Viele Organisationen im Gesundheitswesen haben in den letzten Jahren mehr Remote-Mitarbeitende eingestellt, hatten aber Mühe, ihre Cybersicherheitsmaßnahmen auf dem neuesten Stand zu halten. Inmitten des finanziellen Drucks und des Personalmangels mussten sie sich auf kurzfristigere „Lösungen“ verlassen, um die hybride Belegschaft vor sich verstärkenden Angriffen zu schützen.
Während der globalen Pandemie beispielsweise, als mehr Mitarbeitende begannen, remote zu arbeiten, gaben 51 % der Arztpraxen weniger als 5.000 USD für die Einrichtung ihrer hybriden oder Remote-Praktik aus. Zu den gängigen Beispielen für die Cybersicherheit im Gesundheitswesen gehörten die verstärkte Einführung virtueller privater Netzwerke (VPNs) und die Verlagerung einiger Anwendungen (aber nicht aller Sicherheitsfunktionen) in die Cloud.
Doch solche Notlösungen machen Gesundheitsorganisationen anfälliger für Cyberangriffe. Für diejenigen, die weiterhin auf ein hybrides Arbeitsmodell und seine Vorteile (zu denen eine verbesserte Arbeitsmoral, die Verringerung von Burnout und eine gesteigerte Produktivität gehören) setzen, ist eine langfristige Sicherheitsstrategie erforderlich.
Zu den größten Risiken beim mobilen Arbeiten für Mitarbeitende im Gesundheitswesen gehören die Abhängigkeit von VPNs, Multi-Channel Phishing und Schatten-IT. Im Folgenden erfahren Sie, wie ein moderner Zero Trust-Ansatz diesen Risiken auf nachhaltigere Weise begegnet.
Traditionell haben sich Organisationen im Gesundheitswesen auf das Sicherheitsmodell von „Burg und Burggraben“ verlassen, bei dem der Schutz des Netzwerkperimeters im Mittelpunkt steht. Im Kontext hybrider Arbeit bedeutet dies, dass VPNs und Remote-Desktop-Software verwendet werden, um die Anmeldedaten von Remote-Benutzern zu überprüfen und den Traffic zwischen den Benutzern und den verschiedenen Anwendungen oder Geräten in der zentralen Unternehmensumgebung zu verschlüsseln.
VPN-Risiken – wie die Zero-Day-Schwachstellen in bestimmten Produkten von Ivanti und Palo Alto Networks sowie die Brute-Force-Angriffe auf die VPN-Lösungen von Cisco – veranschaulichen jedoch die inhärenten Schwächen eines perimeterbasierten Ansatzes. VPN-Zugriff ist:
Zu riskant: Wie die in mehreren VPNs gefundenen Zero-Day-Schwachstellen zeigen (weitere Beispiele hier und hier), ist VPN-Sicherheit unzuverlässig. Der Zugriff auf Netzwerkebene und das standardmäßig von VPNs gewährte Vertrauen begünstigen zudem die Möglichkeit lateraler Bewegung.
Zu langsam: Da der Zugriff vom Standort, dem Gerät, der Rolle und dem Identitätsanbieter des Nutzers abhängt, kann es für den VPN-Nutzer zu Latenzzeit kommen.
Zu ineffizient: VPNs können das Onboarding von Nutzern verlangsamen, die Einführung neuer Anwendungen verzögern und wertvolle IT-Zeit verschwenden, wenn sie nicht mehr funktionieren.
Es ist verständlich, dass Organisationen des Gesundheitswesens – die mit beispiellosen finanziellen Gegenwinden und IT-Personalmangel zu kämpfen hatten – während der Pandemie zunächst auf VPNs setzten. Es ist jedoch klarer, dass VPNs (die für kurzfristige Verbindungen durch eine kleine Anzahl von Systemen konzipiert wurden) für den wachsenden Umfang der Remote-Arbeit im Gesundheitswesen nicht tragfähig sind.
Der effektivere und nachhaltigere Ansatz ist Zero Trust-Sicherheit. Im Gegensatz zu riskanten VPNs erfordern Zero Trust-Dienste eine strenge Identitätsprüfung für jede Person und jedes Gerät, die bzw. das versucht, auf Ressourcen in einem privaten Netzwerk zuzugreifen, unabhängig vom Standort.
Mit Zero Trust-Technologien können Organisationen im Gesundheitswesen beispielsweise:
Verifizieren Sie jede Anfrage für Anwendungszugriff nicht nur anhand der Identität: Geolocation, Sicherheitsniveau des Geräts, Sicherheitsstandards des Unternehmens, kontinuierliche Bewertung des Risikos/Vertrauens und andere Faktoren werden berücksichtigt, bevor jemandem der Zugriff auf eine Ressource gewährt wird.
Überprüfen und filtern Sie den gesamten Internet-Traffic Ihrer Mitarbeitenden: Wo auch immer Mitarbeitende arbeiten, ihr Internet-Browsing ist anfällig für Phishing, Schadsoftware, Ransomware, und andere Angriffe. Anders als ein VPN bietet Zero Trust die Möglichkeit, browserbasierte Angriffe zu blockieren. Es kann auch verhindern, dass Mitarbeitende verdächtige Websites besuchen oder mit diesen interagieren.
Laut einer Studie über Datenverstöße im Gesundheitswesen von 2015 bis 2020 werden mehr Patientendaten durch Phishing-Betrug kompromittiert als aus jedem anderen Grund.
Phishing war beispielsweise die Hauptursache für einen Ransomware-Angriff gegen das University of Vermont (UVM) Health Network. Es begann damit, dass ein reisender Angestellter seinen Arbeitslaptop benutzte, um private E-Mails zu lesen. Eine E-Mail, die anscheinend von der Hausbesitzergemeinschaft des Mitarbeiters stammte, startete Schadsoftware, die es Angreifern ermöglichte, sich lateral zu bewegen, um Zugang zu den Systemen von UVM Health Network zu erhalten. Der Angriff unterbrach den Betrieb wochenlang: Hunderte von Mitarbeitenden konnten nicht arbeiten; Patientenbehandlungen wurden verzögert; und die Organisation erlitt mehr als 63 Millionen Dollar an Verlusten.
Auch gezieltes, Malware-freies Phishing per Kompromittierung geschäftlicher E-Mail-Konten (Business Email Compromise – BEC) ist auf dem Vormarsch. Im Juni 2024 warnten das FBI und das US Department of Health and Human Services vor Angreifern, die sich Zugang zu den E-Mail-Konten von Mitarbeitenden im Gesundheitswesen verschaffen und dann die Anmeldeinformationen verwenden, um Zahlungen für Versicherungen umzuleiten.
Für moderne Belegschaften liegen die Arbeit und die Daten nicht einfach nur in den E-Mails. So sind beispielsweise SMS (Text Messaging) sowie öffentliche und private Messaging-Anwendungen Angriffsvektoren, die sich die Möglichkeit zunutze machen, Links über diese Kanäle zu versenden, sowie die Art und Weise, wie Menschen Informationen konsumieren und arbeiten. Es gibt Cloud-Zusammenarbeit, bei der sich Angreifer auf Links, Dateien und BEC-Phishing in Tools wie Google Workspace, Atlassian und Microsoft Office 365 verlassen. Und es gibt Web- und Social-Phishing, das auf Menschen auf LinkedIn und anderen Plattformen abzielt.
Um solche „Multi-Channel“-Angriffe zu verhindern, können Anbieter von Gesundheitsleistungen einen mehrschichtigen Ansatz verwenden, der zunächst E-Mails schützt und dann Zero Trust auf anderen webbasierten Datenverkehr ausweitet.
Mit einem Zero Trust-Ansatz zur Bekämpfung von Phishing können Unternehmen:
Automatisch verdächtige E-Mail-Links isolieren und verhindern, dass die Geräte der Mitarbeitenden mit bösartigen Webinhalten in Berührung kommen
Die Interaktionen der Nutzer mit verdächtigen Websites einschränken und verhindern, dass in Webseiten eingebettete bösartige Skripte lokal auf dem Gerät des Mitarbeitenden ausgeführt werden
Den Zugang zu hochriskanten Websites (z. B. solchen, die bekanntermaßen an Phishing beteiligt sind) vollständig blockieren
Einschränken, was hochgeladen, eingegeben oder kopiert und in Anwendungen von Drittanbietern eingefügt werden kann; Mitarbeitende können auch daran gehindert werden, geschützte Daten in generative KI-Tools von Drittanbietern hochzuladen
Hybride Arbeitsumgebungen erhöhen das Risiko der „Schatten-IT“ – der nicht genehmigten Nutzung von Software, Hardware oder anderen Systemen. Laut einer Umfrage aus dem Jahr 2024 gibt die Mehrheit (81 %) der IT-Führungskräfte in US-Gesundheitssystemen an, dass sie Schatten-IT-Software angeschafft haben. Zudem hat fast die Hälfte (48 %) die Software ihres Unternehmens im vergangenen Jahr nicht überprüft.
Schatten-IT stellt für Organisationen im Gesundheitswesen eine besonders große Bedrohung dar. Dies untergräbt die Fähigkeit der IT-Abteilung, kritische Systeme zu sichern und zu überwachen, und gefährdet Patientendaten. Nicht genehmigte SaaS-Anwendungen machen es beispielsweise praktisch unmöglich, die HIPAA-Konformität geschützter Gesundheitsinformationen (PHI) zu überprüfen, und erhöhen das Risiko von Zero-Day-Exploits und Datenschutzverletzungen.
Sollten Unternehmen Benutzer für Benutzer, Datei für Datei, SaaS-Anwendung für SaaS-Anwendung durchgehen und alles auf potenzielle Probleme überprüfen? Für die meisten Unternehmen ist das unrealistisch.
Um die Nutzung nicht autorisierter Anwendungen zu reduzieren, sollten Sie regelmäßige Schulungen zum Risikomanagement für Ihre Mitarbeitenden einführen und eine Kultur ohne Schuldzuweisungen schaffen (für diejenigen, die bereits Schatten-IT eingeführt haben).
Ergänzt werden sollten diese Ansätze durch technische Zero Trust-Kontrollen, die:
Einblick in SaaS-Anwendungen und Netzwerkherkünfte geben, die von Mitarbeitenden besucht werden; dann können Unternehmen Richtlinien erstellen, um die Nutzung von Schatten-IT je nach Bedarf zu erlauben, einzuschränken oder zu blockieren
SaaS-Anwendungen und andere in der Cloud gehostete Dienste schützen, indem sie kontinuierlich auf offengelegte Dateien, verdächtige Aktivitäten und Fehlkonfigurationen (eine häufige Ursache für Datenschutzverletzungen) gescannt werden
Das Risiko von Datenverlusten verringern, indem die Weitergabe sensibler Daten über die Cloud, Anwendungen, E-Mails und Geräte erkannt und blockiert wird
Die Zero Trust-Services von Cloudflare konsolidieren viele ehemals getrennte Technologiedienste, um es einfacher zu machen, jede Verbindung zu sichern und dafür zu sorgen, dass Mitarbeitende auf jedem Gerät an jedem Ort sicher und produktiv das Internet, Anwendungen und die Infrastruktur nutzen können. Alle Dienste werden über eine Connectivity Cloud bereitgestellt. Dabei handelt es sich um eine einzige, smarte Plattform mit cloudnativen Diensten, die eine sichere Any-to-Any-Verbindung über alle IT-Umgebungen hinweg vereinfacht.
Mit der Connectivity Cloud von Cloudflare schützen Anbieter von Gesundheitsleistungen Patientendaten, ermöglichen nahtlose technische Erfahrungen für Ärzte und bieten eine erstklassige virtuelle Gesundheitsversorgung an – und das alles mit mehr Flexibilität und Kontrolle.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Folgende Informationen werden in diesem Artikel vermittelt:
Die drei größtenCybersicherheitsrisiken für Remote-Mitarbeitende im Gesundheitswesen
Die Nachteile von VPNs für verteilte Belegschaften
Die Vorteile eines Zero Trust-Ansatzes für einen sicheren Remote-Zugriff im Gesundheitswesen
Erfahren Sie mehr darüber, wie Sie die Sicherheitslücken schließen können, die Innovationen im Gesundheitswesen im Wege stehen. Lesen Sie hierfür das E-Book „Modernisierung der Cybersicherheit für Anbieter von Gesundheitsleistungen“.