Die Gesundheitsbranche wird seit der Corona-Pandemie zunehmend von digitalen Angriffen bedroht. Im Gesundheitssektor sind auch IIoT-Plattformen und somit Geräte wie etwa Magnetresonanztomographen (MRT) und Computertomographen (CT) betroffen.
Ebenso angreifbar sind tragbare, medizinische Devices zur Fernüberwachung von Patienten, wie etwa Messgeräte für Blutzucker oder Blutdruck, sofern diese an die Büroinfrastruktur angebunden sind. Nahezu drei Viertel Hälfte (74 Prozent) der in der Schweiz im Rahmen der neuen Kaspersky-Umfrage "Patient Krankenhaus - Kaspersky-Studie zur IT-Sicherheitslage im Gesundheitswesen in Deutschland, Österreich und der Schweiz" befragten Entscheidungsträger stuft entsprechend die aktuelle Bedrohungssituation für die Cybersicherheit in ihrem Unternehmen als "hoch" ein - der höchste Wert im DACH-Vergleich. Das Internet of Things (IoT) bzw. Industrial Internet of Things (IIoT) ist auch im Gesundheitswesen nicht mehr wegzudenken: Laut der Kaspersky-Studie sind bei 96 Prozent der befragten IT-Entscheidungsträger in der Schweiz bereits IIoT-Pattformen im Unternehmen implementiert. Derartige Plattformen bieten Cyberkriminellen eine weitere Angriffsfläche. Nachdem ein Drittel (33 Prozent) der Schweizer Organisationen im Gesundheitswesen während der Covid-19-Pandemie einen Anstieg von Cyberangriffen auf ihre IIoT-Plattformen erlebt haben, gilt es vermehrt, diese kritischen Systeme, zu denen auch die Betriebstechnologie (Operational Technology - OT) gehört, entsprechend zu schützen.
31 Prozent glauben an eine ausreichende Sicherung ihrer IIoT
In der Schweiz geht gemäss Kaspersky-Studie aktuell nicht einmal jeder dritte (31 Prozent) Studienteilnehmer davon aus, die IIoT-Plattformen in ihrem Unternehmen seien ausreichend gesichert. Diese Meinung ist dabei länderübergreifend fast gleich (30,7 Prozent in Deutschland und 30 Prozent in Österreich). Trotzdem werden aktuell nicht einmal bei 29 Prozent der Unternehmen in der Schweiz die vorhandenen Sicherheitslösungen evaluiert oder sich auf die Suche nach neuen Lösungen begeben. In Sachen Netzwerksegmentierung zeichnet sich in der Kaspersky-Studie die Schweiz als Spitzenreiter ab: 34 Prozent der befragten eidgenössischen IT-Entscheidungsträger aus dem Gesundheitswesen führen diese Trennung der Netzwerke durch. Die Entkoppelung kritischer Infrastrukturen vom Büronetzwerk gilt als adäquates Mittel, um beispielsweise Schadprogrammen keine Möglichkeit zu bieten, in die kritische Infrastruktur eines Krankenhauses zu gelangen. Im Vergleich dazu trennen in Deutschland nur 22 Prozent der Befragten kritische Systeme von der Büroinfrastruktur. Österreich liegt mit 32 Prozent nur knapp hinter der Schweiz. In Deutschland nimmt man somit dieses IoT-Sicherheitsrisiko offenbar am wenigsten, in der Schweiz am stärksten ernst.
Wichtige Faktoren zum Schutz von IIoT-Infrastrukturen
Auf die offen gestellte Frage "Was ist Ihre grösste Sorge in Bezug auf die IT-Sicherheit in Ihrem Unternehmen?", antwortet ein Umfrageteilnehmer aus dem Bereich ,Prävention, Gesundheitsförderung und pflegerische Versorgung': "Dass unsere Krankenakten per Ransomware verschlüsselt werden und wir keinen Zugriff mehr auf diese hätten. Dies würde im schlimmsten Fall zum Tod von Patienten führen." Um zu gewährleisten, dass derartige IT-Sicherheitsvorfälle nicht stattfinden und die digitale Sicherheit in Organisationen auch zukünftig gegeben ist, sollten folgende Punkte berücksichtigt und umgesetzt werden:
Sicherheits-Audits: Nicht einmal die Hälfte (41 Prozent) der Schweizer Unternehmen führt regelmässige Sicherheits-Audits ihrer IIoT-Plattformen durch. Regelmässige Überprüfungen sind jedoch essenziell für die Sicherheit von IIoT-Strukturen.
Regelmässige Updates: Updates für IIoT-Plattformen scheinen hingegen als deutlich wichtiger wahrgenommen zu werden. Lediglich knapp ein Viertel (23 Prozent) gab an, keine regelmäßigen Aktualisierungen durchzuführen. In Österreich waren dies 17 Prozent, in Deutschland 12,7 Prozent. Updates sind der Schlüssel, um bestehende Lücken zu schliessen. Netzwerksegmentierung: Die Trennung von wichtigen Systemen führt in der Schweiz mit 34 Prozent gerade mal ein Drittel der befragten Gesundheitsunternehmen und -organisationen durch. In Österreich sind 32 Prozent, in Deutschland lediglich 22 Prozent der IIoT-Plattformen und Büronetzwerk voneinander getrennt. Hier besteht in allen drei Ländern definitiv Nachholbedarf.