Grundlegende Informationen

Datenschutzverletzungen im Gesundheitswesen stellen eine wachsende Bedrohung für die gesamte Branche dar, die nicht nur Datenverlust und direkte finanzielle Schäden, sondern auch Angriffe auf Medizinprodukte und Versorgungsinfrastrukturen verursachen können. Insbesondere Verstöße gegen die Datensicherheit im Krankenhaus haben das Potenzial, ein einzelnes Krankenhaus bis zu sechs  Millionen Euro zu kosten, einschließlich Bußgelder, Rechtsstreitigkeiten und Reputationsschäden. Datenschutzverletzungen haben zusammengefasst eine geschätzte Auswirkung von etwa 6 Milliarden Euro auf das gesamte Gesundheitswesen. Unterdessen hinkt die Gesundheitsbranche bei der Datensicherung hinter anderen Branchen hinterher. Als Reaktion darauf müssen Gesundheitsorganisationen erhebliche Investitionen und Anstrengungen in den Schutz ihrer Systeme tätigen.

Dies ist jedoch angesichts der Komplexität von Gesundheitsorganisationen leichter gesagt als getan: Krankenhäuser sind außerordentlich komplexe Organisationen mit vielen typischen organisatorischen Merkmalen, die bis ins kleinste Detail gewählt werden, wie zum Beispiel die technologisch gesättigte Umgebung: Ähnlich wie andere Unternehmen haben sie Schwierigkeiten, eine Reihe von Geräten zu verwalten, die von der alten Informationstechnologie (IT) bis hin zu angeschlossenen medizinischen Geräten reichen; im Gegensatz zu anderen Unternehmen haben sie Aufträge in der Größenordnung mehr von ihnen, die nicht von einer einzigen IT-Abteilung beschafft, sondern ad hoc von Ärzten gekauft oder von Medizinprodukteunternehmen kostenlos zur Verfügung gestellt werden.

Interne Politik:

Sie haben mit der gleichen internen Politik zu tun wie andere große Organisationen, aber kompliziert durch die Komplexität der in der Organisation enthaltenen Funktionen: Finanzen, IT und Personalwesen, genau wie andere Organisationen; im Gegensatz zu anderen Organisationen müssen sie auch Radiologie, Kardiologie und Pädiatrie unter anderem unterstützen. Der Grad der Spezialisierung ist hoch. Jede Abteilung benötigt eine völlig andere Ausrüstung, geht auf unterschiedliche Patientenbedürfnisse ein, hat unterschiedliche Arbeitsabläufe und beschäftigt hochspezialisierte Arbeitskräfte, die jahrelang ausgebildet werden müssen.

Regulatorischer Druck:

Ähnlich wie bei anderen Unternehmen müssen sie sich an die Vorschriften halten, die ihnen von Staat und Bundesregierung auferlegt werden; in den Vereinigten Staaten gelten Gesundheitsdaten jedoch als besonders sensibel und werden daher durch zusätzliche spezifische Datenschutzgesetze geschützt.

Patientenorientierte Versorgung:

Wie alle Organisationen in den Vereinigten Staaten kümmern sich Krankenhäuser um ihre Fähigkeit, positive Nettoeinnahmen für das Überleben zu erzielen, aber im Gegensatz zu anderen Organisationen ist ihre erste Mission die Versorgung ihrer Patienten, selbst wenn sie gewinnorientiert arbeiten.

Es ist interessant zu untersuchen, wie sich die systemische Wirkung dieser Merkmale auf die Fähigkeit eines einzelnen Krankenhauses auswirken könnte, robust gegenüber Cyber-Brüchen zu bleiben. Aber betrachtet man nun die Bandbreite der möglichen Unterschiede zwischen diesen Einheiten, ein ländliches Gemeindekrankenhaus hat zum Beisiel dramatisch andere Prioritäten als ein städtisches Forschungskrankenhaus. Spezifisch für die IT ist das Outsourcing von Dienstleistungen in kleineren oder eher ländlichen Krankenhäusern üblicher, wobei Transkriptionsdienste die am häufigsten ausgelagerte Funktion sind. Darüber hinaus wurde in der gesamten Krankenhausbranche eine signifikante Variabilität der Cybersicherheit als Priorität beobachtet – in den Vereinigten Staaten beispielsweise beziehen 70 % der Krankenhausvorstände die Cybersicherheit in ihre Risikomanagement-Aufsicht ein, und nur 37 % der Krankenhäuser führen jährliche Übungen zur Reaktion auf Vorfälle durch. Ähnliche Schwachstellen in Krankenhäusern werden auch in anderen Ländern beobachtet. Insbesondere scheint der Druck des Vorstands wesentlich zu sein, um eine substantielle Cyber-Resilienz zu schaffen, da Untersuchungen zeigen, dass die Unterstützung des Krankenhausmanagements für die Einhaltung der Informationssicherheitsrichtlinien durch die Benutzer unerlässlich ist, die wiederum von IT-Sicherheitsexperten im Gesundheitswesen verfasst werden.

Die Bedeutung und Komplexität der Entwicklung von Cybersicherheitsfähigkeiten in Krankenhäusern wirft kritische Fragen auf: Wie inter- und intradynamisch interagieren Krankenhäuser zu einem System der Krankenhaus-Cybersicherheit? Wird die Gesundheitsinfrastruktur dadurch als Ganzes gefährdet? Da die Dateninteroperabilität zu einem Gebot wird, das durch die Anforderungen des Affordable Care Act und die Reform der Zahlungsbedingungen getrieben wird, werden Krankenhäuser mit geringeren Cyber-Fähigkeiten alle Patienten verletzlich machen?

Um diese Fragen zu beantworten, haben wir immer wieder zuständige Experten in Krankenhäusern befragt und ein Systemdynamikmodell entwickelt, um die Dynamik der Implementierung und Aufrechterhaltung von Cybersecurity-Funktionen in Krankenhäusern zu untersuchen.

Diese Informationen sollen Führungskräften im Gesundheitswesen helfen, Schwachstellen im Krankenhaus zu reduzieren, indem sie die Ergebnisse detailliert aufführt, die sich aus strategischen Entscheidungen der Cybersicherheitsentwicklung ergeben. Es unterstützt auch Cybersicherheitsexperten dabei, die Komplexität der Entwicklung von Cybersicherheitsfunktionen im Krankenhaus zu verstehen.

 

Methoden

Um unser Modell zu entwickeln, führten wir Interviews mit diversen Cybersicherheitsexperten durch. Die Interviewteilnehmer wurden per E-Mail kontaktiert und sich freiwillig zur Teilnahme an einem Interview über Cybersicherheitsfunktionen in ihren Krankenhäusern bereit erklärt, wobei darauf hingewiesen wurde, dass alle Interviews ohne die Identifizierung von Details durchgeführt würden. Angesichts früherer Forschungsarbeiten, die signifikante Unterschiede in der Kompetenzentwicklung aufgrund von Größe, Orientierung und Urbanität zeigten, strebten wir danach, verschiedene Kandidaten zu gewinnen, die Dimensionen darstellten, die zuvor in der Kompetenzentwicklung als wichtig erwiesen wurden. Zu den Befragten gehörten Führungskräfte auf C-Ebene, die aktiv an den Strategien von Krankenhäusern beteiligt waren, operativ orientierte Informationssicherheitsexperten, die typischerweise Titel wie Informationssicherheitsspezialisten in Krankenhäusern hatten und Softwareanbieter und Berater mit Schwerpunkt Datenschutz und Sicherheit, die sich auf die Gesundheitsbranche spezialisiert haben.

In Anlehnung an Standards für induktive und generative Codierung wurden die Interviewdaten kodiert, um Variablen und gemeinsame Themen im Zusammenhang mit der Entwicklung von Cybersicherheitsfähigkeiten in Gesundheitsorganisationen zu extrahieren. Die Kodierung der Interviews wurde von den Autoren durchgeführt – alle Meinungsverschiedenheiten oder Bedenken bezüglich der extrahierten Daten wurden zwischen den Autoren diskutiert, bis ein Konsens erzielt wurde. Die Kodierung half beim Erlernen der Mechanismen der Kompetenzentwicklung durch die Identifizierung von Schlüsselvariablen und Beziehungen zwischen den Variablen. Beispielsweise sind „Bemühungen um die Schließung von Lücken“ und „interne Ausrichtung der Interessengruppen und Ressourcenverfügbarkeit“ zwei Variablen, die aus den Interviews extrahiert wurden und das Verhältnis zwischen diesen beiden Variablen war, dass „interne Ausrichtung der Interessengruppen und Ressourcenverfügbarkeit“ einen positiven Kausalitätseffekt auf „Bemühungen um die Schließung von Lücken“ hatte.

Hauptergebnisse

Cybersicherheitsfunktionen umfassen eine Vielzahl von Programmen, Verhaltensweisen und Technologien, die ein Krankenhaus einsetzt, um die Cyberresilienz zu verbessern. Nicht alle diese Fähigkeiten sind selbsttragend und können mit der Zeit erodieren. Wenn sie jedoch ordnungsgemäß angenommen, umgesetzt und aufrechterhalten werden, werden sie sich positiv auf die Fähigkeit des Krankenhauses auswirken, gegenüber Cyberangriffen resistent zu sein. Bestands- und Durchflussvariablen sind Schlüsselinstrumente in der Systemdynamik, um diesen Mechanismus darzustellen.

Unsere Interviews deckten fünf Hauptthemen auf, die die Dynamik der Entwicklung der Cyberfähigkeiten in Krankenhäusern beschrieben: Unsicherheit in Bezug auf die Ressourcenverfügbarkeit, externer Druck, Komplexität der Endpunkte, interne Ausrichtung der Interessengruppen und cyberkriminelle Aktivitäten. In diesem Abschnitt erläutern wir jedes Thema, indem wir anhand von Zitaten aus den Interviewdaten zeigen, wie unsere Probanden die einzelnen Mechanismen beschrieben.

Unsicherheit in der Ressourcenverfügbarkeit

Die aktuellen Geschäftsentwicklungen im Gesundheitswesen waren ein Faktor in den Köpfen unserer Befragten und führten zu der größten Unsicherheit darüber, wie sie die Entwicklung der Cybersicherheitsfähigkeiten durch die dem Informationssicherheitsteam zur Verfügung stehenden Ressourcen beeinflussten. Zwei Themen stellten Folgendes fest: Bei all dem finanziellen Druck auf die Krankenhäuser im Moment ist Cybersicherheit nicht ihre große Sorge. Der größte Treiber war immer die verfügbare Finanzierung. Ein größeres Unternehmen kann mehr Sicherheitsadministratoren einstellen und mehr Käufe oder verschiedene Produkte tätigen, mehr Protokolle erstellen oder mehr Tools entwickeln, die es benötigt, um das Netzwerk genauer zu überwachen. Für ein Unternehmen, das entweder über weniger Ressourcen verfügt oder nicht in diese investiert, ist es wahrscheinlicher, dass es sich mit gehosteten Lösungen beschäftigt.

Die beiden Hauptthemen, die die Ressourcenverfügbarkeit beeinflussten, waren Nettoumsatz und personelle Verfügbarkeit. Für die meisten Befragten wurde der Nettoumsatz als rückläufig empfunden, getrieben von stagnierenden Umsätzen und steigenden Betriebskosten. Für Unternehmen mit rückläufigen Nettoeinnahmen war das Outsourcing der IT an ein Unternehmen mit mehr Fachwissen ein Versuch, die Ressourcenverfügbarkeit zu erhöhen, um mehr Anstrengungen zur Schließung von Cybersicherheitslücken zu unternehmen. Einige unserer Interviewpartner arbeiteten in Unternehmen, die finanziell stabil genug waren, um die Entwicklung rein interner Lösungen zu finanzieren, die Mehrheit tat es jedoch nicht. Zwei Themen stellten Folgendes fest:

  • „Wir entwickeln keine Lösungen, weil wir zu klein sind…. Deshalb müssen wir uns auf bestehende Lösungen konzentrieren.“
  • „Ich betrachte die Technologie zunehmend als Lösung für Prozessprobleme oder Probleme, die ich in meinem Zentrum sehe… Ich kann nicht jeden Euro rechtfertigen, den ich dafür ausgeben werde, auch wenn er mir mehr Ertrag oder Wert bringt. Aber was ich weiß, ist, dass es unglaubliche Geduld, Diplomatie und persönliches politisches Kapital erfordern würde, um die gleiche Art von Veränderungen auf einen Schlag durchzuführen.“

Für diejenigen, die in Unternehmen arbeiteten, die solvent genug waren, um die interne Entwicklung zu finanzieren, wurden die Probanden aufgeteilt, ob Selbsthosting und interne Entwicklung die Ressourcenverfügbarkeit erhöhen. Einerseits waren einige der Meinung, dass der Besitz von IT-Richtlinien selbst ihnen eine bessere Kontrolle darüber verschafft, wie sie Ressourcen für ihre Bemühungen zur Schließung von Cybersicherheitslücken einsetzen können. Andererseits waren einige der Meinung, dass die Auslagerung von Sicherheitsvorgängen an ein Unternehmen wie Microsoft durch den Kauf ihrer Cloud-Produkte es ihnen gleichzeitig ermöglichte, mit weniger Ressourcen mehr zu tun, und es ihnen auch stillschweigend erlaubte, der Cybersicherheit weniger Aufmerksamkeit zu schenken und damit völlig neue Risiken einzugehen.

Druck von außen

Im vorherigen Abschnitt  haben wir das Cybersicherheitsniveau im durchschnittlichen Krankenhaus beschrieben, das durch den Bestand an Cybersicherheitsfunktionen beeinflusst wird. Diese Cybersicherheitsstufe befeuert auch die Schwachstellen, die Cyberkriminelle ausnutzen können, und, wenn sie erfolgreich ausgenutzt werden, die Hacks und Lücken, die dann Krankenhäuser betreffen. Die Probanden sprachen von den vielen Möglichkeiten, die diese erfolgreichen Verstöße in Druck umwandelten, um stärkere Fähigkeiten zu entwickeln.

Unsere Interviewpartner nutzten oft einen erfolgreichen cyberkriminellen Angriff in einem anderen Krankenhaus, um einen höheren Druck auf die Cybersicherheitsfähigkeiten auszuüben, indem sie ihre Vorstände oder Manager auf die Folgen dieses Angriffs aufmerksam machten. Sie sprachen typischerweise von dem Druck der Öffentlichkeit und der Medien sowie dem Druck durch die Gesetzgebung. Ein großer Druck, über stärkere Fähigkeiten zu verfügen, war die Gefahr eines Reputationsverlustes in der Öffentlichkeit. Diese Befürchtung ist zum Teil auf die Gestaltung der bestehenden Regulierung zurückzuführen, die Meldepflichten für den Fall eines Cyber-Bruchs beinhaltet. Aber die Gefahr einer öffentlichen oder medialen Gegenreaktion war real und belastete die Köpfe unserer Interviewteilnehmer als „Schnuppertest“, ob sie mehr tun sollten, um Cybersicherheit zu entwickeln. Es spricht auch die Bedeutung der Medien für die Sensibilisierung für Cyberbedrohungen an, insbesondere für Gesundheitsorganisationen.  Typischerweise zielte die Regulierung auf den Schutz der Privatsphäre ab, nicht unbedingt auf die Sicherheit; dennoch gab es einige Überschneidungen. Probanden in Krankenhäusern mit mehr Ressourcen arbeiteten sowohl mit einem internen als auch mit einem externen Auditteam zusammen, um die Einhaltung der Vorschriften zu beurteilen; jedoch arbeiteten alle Krankenhäuser mit einem externen Auditteam als gesetzliche Anforderung zusammen. Die Probanden äußerten unterschiedliche Ansichten darüber, wie hilfreich Vorschriften für eine gute Cyberhygiene sind.

Angenommen, man hat eine elektronische Krankenakte, die sich im Labor befindet, aber die Daten werden zwischen zwei Systemen übertragen. Man kann sagen, dass dies sehr sicher ist, denn damit der Hacker es finden kann, müssten sie so viele Systeme durchlaufen werden, dass sie sowieso im Krankenhaus sein müssten. Einige Auditoren sagten, dass Akten ohnehin verschlüsselt werden müssten, was die Komplexität, die Zeitleistung und sogar die Datenverfügbarkeit erhöhen könnte. Je komplexer die Systeme werden, desto langsamer laufen sie jedoch, was die Verfügbarkeit beeinträchtigt.

Das Thema, das von den meisten Interviewteilnehmern untersucht wurde, war, dass die Komplexität des Endpunkts die Cybersicherheitsfunktionen des Krankenhauses einzigartig machte. Wie viele Unternehmen mit einer großen Mitarbeiterzahl und einem physischen Fußabdruck müssen Krankenhäuser die zahlreichen Geräte verwalten, die sowohl von Verwaltern als auch von medizinischem Personal, Patienten und ihren Besuchern verwendet werden, um Geschäfte zu tätigen, Pflege zu leisten und Zeit zu sparen. Ein Thema lautete wie folgt:

Wir sprechen von ca. 8000 iPhones, 2000 Androids, 2000 iPads und einigen Blackberries. Welche Auswirkungen auf die Sicherheit haben Ärzte und Patienten, die mehr Transaktionen auf BYOD-Geräten durchführen? Im Gegensatz zu vielen anderen Unternehmen wird die Herausforderung, Ihr eigenes Gerät (BYOD) mitzubringen, durch eine Vielzahl von Mess- und Diagnosegeräten ergänzt, die auch Sicherheitsrisiken darstellen können.

In der Krankenhausumgebung gibt es etwa 800 Familien von Medizinprodukten. Die meisten Unternehmen haben zwei oder drei Dutzend SCADA-Systeme…. Das ist eine erstaunlich hohe Anzahl. In einem wettbewerbsintensiven Markt stellen einige Hersteller von Medizinprodukten auch „kostenlose Tests“ zur Verfügung, wobei Risikobewertungs- und Managementprozesse umgangen werden. Obwohl IT- und Informationssicherheitsteams (IS-Teams) über Methoden verfügen, um unbefugte Verbindungen zu ihren Netzwerken durch unerwartete Geräte zu bestimmen, fügt sie ihrer Organisation weitere Schwachstellen hinzu, um mit diesen Geräten fertig zu werden.

In Krankenhäusern ist das Interessante, dass es einen ganzen unsichtbaren Beschaffungsprozess gibt, bei dem Anbieter von Medizinprodukten sich an Ärzte wenden und ihnen viele Dinge kostenlos zur Verfügung stellen, die schließlich auf unseren Stockwerken landen, und ein Jahr später erhalten wir eine Rechnung dafür. Darüber hinaus haben Medizinprodukthersteller ihre Produkte in der Vergangenheit nicht sicherheitsgerecht konzipiert. Die Interviewteilnehmer waren optimistisch, dass sich dies verbessern könnte, da bereits in die Regulierung des Medizinproduktemarktes eingegriffen wurde. Sie waren jedoch der Meinung, dass der Prozess langsam ablaufen würde, da die FDA die Zertifizierung von Produkten nur langsam vorantreibt und eine Lücke zwischen Regulierung und Praxis schafft, die die Patienten einem höheren Risiko aussetzt. Drei Themen stellten Folgendes fest: Wir übernehmen das Management von Infusionspumpen und verwenden einen kompromittierten Linux-Kernel. Ich kann eine tödliche Dosis verabreichen und dann gleich wieder raus. Wir haben nicht einmal Prüfsummen in diesen Betriebssystemen, um Forensik zu betreiben. Die Cybersicherheit der Pumpe, die neben dem Patienten hängt und die programmgesteuert bestimmt, wann Medikamente in den Tropf gepumpt werden sollen –  die Sicherheit dieses Gerätes muss nun ein primärer Faktor  sein. Es muss ein motivierender Faktor sein, wenn dieses Gerät hergestellt wird.

Daher wird das Modell um die Komplexität des Endpunkts erweitert. Mit zunehmender Komplexität des Endpunkts steigen die Schwachstellen im Krankenhaus. Mit zunehmender Komplexität der Endpunkte nimmt auch die Fähigkeit des Unternehmens ab, die Sicherheit jedes Endpunkts zu verwalten. Das Ergebnis ist, dass eine Erhöhung der Endpunktkomplexität die Geschwindigkeit, mit der die Cybersicherheitsfunktionen erodieren, in der Folge erhöht.

Interne Stakeholder

Ein wichtiger Mechanismus, den unsere Interviewthemen beschrieben haben, war die Komplexität der internen Abstimmung der Stakeholder. Typischerweise waren die beschriebenen Hauptakteure der CIO oder CISO, das IS-Team (falls vorhanden), das IT-Team, andere Führungskräfte auf C-Ebene, der Vorstand und schließlich das medizinische Personal. Selbst in einem kleinen Krankenhaus mit 100 Betten wird die Mitarbeiterzahl leicht in die Hunderte gehen. Erstens mussten der CIO und gegebenenfalls der CISO eine Ausrichtung auf strategische IT-Initiativen entwickeln, um diese Initiativen in den strategischen Planungsprozess zu integrieren. Alle unsere Interviewpartner beschrieben eine gewisse Reibung, wenn die IT- und die IS-Ressourcen getrennt würden, wie das folgende Zitat eines Interviews zeigt:

Das Gleichgewicht, wie viel aus der Sicherheit und der allgemeinen IT kommen sollte, ist eines der ständigen Probleme, mit denen wir uns befassen. Diese Reibung steht immer im Vordergrund, wenn wir operative Sicherheit betreiben.

Typischerweise setzte sich die IT für die Vorteile der Technologie ein, und das IS-Team hatte Schwierigkeiten, die Risiken zu überwinden. Sie würden zusammenkommen, um einen Kompromiss auszuarbeiten, der beide Standpunkte angemessen berücksichtigt. Anschließend bringen sie diese Perspektiven während des Planungsprozesses in die Geschäftsleitung ein und messen anhand der von ihrem Unternehmen bevorzugten Risiko- oder Wertkennzahlen die Auswirkungen neuer oder fortgesetzter Investitionen. Unsere Interviewpartner, die der Meinung waren, dass das Top-Management ihren Anforderungen entsprach, waren der Meinung, dass sich zwei Gründe dafür überschneiden: Es gibt eindeutige Belege dafür, dass eine Unterentwicklung der Cybersicherheitsfähigkeiten zu einer Krise für das Krankenhaus führen würden. Auch ihr Vorstand hat dies ebenfalls verstanden und Druck auf den Vorstand auf höchster Ebene ausgeübt, die Cybersicherheit als Teil der Kernstrategie des Krankenhauses aufzunehmen, wie die folgenden Aussag bestätigen:

Aufsichtsräte und andere Treuhänder haben gesagt, dass wir das Risiko aufkaufen müssen. Das ist keine Technik-Sache, das ist ein Risiko für Ihr Unternehmen. Was passiert, wenn Ärzte kein Diktat machen können? Werde ich mich an alles erinnern, was ich zwei Tage später aufgeschrieben habe? Wenn wir nicht kodieren können, können wir nicht fakturieren, wenn Sie nicht fakturieren können, haben Sie keine Einnahmen. Wenn Sie nicht auf Profit aus sind, gehen Ihnen die Ressourcen aus. Es ist ein langer Weg, aber sie fangen an, ihn zu verstehen.

Cyberkriminelle Aktivitäten

Schließlich ist die Dynamik der cyberkriminellen Aktivitäten selbst ein wichtiger Treiber in diesem System. Cyberkriminelle waren sehr aktiv bei der Ausrichtung von Gesundheitsorganisationen, obwohl die Probanden gespalten waren, ob dies auf eine allgemeine Zunahme der Cyberaktivitäten oder eine Zunahme der speziell auf die Gesundheitsversorgung ausgerichteten Cyberaktivitäten zurückzuführen ist.

Die Probanden beschrieben selbst drei Gründe, warum es in der Gesundheitsversorgung zu einer Zunahme der cyberkriminellen Aktivitäten gekommen ist.

Das Ziel des Cyberkriminellen ist finanziell geprägt und der Wert medizinischer Daten im Vergleich zu anderen Datentypen ist hoch:

  • „Wenn ich mich richtig an meine Daten erinnere, kostet eine Krankenhausakte 20x mehr als die 20 Euro, die Sie für die Sozialversicherungsnummer von jemandem bekommen. Hacker suchen also nicht mehr nach Kreditkarten und Bankkonten, sondern nach Krankenakten, die viel mehr Informationen enthalten.“

  • „Anzahl, Betrag und Vielfalt sind wahrscheinlich nur mit einer Bank vergleichbar, die sich mit all diesen Transaktionsvolumina beschäftigt. Und dass diese Informationen erforderlich sind, damit wir die grundlegendsten Aktivitäten durchführen können, an denen wir beteiligt sind.“

Wenn das Ziel des Cyberkriminellen ideologisch oder terroristisch bedingt ist, ist die Störung des Sicherheitsgefühls, das die Gesundheitsversorgung sonst erwecken könnte, ein attraktives Ziel, um Angst zu erzeugen. Und die Gesundheitsbranche hinkt anderen Branchen bei der Cyberresilienz hinterher und macht sie zu einem leichten Ziel, unabhängig von anderen Qualitäten.

Auf jeden Fall ist es klar, dass Gesundheitsorganisationen in letzter Zeit ein attraktives Ziel waren. Auch bei einem Anstieg der Cybersicherheitskapazitäten werden die ersten beiden Gründe für ihre Attraktivität für Kriminelle bestehen bleiben. Dieser insgesamt steigende Trend bei cyberkriminellen Aktivitäten lässt sich in unserem Modell neben erfolgreichen cyberkriminellen Aktivitäten berücksichtigen.

Nicht ausdrücklich in unser Modell aufgenommen, aber dennoch mit unseren Probanden präsent war das Gefühl, ob begründet oder nicht, dass sich die Motivationen von Hackern zu ganzen kriminellen Organisationen formiert und ausgeweitet haben. Die Art der Angriffe wird immer komplexer. Früher war es meine größte Bedrohung für MIT-Studenten. Heute sind es staatlich geförderte Anschläge, Terrorismus und organisierte Kriminalität. Es sind mehr Bedrohungen als je zuvor und zudem von größerer Tragweite. Es handelt sich entweder Wirtschaftsspionage oder geopolitische Spionage. Sprach man früher noch von sogenannten Skriptkiddies,  sind es jetzt national geförderte Hacker, die tatsächlich dafür bezahlt werden.

Ein großes Ökosystem

Die oben diskutierten Mechanismen manifestieren sich nicht nur über ein einzelnes Krankenhaus, sondern über das gesamte Krankenhauswesen. Die Cybersicherheit der Krankenhausinfrastruktur eines Landes ist das Ergebnis nicht nur eines Krankenhauses, sondern vieler Krankenhäuser. Um dies in unserem Modell darzustellen, schließen wir 1000 hypothetische Krankenhäuser ein, die jeweils über eine unterschiedliche Ressourcenverfügbarkeit und ein unterschiedliches Zielniveau an Cybersicherheitsfunktionen verfügen, und zeigen, wie die Verwundbarkeit des Krankenhauses in Kombination mit der Attraktivität von Krankenhausdaten für Cyberkriminelle attraktiv werden würde.

Im vorherigen Abschnitt haben wir Interviewdaten verwendet, um die Informationen zu stützen. Hier verwenden wir Simulationsanalysen, um zu veranschaulichen, wie sich die Mechanismen im Modell gegenseitig beeinflussen und widerstandsfähigere Krankenhäuser von weniger widerstandsfähigen unterscheiden können. Daraus leiten wir potenzielle Hebel für IT- und Informationssicherheitsexperten in Krankenhäusern ab, um die Cyber-Resilienz zu verbessern und Fragen für die zukünftige Potenzialforschung zu identifizieren.

Schlussfolgerungen

Wir verwendeten Interviewdaten, um die Komplexität der Entwicklung von Cybersicherheitsfunktionen in Krankenhäusern zu untersuchen. Auf der Grundlage der Interviewdaten haben wir ein Systemdynamikmodell entwickelt und daraus abgeleitet, wie einzelne Krankenhäuser die Cybersicherheit am effektivsten verbessern können. Die Entwicklung des Modells zeigte, dass es drei primäre Hebel zur Verbesserung der Cybersicherheit gibt, die CIOs oder CISOs zur Verfügung stehen:

Reduzierung der Endpunktkomplexität

Die Endpunktkomplexität der Krankenhausumgebung ist reich an Nutzungsmöglichkeiten für Cyberkriminelle. Die Spannung zwischen der Verringerung der Komplexität dieses Umfelds und der Bereitstellung einer exzellenten Patientenversorgung ist ein schwieriger Kompromiss. Wenn CIOs und CISOs jedoch die Endpunktkomplexität ihrer Krankenhäuser verringern können, wird dies dramatische Auswirkungen auf die Verringerung der Wahrscheinlichkeit von Cyberattacken haben. Einige der Wege, auf denen unsere Befragten unter anderem das Ergebnis der Reduzierung der Endpunktkomplexität erreicht haben, waren die folgenden Umstellungen auf Cloud-gehostete Dienste, wenn die Ressourcenverfügbarkeit eingeschränkt war.

Verbesserung der internen Stakeholderausrichtung

Die Verbesserung der internen Stakeholderausrichtung reduziert auch die Wahrscheinlichkeit von Cyberattacken. Wir haben gezeigt, dass eine geringe interne Abstimmung der Interessengruppen die Effektivität der Kompetenzentwicklung verringert und die Erosion der Fähigkeiten erhöht (indem sie nicht gepflegt werden). Unsere Erfahrung zeigt, dass weiche Variablen wie Stakeholder-Anpassungen beim Cybersicherheitsmanagement oft vergessen werden.

Ressourcenverfügbarkeit

Schließlich haben wir zwar gezeigt, dass die Variabilität der Ressourcenverfügbarkeit nicht die stärksten Auswirkungen auf erfolgreiche cyberkriminelle Aktivitäten hat. Wir haben auch gezeigt, dass ein moderates Niveau an Ressourcen erforderlich ist, um Angriffe überhaupt erfolgreich abzuwehren. Die Sicherung weiterer Ressourcen ist erforderlich, um die geringste Wahrscheinlichkeit von Cyberangriffen zu erreichen, aber ohne interne Abstimmung mit den Interessengruppen werden die Fähigkeiten nicht effektiv aufgebaut und gepflegt. Da es an ausreichenden Ressourcen für die Cybersicherheit mangelt, kann die Festlegung eines hohen Zielwerts für die Fähigkeiten der Cybersicherheit den Mangel an Ressourcen relativ ausgleichen.

Darüber hinaus haben wir das Modell verwendet, um zu verstehen, welche Auswirkungen die Variabilität der Ressourcenverfügbarkeit innerhalb des US-Gesundheitssystems auf cyberkriminelle Aktivitäten hat. Unsere Analyse deutet darauf hin, dass Bemühungen zur Homogenisierung der Ressourcenverfügbarkeit in den Krankenhäusern die Wahrscheinlichkeit von cyberkriminellen Angriffen verringern. Diese Bemühungen könnten auf verschiedene Weisen umgesetzt werden. Es wurden bereits einige Anstrengungen unternommen, um die Daten der Krankenakten zu zentralisieren und zu vereinheitlichen. Die Verwendung von Richtlinien als Mittel zur Festlegung von Zielwerten für die Cybersicherheit in Bezug auf diese Gesundheitsdaten könnte die erforderliche „Basis“ erhöhen. Seit heute befasst sich die Richtlinie nicht mehr speziell mit der Datensicherheit, sondern mit dem Datenschutz. Eine andere Möglichkeit wäre, innerhalb eines einzigen Systems zu arbeiten, das Ressourcen zuweist und Richtlinien festlegt, um die Komplexität der Endpunkte in verschiedenen Krankenhäusern zu kontrollieren. Obwohl es unwahrscheinlich ist, dass die Vereinigten Staaten zu einer extremen Anwendung dieses Systems übergehen werden, haben die Marktkonsolidierungen bereits einige einzelne Krankenhäuser zu einem größeren System zusammengefügt.

Unsere Interviewdaten stellen für uns zukünftig einige der wichtigsten Herausforderungen bei der Entwicklung von Cybersicherheitsfunktionen in Krankenhäusern dar. Unser Modell bietet auch eine erklärende Plattform zur Analyse der Komplexität der Entwicklung von Cybersicherheitsfunktionen in Krankenhäusern. So glauben Cybersicherheitsexperten, dass die Ressourcennutzung stark mit dem Alter der Infrastruktur korreliert: Mit der zunehmenden Ankunft von Sicherheitspatches in einer Krankenhaus-IT-Abteilung steigt die Anzahl der Patches mit dem Alter der Systeme. Diese Patches müssen auf ihre Auswirkungen auf interne Systeme getestet werden, was eine endlose Schleife der Ressourcenbelastung bedeutet.