[English]Vor Wochen kam es zu gravierenden Cyberangriffen auf Change Healthcare, ein Zahlungsdienstleister der UnitedHealth Group, das die Versorgung mit Medikamenten in den USA wegen nicht mehr erfolgender Zahlungen lahm gelegt wurde. Mir ist in diesem Kontext bereits vor einigen Wochen ein Dokument mit NCA-Insigts zugegangen, in denen die Frage aufgeworfen wurde, welche Lehren aus den Hacks im Gesundheitswesen gezogen werden können. Gilt meiner Meinung auch für IT im deutschen Gesundheitswesen.
Anzeige
Cyberangriffe auf Change Healthcare
Change Healthcare ist ein Anbieter von Umsatz- und Zahlungsabwicklungsmanagement für das amerikanischen Gesundheitssystem. Der Anbieter wickelt praktisch alle Zahlungen zwischen den Kostenträgern, den Anbietern von Gesundheitsleistungen und den Patienten innerhalb der USA ab.
Erster Cyberangriff
Das Unternehmen wurde am 21. Februar 2024 das Opfer eines ersten Cyberangriffs durch die Ransomware-Gruppe ALPHV/Blackcat (siehe Nachlese Datenlecks und Hacks der Woche (23. Feb. 2024)). Als Folge dieses Angriffs fielen sie IT-Systeme aus, was die Auszahlungen von Leistungen an Ärzte verhinderte. Infolge des Angriffs konnten elektronische Zahlungen und medizinische Forderungen von der UnitedHealth Group nicht bearbeitet werden. In Folge kam es zu weitreichenden Störungen in der gesamten USA.
Zweiter Cyberangriff
Im Blog-Beitrag Sicherheitsvorfälle März/April 2024 (Stand 9.4.2024) hatte ich dann offen gelegt, dass Change Healthcare Opfer einer zweiten Ransomware-Gruppe RansomHub geworden sei. Bei diesem Vorfall flossen 4 TByte an Daten ab. Ich hatte im Artikel Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group über diese Fälle und die Folgen berichtet.
Welche Lehren lassen sich ziehen?
Der Cyberangriff auf die UnitedHealth Group und Change Healthcare macht laut National Cybersecurity Alliance (NCA) deutlich, wie wichtig robuste Cybersicherheitsmaßnahmen im Gesundheitssektor sind.
Anzeige
Firmen müssen Sicherheit verbessern
Erstens müssen Organisationen des Gesundheitswesens umfassende Risikobewertungen vornehmen und strenge Sicherheitsprotokolle zum Schutz sensibler Patientendaten einführen. Dazu gehören regelmäßige Sicherheitsprüfungen, Mitarbeiterschulungen zu bewährten Verfahren der Cybersicherheit, die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung sowie die proaktive Überwachung verdächtiger Aktivitäten.
Darüber hinaus können Investitionen in modernste Cybersicherheitstechnologien und Partnerschaften mit renommierten Cybersicherheitsunternehmen die Abwehr von sich entwickelnden Cyberbedrohungen stärken.
Staatliche Aufsicht gefordert
Für die NCA unterstreicht der Vorfall die unverzichtbare Rolle der staatlichen Aufsicht und Regulierung beim Schutz von Gesundheitsdaten. Regierungsbehörden, wie das Büro für Bürgerrechte des Ministeriums für Gesundheit und menschliche Dienste, spielen eine wichtige Rolle bei der Durchsetzung der Einhaltung von Datenschutzgesetzen, wie dem Health Insurance Portability and Accountability Act (HIPAA).
Durch rigorose Untersuchungen und Durchsetzungsmaßnahmen können die Aufsichtsbehörden Unternehmen des Gesundheitswesens für Lücken im Datenschutz zur Rechenschaft ziehen und eine schnelle Reaktion auf Cybervorfälle gewährleisten.
Darüber hinaus ist die Zusammenarbeit zwischen Regierungsbehörden, Strafverfolgungsbehörden und Akteuren des privaten Sektors unerlässlich, um den Austausch von Informationen über Bedrohungen zu verbessern und die Reaktionen auf Cyber-Bedrohungen zu koordinieren, was letztlich die Widerstandsfähigkeit des Gesundheitswesens gegen künftige Cyber-Angriffe stärkt.
Verbraucher und Patienten einbeziehen
Angesichts des jüngsten Cyberangriffs auf die UnitedHealth Group und Change Healthcare spielen auch Verbraucher und Patienten eine entscheidende Rolle beim Schutz ihrer persönlichen Gesundheitsdaten.
- Ein wichtiger Schritt besteht darin, darauf zu achten, dass sensible Daten sowohl online als auch offline nur mit vertrauenswürdigen Gesundheitsdienstleistern und Einrichtungen ausgetauscht werden.
- Patienten sollten sich nach den Sicherheitsmaßnahmen erkundigen, die von ihren Gesundheitsdienstleistern eingeführt wurden, einschließlich Verschlüsselungsprotokollen und Reaktionsplänen auf Datenschutzverletzungen.
- Außerdem sollten sie ihre Arztrechnungen und Versicherungsabrechnungen regelmäßig auf Unstimmigkeiten oder unberechtigte Abrechnungen überprüfen, die auf betrügerische Aktivitäten hindeuten könnten.
- Darüber hinaus können sichere, eindeutige Passwörter für Gesundheitsportale und die Aktivierung der Multifaktor-Authentifizierung eine zusätzliche Sicherheitsebene für persönliche Gesundheitsdaten darstellen.
Die obigen Punkte beziehe sich zwar auf das Gesundheitssystem der USA, "das Land der unbegrenzten Möglichkeiten". Aber der folgende Satz gilt auch für Deutschland oder Österreich. Indem Patienten und Verbraucher informiert, wachsam und proaktiv bleiben, können sie dazu beitragen, ihre eigenen Gesundheitsdaten zu schützen und die von Cyber-Bedrohungen im Gesundheitswesen ausgehenden Risiken zu mindern. Stichwort ist hier auch das Thema der kommenden elektronischen Patientenakte, wo ich als gesetzlich Versicherter es in der Hand habe, ob diese angelegt wird und welche Daten dort gespeichert werden. Allzu große Naivität und Technik-/Medizingläubigkeit könnte auch da ins Auge gehen.
Anzeige
********************************************
Stichwort ist hier auch das Thema der kommenden elektronischen Patientenakte, wo ich als gesetzlich Versicherter es in der Hand habe, ob diese angelegt wird und welche Daten dort gespeichert werden. Allzu große Naivität und Technik-/Medizingläubigkeit könnte auch da ins Auge gehen.
********************************************
Also ich wage mal zu behaupten das 90% der Nutzer gar nicht weis was die elektronische Patientenakte überhaupt bedeutet (also sicherheitstechnisch Pflichten & Co.) Das hat weder mit Naivität noch Technik-/Medizingläubigkeit zu tun.
Wie eben 90% der Menschheit von IT keine Ahnung hat, sondern nur dumb User ist.
Nutzen ja verstehen Null, garnix.
Dürfte IT nur nutzen wer auch die Technik dahinter versteht hätten die damals recht gehabt als es hies:
Ich denke, dass es einen Weltmarkt für vielleicht fünf Computer gibt." Thomas Watson, Chef von IBM
/edit/
Außerdem was hast du den las User für eine Wahl? Entweder du lässt sie anlegen oder du wiedersprichst.
Weder Inhalte (doch, aber nur sehr begrenzt) noch die dahinterstehende Sicherheit hat du als User einen Einfluss.
Also ja das wird schief gehen, ist nur ne Frage wann. Die Kompetenz der Verantwortlichen ist ja hinlänglich bekannt.
Falsch abgebogen! Es geht mir um die Leute, die naiv aufschlagen "Ist doch super, ich habe einen schweren Unfall, dann sieht der Notarzt sofort in meiner Patientenakte, ob ich Erkrankungen habe – ohne wäre es doch schwieriger". Als wenn ein Notarzt oder Rettungssanitäter bei einem Unfall vor Ort auf eine ePA besteht.
Und die Aussage im Text war, dass die Patienten es in der Hand haben, kritisch nachzufragen, wo ihre Daten hin gehen. Ok, es wäre blauäugig von mir, zu erwarten, dass der deutsche Patient mündig ist und da nachhakt. Bei einer kritischen Öffentlichkeit wäre da kein Durchmarsch möglich. Aber m.W. werde ich als GKV-Versicherter bei der ePA vorgeben können, ob ein Ergebnis eingespeichert, ein Eintrag wieder gelöscht oder korrigiert wird. Wobei wir wieder beim Thema "Verantwortung als Patient wären" …
Genaues wissen wir erst, wenn die ePA da ist. Kürzlich habe ich aber wegen einer Interview-Anfrage zum Themenkomplex kurz recherchiert. Aktuell ist der Status, dass ich als Patient a) dem Anlegen der ePA widersprechen kann, b) wohl die Zugriffe steuern und c) auch Einträge entfernen lassen kann oder selbst entferne (empfehle die FAQs der GKVs, z.B. Techniker Krankenkasse). Diese Funktion ist essentiell, denn ich muss die Möglichkeit haben, fehlerhafte Einträge aus der ePA entfernen zu lassen. Jeder, der in der IT arbeitet, weiß, dass es durchaus Fehlallokationen von Daten gibt – wenn das nicht korrigiert werden kann, wird das System ad-absurdum geführt.
Zu "Veränderung der ärztlichen Dokumentation durch "Dritte" oder Patienten Urkundenfälschung" -> das ist Unsinn bzw. etwas anderes. Es greift niemand in ein ärztliches Dokument ein. Auch in der analogen Zeit gilt: Die Akte, den Arztbericht, den ich nicht vorlege, kann niemand einsehen – es sei denn, er hat die Erlaubnis von mir, den betreffenden Arzt zu kontaktieren. Da wird also weder Patienten Urkundenfälschung noch eine Veränderung der ärztlichen Dokumentation betrieben.
Ich habe gerade einen längeren Kommentar geschrieben und die Fehlermeldung erhalten, daß ich den Kommentar zu schnell geschrieben hätte (und der Kommentar war weg). :( Es gibt Leute, die etwas schneller als Ein-Finger-Adler-Suchsystem tippen können.