Eine aktuelle MIT-Studie ergab, dass der Gesundheitssektor „beim Schutz seiner primären Bezugspersonen (Patienten) hinter anderen Branchen zurückbleibt“. Ein Sicherheitsexperte im Gesundheitswesen wies in einem Kommentar gegenüber Forschern auf diese Lücke hin und beklagte, dass „ich als Bankangestellte in einer Organisation dieser Größe 25 Mitarbeiter gehabt hätte.“ Warum hinkt die Krankenhaussicherheit anderen Sektoren wie dem Bankwesen hinterher? Um diese Frage zu beantworten, ist es hilfreich, über die grundlegenden Cybersicherheitsmethoden nachzudenken, die Banken verwenden: Sicherheit vor Ort: In einer Bank kann die Öffentlichkeit mit einer kleinen Anzahl hochspezialisierter Automaten wie Geldautomaten interagieren. Die am weitesten verbreiteten Computer sind ausschließlich dem Personal vorbehalten und werden niemals unbeaufsichtigt oder unverschlossen gelassen. Online-Sicherheit: Bankdienstleistungen waren ebenfalls einer der ersten Akteure beim Online-Zugang. Banking-Websites und -Apps erfordern oft sichere Passwörter, sekundäre Authentifizierung, automatische Abmeldungen und andere Sicherheitsmaßnahmen. Multi-Faktor-Authentifizierung – Banken verlangen immer eine Zwei-Faktor-Authentifizierung. Das offensichtlichste Beispiel ist ein Geldautomat, für den normalerweise eine Bankkarte (etwas, das Sie haben) und eine PIN (etwas, das Sie wissen) erforderlich sind. Für viele Transaktionen mit Bankbuchhaltern ist ein Lichtbildausweis (etwas, das Sie selbst sind) erforderlich. Vergleichen Sie das mit Krankenhäusern. Laxe Standortsicherheit: In Krankenhäusern gibt es viele ruhige Ecken und leere Büros. Pflegearbeitsplätze können unbeaufsichtigt, aber angeschlossen bleiben, wenn das Pflegepersonal sich beeilen muss, um einen dringenden Patientenfall zu bearbeiten. Ein Cyberkrimineller findet möglicherweise Möglichkeiten, über eine ungeschützte Steckdose oder einen entsperrten Arbeitsplatz auf ein Krankenhausnetzwerk zuzugreifen. Der ständige Betrieb eines 24-Stunden-Krankenhauses macht einige Formen der Sicherheit nahezu unmöglich; In einem aktuellen Fall konnte ein Malware-Forscher nach Geschäftsschluss auf einen Radiologiedienst zugreifen und eine Verbindung zu einem Schadgerät herstellen, ohne kompromittiert zu werden. Chaotische Online-Umgebung: Das Gesundheitswesen besteht aus miteinander verbundenen Anbietern, von Allgemeinärzten über Versicherungsspezialisten bis hin zu großen medizinischen Zentren, und es gibt viele verschiedene Systeme, die die Krankenakten der Patienten auf unterschiedliche Weise austauschen. Diese unterschiedlichen Systeme und Interoperabilitätsanforderungen schaffen eine große „Angriffsfläche“, über die Hacker Schwachstellen ausnutzen und Zugriff auf sensible Patientendaten erhalten können. Authentifizierungsprobleme: Krankenhäuser sind komplexe Umgebungen, oft mit Tausenden von Mitarbeitern, Patienten und Besuchern. Krankenhäuser verfügen über eine große Vielfalt an Geräten, die häufig zur Behandlung von Patienten ohne direkte Aufsicht eingesetzt werden. Einige dieser Maschinen verfügen nicht über eine Authentifizierung.
(Bild: © Bildnachweis: The Digital Artist / Pixabay)
Sofortzahlung
Wenn man die beiden vergleicht, ist es ziemlich klar, dass Banken einen organisierteren und systematischeren Sicherheitsansatz haben als Krankenhäuser, aber die Frage ist, warum? Einer der Gründe wird offensichtlich, wenn wir uns vorstellen, was einen Cyberkriminellen dazu motiviert, zu versuchen, die Sicherheit eines Unternehmens zu verletzen. Wenn es um Banken geht, ist es ganz offensichtlich, dass Kriminelle auf der Suche nach Geld sind. So wie die alte physische Sicherheit in Banken in erster Linie auf die Verhinderung von Diebstahl ausgerichtet ist, geht es bei Cybersicherheitslösungen für Banken in erster Linie um die Verhinderung von Online-Diebstahl. Gestohlene Bankdaten könnten auch für Identitätsdiebstahl oder Erpressung genutzt werden, allerdings sind diese weniger einfach. In Krankenhäusern gibt es keinen sofortigen Gehaltsscheck für den Diebstahl medizinischer Daten. Der unmittelbarste Weg, Geld zu verdienen, besteht darin, die gestohlenen Daten im Dark Web oder auf dem Schwarzmarkt zu verkaufen. Der Wert medizinischer Informationen auf dem Schwarzmarkt wird auf den höchsten Wert geschätzt; Ein Hacker sagte den MIT-Forschern, dass „eine Krankenhausakte 20-mal mehr kostet als eine Sozialversicherungsnummer“. Kriminelle können diese medizinischen Informationen, etwa Bankdaten, zum Identitätsdiebstahl oder möglicherweise zur Erpressung nutzen, wenn ein Patient ein gesundheitliches Problem hat, das sie nicht preisgeben wollen. Die Offenlegung privater Informationen über bekannte Personen könnte zur Marktmanipulation oder für politische Zwecke genutzt werden. Alternativ könnte auch ein Krankenhaus selbst Ziel von Erpressung oder Ransomware sein. Am alarmierendsten ist, dass ein Cyberangriff auf ein Krankenhaus medizinische Geräte außer Betrieb setzen oder umleiten und Patienten verletzen könnte. In all diesen Fällen ist die finanzielle Belohnung jedoch mindestens einen Schritt entfernt und der Hacker muss auf seine Belohnung warten, sodass der Polizei mehr Zeit bleibt, die Sache einzuholen.Wichtigkeit des Vertrauens
Jeder versteht, was ein Banküberfall bedeutet. Kunden, Mitarbeiter und Bankmanager erwarten, dass die Cybersicherheit einer Bank physisch sicher ist. Für viele Menschen ist die Idee einer Bank wie ein Ort, an dem sie ihr Geld sicher aufbewahren können. Vertrauen ist ihr Kerngeschäft. Auf einer tieferen Ebene liegt dieses Vertrauen dem gesamten Bankensystem zugrunde. Die Banken haben nicht das Geld, um jeden einzelnen Einleger auszuzahlen; Wir hoffen jedoch, dass die Bank zahlen kann, wenn wir es brauchen. Wenn dieses Vertrauen verschwindet, kann eine Operation in den Banken zum Zusammenbruch des gesamten Systems führen. Dieses tiefe Vertrauen gilt auch für Krankenhäuser und medizinische Zentren. Als Patienten vertrauen wir Krankenhäusern und ermöglichen ihnen, unseren Körper durch Medikamente und Operationen physisch zu verändern. Wir verstehen selten, wie eine bestimmte Diagnose gestellt wird und warum sie eine spezifische Behandlung erfordert. Wir müssen den Ärzten, Pflegekräften, Tests und Maschinen vertrauen. Für beide Institutionen gilt: Wenn es kein Vertrauen gibt, werden Sie nie durch die Tür gehen. Für Banken läuft dieses Vertrauensverhältnis auf die Frage der Sicherheit hinaus: „Ist mein Geld sicher?“ Für Krankenhäuser ist es eine Sicherheitsfrage: „Werde ich oder meine Angehörigen hier in Sicherheit sein?“
(Bild: © Bildnachweis: Pixabay)