielle Cyberübergriffe als andere. Daher ist es wichtig, diejenigen Personen in einer Organisation zu identifizieren, die man am meisten vor solchen Angriffen schützen muss, um sicherzustellen, dass geeignete adaptive Kontrollen eingesetzt werden. Da diese Angriffe meistens per E-Mail erfolgen, sollten sich CIOs und Sicherheitsteams auf das Training des Sicherheitsbewusstseins gerade dieser Mitarbeiter konzentrieren.

Vielen Dank für das Gespräch.

###

Das Interview führte Cornelia Wels-Maug.

Mehr Geld für Cybersicherheit

HIMSS Studie gibt einen Einblick in die Trends der US-amerikanischen Sicherheitspraxen.

Risikofaktor Mensch

Cybersecurity im Krankenhaus ist nicht nur eine Frage der Technologie

Doppelt gesichert

Das Universitätsklinikum Freiburg investiert in Datensicherheit und -verfügbarkeit.