Das US-Gesundheitsministerium (HHS) steht vor erheblichen Problemen bei der Gewährleistung der Cybersicherheit im Gesundheitssektor. Wie ein aktueller Bericht des Government Accountability Office (GAO) zeigt, gibt es gravierende Lücken in der Überwachung und Koordinierung von Cybersicherheitsmaßnahmen[1].
Der Bericht gewinnt besondere Brisanz vor dem Hintergrund eines schwerwiegenden Cyberangriffs auf Change Healthcare im Februar 2024, bei dem Daten gestohlen wurden und ein geschätzter Schaden von 874 Millionen Dollar entstand[1].
Besonders kritisch sieht die GAO, dass das HHS die Umsetzung von Schutzmaßnahmen gegen Ransomware-Angriffe nicht ausreichend überwacht. Zwar hätten teilnehmende Krankenhäuser nach eigenen Angaben etwa 70,7 Prozent der vom National Institute of Standards and Technology empfohlenen Cybersicherheitsmaßnahmen umgesetzt, eine Überprüfung spezifischer Ransomware-Schutzmaßnahmen finde jedoch nicht statt[1].
Weitere Schwachstellen zeigen sich in der mangelnden Evaluierung der Unterstützungsmaßnahmen für den Gesundheitssektor sowie in der unzureichenden Risikobewertung von Internet-of-Things (IoT) und operativen Technologien. Auch die Koordination zwischen verschiedenen Behörden weist erhebliche Mängel auf, etwa bei der Abstimmung von Cybersicherheitsanforderungen zwischen Bundesbehörden[1].
Die GAO warnt eindringlich: Solange das HHS die empfohlenen Verbesserungen nicht umsetzt, riskiert das Ministerium, seine Führungsrolle nicht effektiv wahrnehmen zu können – mit möglicherweise schwerwiegenden Folgen für Gesundheitsdienstleister und die Patientenversorgung[1].
Quellen:
[1] gao-25-107755.pdf https://ppl-ai-file-upload.s3.amazonaws.com/web/direct-files/21436693/63575558-711c-45d4-b62b-ac498adcb3e3/gao-25-107755.pdf
