Jeder vierte Cyber-Angriff auf Gesundheitseinrichtungen in Deutschland hatte ernsthafte Auswirkungen auf die Gesundheit und Sicherheit der Patienten. Zu diesem Ergebnis kommt die Global Healthcare Cybersecurity Study 2023 von Claroty.
Drei von vier Gesundheitseinrichtungen in Deutschland (73 Prozent) wurden zum Opfer von Cyber-Vorfällen. Dabei waren „nur“ in jedem zweiten Fall die jeweiligen IT-Systeme betroffen. Die Mehrzahl der Vorfälle (57 Prozent) betraf cyber-physische Systeme (CPS) wie vernetzte medizinische Geräte oder die Gebäudetechnik. Diese Aussagen stammen aus der Global Healthcare Cybersecurity Study 2023 von Claroty. Für den Report wurden weltweit insgesamt 1.100 Fachkräfte aus den Bereichen Cyber-Sicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen befragt.
„Die Healthcare-Branche hat im Bereich der Cyber-Sicherheit mit vielen Herausforderungen zu kämpfen: schnell wachsende Angriffsflächen, veraltete Technologien, Budgetbeschränkungen und ein globaler Mangel an Cyber-Fachkräften“, erklärt Yaniv Vardi, CEO von Claroty. „Die Studie zeigt, dass das Gesundheitswesen die volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden braucht, um medizinische Geräte vor den wachsenden Bedrohungen zu schützen und so die Sicherheit der Patienten zu gewährleisten.“
Der Report beleuchtet dabei die Erfahrungen der Sicherheitsverantwortlichen mit Cybersecurity-Vorfällen im vergangenen Jahr, den aktuellen Stand ihrer Sicherheitsanstrengungen sowie ihre zukünftigen Prioritäten. Zu den wichtigsten Ergebnissen zählen:
- 78 Prozent der Befragten verzeichneten im letzten Jahr mindestens einen Cybersecurity-Vorfall (Deutschland 73 Prozent).
In 30 Prozent der Fälle weltweit waren sensible Daten wie geschützte Gesundheitsinformationen (PHI) betroffen (Deutschland: 23 Prozent). - 60 Prozent der Vorfälle weltweit hatten moderate oder erhebliche Auswirkungen auf die Patientenversorgung, weitere 15 Prozent ernsthafte Auswirkungen, die die Gesundheit und Sicherheit der Patienten gefährden. In Deutschland sind zwar mit 33 Prozent die moderaten bis erheblichen Auswirkungen deutlich geringer, dafür jedoch die Anzahl der Vorfälle mit ernsthaften Auswirkungen deutlich höher (27 Prozent).
- 20 Prozent der von Ransomware betroffenen Einrichtungen in Deutschland haben das geforderte Lösegeld gezahlt (weltweit 26 Prozent).
- Weltweit treiben vor allem gesetzgeberische Maßnahmen die Cybersicherheit im Gesundheitswesen voran: 44 Prozent der Befragten sehen in ihnen den größten externen Einfluss auf die eigene Cybersecurity-Strategie.
- Weltweit orientieren sich Sicherheitsverantwortliche am stärksten am NIST Cybersecurity Framework (38 Prozent, in Deutschland 30 Prozent). Während das HITRUST Cybersecurity Framework global mit 38 Prozent ebenfalls bedeutend ist, spielt es in Deutschland eine eher untergeordnete Rolle (17 Prozent). Hier setzt ein Drittel (33 Prozent) vor allem auf die CISA CPGs.
Die Studie verdeutlicht zudem, dass der Mangel an Cyber-Fachkräften auch im Gesundheitssektor nach wie vor eine der größten Herausforderungen ist: Jede zweite Einrichtung (53 Prozent) in Deutschland ist auf der Suche nach neuen Mitarbeitern für den Bereich Cybersicherheit. Dabei haben 70 Prozent der Befragten Schwierigkeiten bei der Rekrutierung des geeigneten Personals.
Methodik
Claroty hat Pollfish mit der Durchführung einer Umfrage unter Gesundheitsdienstleistern, Krankenhäusern und Kliniken in Nordamerika (500), Südamerika (100), APAC (250) und Europa (250) beauftragt. Hierzu wurden insgesamt 1.100 Personen befragt. An der Umfrage nahmen nur Personen teil, die hauptberuflich in den Bereichen Cyber-Sicherheit, klinische Technik, biomedizinische Technik, Informationssysteme, Risiken oder Netzwerke tätig sind.
Die Befragten arbeiten für Einrichtungen mit mindestens 25 bis über 500 Betten, wobei die größte Gruppe (45 Prozent) für Einrichtungen mit 100 bis 500 Betten tätig ist. Die Umfrage konzentriert sich auf den Zeitraum von Juni 2022 bis Juni 2023 und wurde im Juli 2023 abgeschlossen. Hinweis: Aufgrund von Rundungen oder der Möglichkeit von Mehrfachnennungen kann es sein, dass die Summen nicht 100 Prozent ergeben. (rhh)
