Cyberangriffe auf MedTech: 5 Strategien, wie Sie sich schützen können

Kapitel 1: Wo stehen wir jetzt?

Digitale Technologien ermöglichen fantastische Fortschritte in der Medizintechnik:

• Vernetzte Sensoren erfassen und analysieren eine Vielzahl von Vitaldaten.
• Digitale Werkzeuge unterstützen die Diagnose und Behandlung von Krankheiten.
• Connected Devices verknüpfen Menschen, Daten und Operationswerkzeuge und optimieren so Klinikprozesse.

Diese Liste lässt sich lange fortführen. So wissen viele führende Köpfe der MedTech-Branche die schnelle und breite Einführung dieser Technologien zu schätzen. Wesentliche Verbesserungen in der Patientenversorgung treffen auf finanzielle Chancen.

Doch diese Innovationen vergrößern auch die Angriffsfläche in der Medizintechnik. Treffen immer größere Datenmengen auf veraltete IT-Systeme, entstehen neue Risiken.

Aktuelle Zahlen zeigen ein alarmierendes Bild: 

• Das Gesundheitswesen war 2022 unter den Top 3 der anvisierten Branchen von Cyberattacken.
• 53% aller medizinischen IoT-Geräte haben mindestens eine kritische, unbehandelte Sicherheitslücke. Diese könnten den Zugriff auf sensible Daten ermöglichen und die Funktionalität der Geräte stören.
• Im vergangenen Jahr ist die Zahl an Ransomware-Angriffen, bei denen Hacker Geld von Organisationen erpressen, in der Gesundheitsbranche um 328% angestiegen.

MedTech-Unternehmen müssen an vielen Fronten mit wechselnden Anforderungen jonglieren. Seien es neue Regulierungen, das Überwinden von Compliance-Hürden mit digitalen Lösungen oder die Optimierung des Qualitätsmanagements.

Doch diese Statistiken machen deutlich, wie wichtig die Priorisierung von Cyber-Risiken in der MedTech-Branche ist. Die Koordinierung von Maßnahmen im Zusammenspiel mit anderen Prioritäten stellt immer eine Herausforderung dar.

Aber schnelles Handeln ist jetzt wichtiger denn je.   Bis 2026 werden Unternehmen, die in ein kontinuierliches Bedrohungsmanagement investiert haben, zwei Drittel weniger Cyber Security-Vorfälle erleiden.

Die Folgekosten eines Angriffs steigen unterdessen immer weiter an. Seit 2020 sind die Kosten einer Datenpanne im Gesundheitswesen um 42% gestiegen.

Tätigen Sie diese Investitionen jetzt, um hohe Bußgelder und immer teurer werdende Datenpannen zu vermeiden.

Cyber Security bekommt mehr Aufmerksamkeit in den Vorstandsetagen

Die gute Nachricht: immer mehr Führungskräfte erkennen die weitreichenden Folgen von Cyber Security-Fragen für die Zukunft ihrer Unternehmen. Nach einem Bericht des World Economic Forums treffen sich 56% aller Cyber Security-Experten nun monatlich oder öfter mit dem Vorstand.

Di  e gesteigerte Aufmerksamkeit macht es einfacher, Themen der Informationssicherheit unternehmensweit nach oben zu priorisieren. Doch noch gibt es viel zu tun, um die Zusammenarbeit von InfoSec-Verantwortlichen und operativen Teams zu fördern. Viele MedTech-Unternehmen sind weiterhin nicht gut vorbereitet für die gestiegene Zahl und Intensität von Cyberattacken.

So werden Unternehmen im Gesundheitswesen angegriffen

“Ransomware ist derzeit die schwerwiegendste Bedrohung für MedTech”, sagt unser DataGuard Senior Principal Information Security Consultant Michael Papenhagen, (LL.M.). Bei Ransomware-Attacken versucht ein Angreifer, Zugriff auf wichtige Daten im Unternehmen zu erlangen, um diese zu verschlüsseln und unbenutzbar zu machen. Anschließend erpresst er Lösegeld für die Entschlüsselung.

Dies geschah beispielsweise bei der großen WannaCry Cyber Attack, die 2017 weite Teile des National Health Service (NHS) in England lahmlegte.

Daneben bestehen weitere Risiken durch typische Angriffstechniken auf internetbasierte Anwendungen. Hierzu zählen unter anderem:

• Phishing: Beim Phishing wird versucht, über gefälschte Webseiten, E-Mails oder Kurznachrichten sensible Daten abzugreifen (z.B. Login-Daten) oder Schadsoftware zu installieren.
• Session Hijacking: Beim Session Hijacking verschafft sich ein Angreifer über Schwachstellen (oftmals in der Nutzer-Authentifizierung) Zugang zu einer gültigen Session eines anderen Benutzers. Er kann sich also als legitimer Nutzer des Systems ausgeben und Zugang zu geschützten Bereichen erhalten.
• SQL-Injection: Wenn bestimmte Programmierfehler vorliegen, können Datenbankbefehle direkt über die Unternehmenswebsite ins System eingeschleust und so Daten ausgelesen werden.
• Distributed-Denial-of-Service (DDoS) Attacken: Bei DDoS-Attacken versucht eine Gruppe von Angreifern, den Unternehmensserver durch eine Vielzahl von Anfragen zu überlasten.

Angreifer suchen gezielt nach bekannten Sicherheitslücken, sog. Common Vulnerabilities and Exposures (CVE), in den digitalen Systemen.

Laut Papenhagen gehören zu den häufigsten Sicherheitsproblemen:

• Softwarefehler
• Unzureichende Verschlüsselung
• Keine Sicherheitspatches
• Unsichere Kommunikationsprotokolle

Welche Konsequenzen können Cyberangriffe für MedTech-Unternehmen haben?

Im Folgenden stellen wir die vier Hauptprobleme vor, die von einer Cyberattacke betroffene Unternehmen zu befürchten haben.

Betriebsstörungen

Viele Sicherheitsvorfälle führen zu längeren Downtimes, insbesondere durch die besprochenen Ransomware-Angriffe. Die Produktivitätsverluste können enorm sein. Der Pharma-Gigant Merck erlitt 2017 einen Schaden von 1,4 Milliarden US-Dollar in der NotPetya-Attacke.

Probleme mit medizinischen Geräten

Werden medizinische Geräte angegriffen, kann es noch ernster werden. Stellen Sie sich die Folgen von falsch arbeitenden Operations- oder Patientenüberwachungsgeräten vor: das Wohlbefinden der Patienten ist in Minutenschnelle gefährdet, Verletzungen und Tod im Bereich des Möglichen. Das will niemand.

Hinzu kommen teure Rückrufe, juristische Verwicklungen und ein immenser Vertrauensverlust.

Kostspielige Datenschutzverletzungen

Die Kosten für Datenschutzverletzungen in der Gesundheitsbranche sind seit 2020 um 42% gestiegen. Im 12. Jahr in Folge hatte das Gesundheitswesen die höchsten durchschnittlichen Kosten aller Branchen für Datenschutzverletzungen.

Und die Folgen des Diebstahls von Patientendaten gehen über rechtliche Konsequenzen und hohe Bußgelder hinaus - sie berühren den Kern des Vertrauens.

Diebstahl von geistigem Eigentum

Innovation ist das Lebenselixier der Medizintechnik. Sie sorgt für bahnbrechende Neuerungen, die das Gesundheitswesen verändern. Deswegen stellt geistiges Eigentum oftmals eines der wertvollsten Assets eines MedTech-Unternehmens dar. Wird es gestohlen, ist der finanzielle Schaden immens. Die Zukunft Ihres Unternehmens steht auf dem Spiel.

Es geht um große Summen: Cyberangriffe können Sie Millionen kosten

Cybersecurity Ventures geht davon aus, dass die weltweiten Kosten für Cyberkriminalität in den nächsten fünf Jahren um 15% jährlich steigen werden. Bis 2025 sollen sie sich auf 10,5 Billionen $ belaufen - gegenüber 3 Billionen $ im Jahr 2015. Der größte Transfer von wirtschaftlichem Reichtum in der Geschichte.

Kapitel 2: Was können wir dagegen tun?

Die Angriffswege sind also zahlreich und die Konsequenzen einer Attacke ernst. Wie können Sie Ihr Unternehmen resilienter machen? MedTech-Unternehmen benötigen einen umfassenden und kontinuierlichen Ansatz für die Informationssicherheit. Hier sind 5 wirksame Schritte, die Sie unternehmen können.

Schritt 1: Ermitteln Sie Ihre Risikotoleranz und Ihre internen Fähigkeiten

Unternehmen in der Medizintechnik sind individuellen Risiken ausgesetzt. Erstellen Sie eine Übersicht der kritischen Assets in Ihren Systemen. Bestimmen Sie Ihre Risikotoleranz unter Berücksichtigung der internen Fähigkeiten. Spüren Sie Lücken in Ihren Informationssicherheits-Verfahren auf.

So können Sie die Implementierung eines Risikomanagement-Prozesses vorbereiten und einer international anerkannten Zertifizierung nach ISO 27001, dem “Goldstandard” der Informationssicherheit, näher kommen.

Schritt 2: Priorisieren Sie die Risiken nach Wichtigkeit

Kümmern Sie sich zuerst um die kritischsten Sicherheitslücken. Hierbei sollten Sie sich auf zwei Arten von Risiken fokussieren:

• Risiken, die die höchsten Kosten für Ihr Unternehmen verursachen können.
• Risiken mit der höchsten Wahrscheinlichkeit eines Angriffs.

Im nächsten Schritt entwickeln Sie individuelle Reaktions- und Bewältigungsstrategien für diese Risiken.

Schritt 3: Richten Sie ein maßgeschneidertes, kosteneffizientes Informationssicherheits-Managementsystem (ISMS) ein

Einer der Kernbestandteile des ISMS bildet dabei die Festlegung einer Reaktionsstrategie auf verschiedene Sicherheitsvorfälle. “Wichtig ist dabei, proaktiv statt reaktiv auf den Vorfall zu reagieren. Zudem müssen negative Nebenwirkungen von Bewältigungsstrategien beachtet werden”, sagt unser Security Consultant Michael Papenhagen.

Ein solides und kontinuierlich verbessertes ISMS ist essentiell für den Unternehmenserfolg und bildet den Kern der ISO 27001-Anforderungen. Da die Umsetzung viele Ressourcen Ihres InfoSec-Teams binden wird, ist es umso wichtiger, mit softwaregestützten Tools kosteneffizient vorzugehen.

Schritt 4: Kontinuierliche Überwachung und Verbesserung

Der Feind schläft nicht. Informationssicherheit ist ein andauernder Prozess. Überwachen Sie permanent Ihre Systeme. Führen Sie Schwachstellenanalysen durch und implementieren Sie sinnvolle und notwendige Verbesserungen.

Schritt 5: Schärfen Sie das Bewusstsein Ihrer Mitarbeiter

Sensibilisieren Sie alle Ihre Mitarbeiter für Cyberrisiken. Machen Sie ihnen klar, welche Maßnahmen erforderlich sind, um finanzielle Verluste und eine beschädigte Reputation zu vermeiden. Stellen Sie ihnen Ressourcen zur Verfügung und bieten Sie Awareness-Trainings an.

DataGuard kann Sie mit leicht verständlichen Guides und Online-Kursen dabei unterstützen.

Diese Erfahrung hat auch Calin Coman-Enescu, Head of Operations bei unserem Kunden Behaviour Lab, gemacht.

“Die DataGuard Academy gefällt mir besonders gut. Die Schulungen sind sehr hilfreich und haben es uns ermöglicht, im ganzen Unternehmen ein stärkeres Bewusstsein für Informationssicherheit zu entwickeln.”

Führung ist gefragt

Cyber Security beginnt von oben. Wägen Sie den Wert neuer Technologien gegen das damit verbundene potenzielle Risiko ab. Wenn Sie sich ausschließlich auf das Unternehmenswachstum konzentrieren, können Sie die Vorteile einer robusten Cyber Security-Strategie verpassen.

Demonstrieren Sie gegenüber Ihren Partnern, Kunden und Investoren Ihr Engagement für Informationssicherheit: Implementieren Sie ein ISMS nach den Anforderungen der ISO 27001. DataGuard-Kunden haben eine 100% Erfolgsrate im ersten Versuch bei der ISO 27001-Zertifizierung.

Mit der Informationssicherheits-Plattform von DataGuard sparen Sie dabei Kosten und Zeit - behalten Sie immer den Überblick beim Aufbau Ihres ISMS.

Informieren Sie sich in unserem Webinar über Ihren Weg zur Implementierung der ISO 27001.

Unsere DataGuard-Experten unterstützen Sie bei der Entwicklung wirksamer Strategien zum Schutz vor Cyber-Angriffen in der MedTech-Branche. Wir bieten Ihnen die notwendigen Werkzeuge, um Ihre Strategien kontinuierlich anzupassen und zu optimieren.