Datenschutzprobleme verursacht oft das Gesundheitspersonal selber
In einer internationalen Studie im Auftrag des russischen Software-Herstellers Kaspersky gab ein großer Teil der befragten Entscheider im Gesundheitswesen an, schon einmal Probleme mit dem Datenschutz tele-medizinischer Anwendungen gehabt zu haben. Dabei wurden die Fehler, die zur Datenschutzverletzung führten, oft nicht extern verursacht.
Ein Viertel der Datenschutz-Fehler unterlief den Mitarbeitern
So gab mit 24 Prozent rund ein Viertel der Befragten an, dass Mitarbeitern selbst, etwa bei Videosprechstunden, datenschutzrechtliche Fehler passiert sind. Konkret wurden in den meisten Fällen personenbezogene Daten kompromittiert.
Insgesamt 36 Prozent der Befragten berichteten, dass das medizinische Personal aufgrund von Unwissenheit diese Fehler beging. Daher veranlassten 67 Prozent eine Schulung beziehungsweise Nachschulung im Bereich IT-Sicherheit. Allerdings versicherten nur 26 Prozent, dass sie überzeugt seien, dass die Mitarbeiter das erlangte Wissen dann auch in telemedizinischen Anwendungen umsetzen. Zudem führten 54 Prozent an, dass ihre Angestellten die Videosprechstunden teilweise mit Programmen durchführen, die gar nicht für telemedizinische Anwendungen konzipiert sind, wie Whats-App, FaceTime, Zoom oder Facebook Messenager.
Die Studienautoren werten die Zahlen als Indikator dafür, dass viele der durchgeführten Sicherheitsschulungen nicht die nötige Realitätsnähe haben, um dem medizinischen Personal die für sie nötigen Cybersecurity-Fähigkeiten an die Hand zu geben. Dafür müssten einfach mehr Anwendungsfälle in den Fokus gerückt werden, die den medizinischen Alltag und die damit verbundenen digitalen Gefahren bestmöglich abbilden.
Obwohl die Menge an Daten den Umgang mit ihnen erschwert, befürworten dennoch 53 Prozent der Befragten, dass der Gesundheitssektor weitere Patienteninformationen sammelt.
Gut die Hälfte ist sich sicher, dass sich Patienten aus Sorge um den Datenschutz oder aus mangelndem Vertrauen in die Technologien weigerten, telemedizinische Angebote überhaupt wahrzunehmen. Fast ein Drittel stimmte zu, dass ihre Organisation von Cyber-Sicherheitsproblemen aufgrund von Schwachstellen bei Technologien, wie Datenlecks oder Cyber-Angriffen, erfahren haben.
Auch befragte Klinikärzte äußerten Vorbehalte: Acht von zehn haben Bedenken, was die Durchführung von Telemedizin-Sitzungen aus der Ferne betrifft. Dabei geht es ihnen besonders um die Verwendung und Weitergabe von Patientendaten sowie die allgemeine Datensicherheit. Angst haben die Verantwortlichen vor etwaigen persönlichen Strafen, die im Falle einer undichten Stelle bei einer Fernkonsultation anfallen könnten. Über ein Drittel hat Sorge, dass aufgrund einer schlechten Bildqualität falsche Diagnosen gestellt werden könnten.
Gearbeitet wird zu drei Viertel mit alten Betriebssystemen
Befragt zu Updates gaben fast drei Viertel der Führungskräfte an, dass sie derzeit medizinische Geräte mit einem veralteten Betriebssystem verwenden. Gründe dafür sind für 37 Prozent die zu hohen Kosten für Upgrades, für 29 Prozent die Kompatibilitätsprobleme und für 17 Prozent fehlendes internes Wissen, wie ein Upgrade durchzuführen ist. 18 Prozent nannten andere Gründe.
Nur 30 Prozent der Befragten sind zuversichtlich, dass ihr Unternehmen in der Lage ist, alle Cyber-Angriffe abzuwehren. Dagegen glauben 36 Prozent, dass ihr medizinisches Personal nicht genau weiß, wie die Daten von Patienten geschützt werden sollten.
Fazit der IT-Experten: Um das Risiko intern verursachter Vorfälle zu minimieren und neue Perspektiven zu schaffen, sollten Organisationen des Gesundheitswesens ihre Cybersicherheitsrichtlinien auf die heutigen Bedürfnisse hin abstimmen: „Dazu gehören klare Richtlinien für die Nutzung externer Dienste und Ressourcen, eine durchdachte Zugangsstrategie für Unternehmensdaten und eine solide Passwortsicherheit.“
Das britische Marktforschungsinstitut Arlington Research befragte im Auftrag von Kaspersky das Führungspersonal von Gesundheitsdienstleistern online zur Einführung neuer digitaler Technologien. 389 Interviews wurden mit Vertretern aus 34 Ländern geführt, davon 170 mit Unternehmen mit mehr als 1.000 Beschäftigten und 219 mit Unternehmen mit 50 bis 999 Beschäftigten.
Das raten Experten
Kaspersky-Empfehlungen für medizinische Einrichtungen zum Patienten- und Selbstschutz
Endgeräte sind das Hauptziel von Cyber-Angriffen. Stellen Sie sicher, dass alle Firmengeräte, die Zugang zum Firmennetzwerk und zum Internet haben, ein geschütztes Netz haben. Dazu gehören Computer, Büro-Smartphones, Tablets und auch Terminals für Aufzeichnungen.
Regelmäßige Software-Updates sind der beste Weg, um Angreifern die Möglichkeit zu nehmen, alte, nicht korrigierte Schwachstellen als Angriffspunkt zu nutzen.
Das Sicherheitsbewusstsein der Mitarbeiter ist unerlässlich, um die Datensicherheit eines Unternehmens zu gewährleisten. Stellen Sie sicher, dass alle im Team über Cyber-Risiken Bescheid wissen und verstehen, wie sie ihnen begegnen können. Die Mitarbeiter müssen auch eine klare Vorstellung zu den in ihrer Organisation getroffenen Cybersicherheitsmaßnahmen haben und in der Lage sein, den Patienten zu erklären, wie ihre persönlichen Daten geschützt werden.
Ein Unternehmen des Gesundheitswesens muss über eine E-Mail-Sicherheitslösung verfügen. Unter der Vielzahl von E-Mails kann sich auch Spam befinden. Leider enthalten diese Spam-Mails oft gefährliche Anhänge, die der Infrastruktur des Unternehmens schaden können.
Cyber-Kriminelle nutzen eine breite Palette von Methoden auf der Jagd nach persönlichen Informationen. Schwache Passwörter bieten ihnen die Möglichkeit, sensible Daten zu stehlen. Führen Sie eine strenge Passwort-Politik ein, die eine mehrstufige Authentifizierung und Identitäts- und Zugriffsmanagementlösungen umfasst.
Quelle: Kaspersky
