HDI Cyberstudie – Angriffe auf Praxen und Heilwesen-Berufe

Cyberangriffe auf Arztpraxen und Heilwesen-Berufe haben häufig eine besondere Relevanz. Geht es doch hier um ein besonders sensibles Gut: Die Gesundheitsdaten von Patienten und Kunden. Cybersicherheit hat daher einen hohen Stellenwert bei den Beschäftigten im Heilwesen, das zeigt die Cyberstudie der HDI Versicherung. Bei einzelnen Präventionsmaßnahmen sieht der Versicherer aber noch Verbesserungsmöglichkeiten.

Cyberangriffe auf Unternehmen sind alltäglich. Kleine und mittlere Unternehmen sind da keine Ausnahme, Selbstständige auch nicht. Das zeigt die HDI Cyberstudie 2024. Handwerksunternehmen werden genauso angegriffen wie Rechtsanwälte, Architekten oder IT-Firmen. Eine besondere Rolle spielen dabei Ärzte und andere Berufe aus dem Gesundheitsbereich.

Gesundheitsdaten sind ein besonders sensibles Gut. Sören Brokamp, Leiter Produktmanagement und Underwriting Cyber der HDI Versicherung weiß: „Das macht diese Daten auch für Cyberkriminelle besonders interessant. Dabei muss es nicht einmal sein, dass die Hacker an den Daten selbst interessiert sind.“ Es gebe vielmehr immer eine Stelle, die besonderes Interesse daran hat, dass die Daten nicht publik werden: der bestohlene Arzt, Heilpraktiker oder Physiotherapeut selbst.

Im Rahmen der letzten HDI Cyberstudie hat die HDI Versicherung deshalb auch gezielt über 130 Vertreter aus der Gruppe der Heilwesen-Berufe befragt, welches Cyber-Risiko sie für ihr Unternehmen sehen. 36% der Befragten schätzten dabei das Risiko als hoch ein, innerhalb von zwei Jahren Opfer einer Cyberattacke zu werden. Und 38% von ihnen gab an, dass ihr Unternehmen bereits attackiert worden sei. Das ist zwar etwas niedriger als die Gesamtheit der für die Studie befragten Unternehmen und Selbstständigen – der Wert liegt hier bei 53% – aber dennoch kein Grund zur Entwarnung.

Einen besonders hohen Stellenwert haben für die befragen Ärzte und Heilberufe die Daten ihrer Kunden. Der Gefahr des Diebstahls oder Verlusts von Kunden- und Patientendaten messen daher 46% der Befragten aus dieser Gruppe eine hohe Relevanz bei. Für die Gesamtheit aller Befragten der HDI Cyberstudie lag der Wert bei 38%. „Auch das Thema Verlust geheimer bzw. vertraulicher Unterlagen hat mit 25% Nennungen für „hohe Relevanz“ bei den Heilberufen einen höheren Stellenwert als bei der Gesamtgruppe (21%),“ ergänzt Sören Brokamp.

Die Bedeutung des Themas Datensicherheit spiegelt sich in der etwas geringeren Anzahl der entsprechenden Schadenereignisse. So liegen die Fälle von Diebstahl oder Verlust von Kundendaten bei Ärzten und anderen Gesundheitsberufen mit 30% der bereits attackierten unter dem Gesamtdurchschnitt von 34%. Kritisch ist im Heilwesen dagegen das Thema Betriebsunterbrechung. So liegt die durchschnittliche Dauer einer Betriebsunterbrechung infolge eines Cyberangriffs bei Ärztinnen, Ärzten und anderen Heilberufen mit 5,3 Tagen deutlich über dem Durchschnitt der Gesamtheit der Studienteilnehmer (4,2 Tage).

Am häufigsten wurde die betrachtete Gruppe mithilfe von Schadsoftware in E-Mail-Anhängen angegriffen. 26% der Befragten gaben an, bereits auf diese Weise attackiert worden zu sein. Damit liegen die Heilberufe auf einem ähnlichen Niveau wie die Gesamtmenge der Befragten. Ein signifikanter Unterschied zur Gesamtgruppe ergab sich beim Vortäuschen falscher Identitäten. Hier gaben lediglich 18% der Befragten aus den Heilberufen an, bereits auf diese Weise attackiert worden zu sein. Über alle Befragten lag der Wert bei 27%.

Der Großteil der gebräuchlichen Präventionsmaßnahmen wie zentrales Einspielen von Sicherheitsupdates, Datensicherungen oder ein verschlüsselter Zugang zum Unternehmensnetzwerk werden seitens der Heilberufe meist analog zur Gesamtheit umgesetzt. Auffällige Abweichungen gab es bei simulierten E-Mail-Angriffen und bei Multi-Faktor-Authentifizierungen. Zu simulierten E-Mail-Angriffen gaben nur 23% der Heilberufe an, solche Angriffe mindestens einmal im Jahr durchführen zu lassen. Bei der Gesamtheit der Befragten war dies mit 33% deutlich häufiger der Fall. Außerdem setzen 45% der Befragten aus dem Heilwesen Multi-Faktor-Identifizierungen ein. Bei der Gesamtheit der Befragten ist dies bei 58% der Fall. Hier scheint es somit noch „Luft nach oben“ zu geben.

Die umfassende Digitalisierung macht auch vor den Heilwesen-Berufen nicht Halt. Die digitale Patientenakte oder auch der Einsatz von KI in Arztpraxen sind in der Praxis angekommen. Auch sehen die in der Cyberstudie Befragten mehrheitlich (47%) im Einsatz von KI eher Chancen als Risiken. „Das Thema Informationssicherheit gewinnt dadurch noch mehr an Bedeutung. Neben allen technischen Maßnahmen kann dabei vor allem die Schulung von Mitarbeitern zum richtigen Umgang der Gefahren durch Cyberangriffe ein hohes Maß an Sicherheit gewährleisten,“ sagt HDI Cyberspezialist Brokamp.

Mit der rasanten Entwicklung der KI in den letzten Jahren seien auch neue Möglichkeiten entstanden, die auf die schwächste Stelle der Cybersicherheit, den Menschen zielen, so Brokamp. Die Qualifizierung und Sensibilisierung der User bleibe daher der größte Hebel für ein wirkungsvolle Cyberprävention.

Weitere Ergebnisse der Studie stehen als Booklet zum Download auf der Website der HDI Versicherung unter www.hdi.de/cyberstudie2024 zur Verfügung.