Cyberangriffe: 9 von 10 US-Gesundheitsunternehmen betroffen
Das Institut hatte insgesamt 648 IT- und IT-Sicherheitsexperten in Gesundheitsunternehmen befragt, die innerhalb ihrer Organisation für die Gestaltung von Cybersicherheitsstrategien, die Verwaltung von Budgets und die Auswahl von Dienstleistern in diesem Bereich verantwortlich sind. Die Ergebnisse sind in einem jetzt bereits zum dritten Mal erschienenen Jahresbericht zusammengefasst. Der Jahresbericht soll zeigen, ob und inwieweit die Gesundheitsbranche Fortschritte bei der Reduktion von IT-Sicherheitsrisiken – auch im Hinblick auf die Patientenversorgung – macht.
Clouddienste im Fokus
Die Zahl der von Cyberangriffen betroffenen Unternehmen ist demnach 2024 mit 92 Prozent gegenüber dem Vorjahr (88 Prozent) angestiegen. Pro Unternehmen gab es durchschnittlich 40 Angriffe.
Die Unterbrechung des normalen Geschäftsbetriebes der Gesundheitseinrichtungen aufgrund von ausgefallenen Systemen kostete pro Fall durchschnittlich 1,47 Millionen US-Dollar und war damit die teuerste Folge eines Cyberangriffs. Gegenüber dem Vorjahresbericht 2023 ergab sich damit eine Steigerung von 13 Prozent (2023: 1,3 Millionen US-Dollar).
Häufigstes Ziel der Angriffe waren die firmeneigenen Clouddienste. 69 Prozent der Befragten gaben an, dass ihre Unternehmen Angriffe auf die Daten in der Cloud verzeichnet hatten. Die durchschnittliche Zahl der Angriffe in den letzten 24 Monaten lag bei 20. Dabei waren sich die Verantwortlichen der Gefahren durchaus bewusst: 63 Prozent der Befragten gaben an, dass ihr Unternehmen „anfällig“ oder „sehr anfällig“ für Cloud-/Accountkompromittierungen sei.
Zweithäufigstes Ziel der Cyberangriffe waren Attacken auf die Lieferkette, auch hier gibt die Mehrheit von 60 Prozent der IT-Experten an, ihr Unternehmen sei sehr anfällig gegenüber Angriffen auf Lieferketten. 69 Prozent berichteten von durchschnittlich vier Angriffen in den letzten zwei Jahren.
Auf den weiteren Plätzen folgen Ransomware-Angriffe (59 Prozent der Befragten gaben durchschnittlich vier Angriffe in den letzten zwei Jahren zu Protokoll) und die Kompromittierungen von Mailkonten/Spoofing (57 Prozent berichteten von durchschnittlich vier Angriffen in den letzten zwei Jahren).
Mehr Sterblichkeit durch Cyberattacken
Die Folgen der Cyberangriffe haben der Umfrage zufolge teils drastische Folgen für die Patientenversorgung: So geben immerhin 28 Prozent der Befragten an, infolge der Angriffe sei die Mortalitätsrate gestiegen – das ist ein Anstieg von 21 Prozent gegenüber dem Vorjahresbericht. Über die Hälfte der Befragten sieht zudem Probleme bei der Patientenbehandlung aufgrund von Verzögerungen bei Tests und einen Anstieg von Komplikationen bei medizinischen Behandlungen.
Insgesamt berichten fast 70 Prozent der Befragten von Störungen der Patientenversorgung infolge von Angriffen aus dem Netz.
Über 50 Prozent der Befragten, die angegeben hatten, dass ein Cyberangriff zu einer Unterbrechnung der Patientenversorgung geführt hat, sehen als Folge eine erhöhte Mortalitätsrate. Ob diese Einschätzung von den Umfrageteilnehmern subjektiv abgegeben wurde oder auf unternehmenseigenen Daten beruht, bleint offen.
Selbst wenn hier möglicherweise ein erhebliches Verzerrungspotenzial der Umfrage in Rechnung gestellt werden muss, sind die Zahlen dennoch bemerkenswert, denn etliche Umfrageteilnehmer kamen aus Bereichen, die nicht direkt in die Patientenversorgung eingebunden sind: so waren beispielsweise zwölf Prozent der Befragten IT-Experten aus Krankenversicherungen.
