Panya_photo – Shutterstock.com
Laut dem aktuellen Horizon Report 2025 wurden im Jahr 2024 weltweit 183 Millionen Patientendaten kompromittiert. Das ist ein Anstieg von neun Prozent im Vergleich zum Vorjahr. Doch weshalb fällt es für Gesundheitseinrichtungen so schwer, sich ausreichend vor Ransomware-Angriffen zu schützen?
Um das herauszufinden, hat der Sicherheitsanbieter Absolute Safety mehr als eine Million Endgeräte im Gesundheitswesen analysiert. Die Analysten sind dabei auf folgende Sicherheitsmängel gestoßen:
- Fehlende, nicht-konforme Sicherheits- und Risikokontrollen: Bei 15 Prozent der analysierten PCs wurde festgestellt, dass kritische Sicherheitskontrollen nicht mit den internen Sicherheits- und Risikorichtlinien übereinstimmten oder sogar gänzlich auf den Geräten fehlten. Zu den untersuchten grundlegenden Safety-Lösungen gehörten Data Safety, Endpoint-Safety-Providers (EPP/XDR), Safety Service Edge (SSE), VPN und Vulnerability- Administration-Lösungen. Diese Ergebnisse zeigen, dass PCs und Netzwerken im Gesundheitswesen häufig eine wichtige erste Verteidigungslinie fehlt, die Angreifer und Exploits aufhalten können.
- Verspätete Patches: Der durchschnittliche Home windows-Endpunkt im Gesundheitswesen ist 48 Tage im Rückstand mit kritischen Sicherheits-Patches. Der Analyse zufolge sind nicht-gepatchte Schwachstellen eine der Hauptursachen für Sicherheitsverletzungen und Ransomware-Infektionen. „Dieses grundlegende Versäumnis in der Safety-Hygiene führt dazu, dass Unternehmen Datenverletzungen und langwierige, störende Ausfälle riskieren“, mahnen die Autoren der Studie.
- Schatten-KI-Risiken: Die Nutzung von KI nimmt zu. Mitarbeiter im Gesundheitswesen greifen häufig auf ChatGPT und andere generative KI-Plattformen zu, die nicht HIPAA (Well being Insurance coverage Portability and Accountability Act)-konform sind. „Dies ist nicht nur hinsichtlich einer möglichen Gefährdung von Patientendaten sowie Verstößen gegen gesetzliche Vorschriften bedenklich, sondern zeigt auch, dass Organisationen kaum in der Lage sind, die Nutzung von Schatten-KI zu regeln“, betonen die Forscher. Obwohl es sich bei HIPAA in erster Linie um ein US-Gesetz handelt, kann es auch für deutsche Unternehmen related sein, wenn sie Gesundheitsdaten aus den USA verarbeiten oder darauf Zugriff haben.
„Ransomware-Gruppen nutzen verwundbare Endpunkte aus, um den Betrieb zu stören und smart Patientendaten zu stehlen. Gleichzeitig steigen die Compliance-Risiken, da Organisationen im Gesundheitswesen damit zu kämpfen haben, gesunde Sicherheitskontrollen aufrechtzuerhalten und KI-bezogene Bedrohungen zu überwachen“, kommentiert Thomas Lo Coco, Gross sales Supervisor Central Europe bei Absolute Safety. „Mit einem proaktiven Resilienz-Ansatz können Krankenhäuser, Kliniken und Gesundheitsdienstleister Risikolücken schließen, regulatorische Verstöße vermeiden und sich nach einem Cyberangriff oder IT-Vorfall schnell wieder erholen.“
