Alle 14 Tage aktuelle News aus der IT-Szene >
Dreiviertel der Befragten erlebten Angriffe während der Covid-19-Pandemie.
Foto: Kaspersky Die Top-Angriffsvektoren im Ländervergleich Gemäß einer aktuellen Studie des Instituts für Medizinische Informatik der Universität UMIT TIROL liegt Österreich im weltweiten Vergleich beim Status der Digitalisierung im Gesundheitswesen im Mittelfeld. Die IT-Sicherheitsexperten von Kaspersky wollten wissen, wie sicher die IT-Infrastruktur der Branche in Österreich ist und haben im Rahmen einer neuen Studie IT-Entscheidungsträger aus dem Healthcare-Ökosystem zur Cyberbedrohungslage in Deutschland, Österreich und der Schweiz befragt. Die Studienteilnehmer aus Österreich sehen demnach die eigenen Mitarbeiter als größtes Sicherheitsrisiko für ihre Organisation und investieren im Vergleich zu den beiden Nachbarländern verhältnismäßig intensiv in Mitarbeiterschulungen. Dass ein Drittel der Befragten aus der österreichischen Gesundheitsbranche gemäß der Kaspersky-Studie ein gestiegenes Angriffsniveau seit Beginn der Covid-19-Pandemie verzeichnet, sowie die Tatsache, dass nur die Hälfte über eigene Notfallpläne verfügt, zeigt zudem, dass in punkto IT-Sicherheit noch ein paar Schritte zu gehen sind.
Fast drei Viertel der Befragten aus dem österreichischen Gesundheitssektor verzeichneten während der Pandemie mindestens einen Cyberangriff auf ihre Organisation. Fast jede dritte Organisation erlebte in diesem Zeitraum sogar mehr Angriffe als zuvor. Dennoch stuft nur die Hälfte der befragten IT-Entscheidungsträger die aktuelle Bedrohungssituation für die Cybersicherheit in ihrem Unternehmen als „hoch“ ein. Damit geben die Österreicher im Ländervergleich die niedrigste Alarmstufe in der Region DACH aus (Schweiz 74 Prozent; Deutschland 58,7 Prozent).
Wenngleich die Bedrohungslage nicht von der Hand zu weisen ist, verfügt gemäß der Studie nur die Hälfte der österreichischen Organisationen im Gesundheitssektor für den Ernstfall über einen Business Continuity Plan beziehungsweise einen Disaster Recovery Plan, der auch regelmäßig einer strengen Kontrolle unterzogen wird. Damit planen österreichische IT-Entscheider im Gesundheitswesen deutlich weniger für den Notfall vor als in Deutschland (67,3 Prozent) oder der Schweiz (64 Prozent; DACH-übergreifend 61,4 Prozent).
Die meisten Cybersicherheitsprobleme entstanden in der Gesundheitsbranche in Österreich durch Spyware, gefolgt von Spear-Phishing- und DDoS-Attacken. Ungepatchte Programme, sowie Ransomware, gezielte Angriffe und generische Malware mit jeweils etwa einem Viertel der Nennungen bilden hier die untere Hälfte der Cyberbedrohungen im österreichischen Gesundheitswesen ab (siehe Grafik).
30 Prozent der österreichischen Befragten sieht die interne Missachtung von Sicherheitsvorschriften als signifikante Gefahr, da sie befürchten, die eigenen Mitarbeiter könnten die Cybersicherheit des Unternehmens kompromittieren. Zudem wird die Nutzung von Technologien, die nicht durch die IT-Abteilung genehmigt wurden, von jedem Fünften kritisch gesehen.
Auf die in der Umfrage offen gestellte Frage zur Bedrohungslage sagt ein österreichischer Umfrageteilnehmer aus dem Bereich Information & Beratung: „Datenverlust, Datenmanipulation, Zerstörung von Daten und der Verlust von Forschungsdaten bezüglich Covid-19“ seien die größte Sorge. Ein weiterer Studienteilnehmer aus dem Bereich Forschung & Ausbildung ergänzt: „Mitarbeitende nehmen die Thematik auch bei Schulung nicht ausreichend ernst.“
Die Wichtigkeit von Mitarbeiterschulungen scheinen die österreichischen IT-Entscheidungsträger erkannt zu haben. Neben Technologie und Systemen investieren diese, wie auch ihre Schweizer Kollegen, mit jeweils 36 Prozent deutlich häufiger in Cybersicherheitsschulungen als ihre Pendants in Deutschland (26,7 Prozent).
„Jeder Dritte der von uns befragten IT-Entscheidungsträger aus dem Gesundheitswesen in Österreich sieht insbesondere die eigenen Mitarbeiter und deren fehlendes Cybersicherheitsbewusstsein als größtes IT-Sicherheitsrisiko,“ stellt Michael Zeger, Territory Manager Austria bei Kaspersky, fest. „Die gute Nachricht ist: Durch entsprechende Weiterbildungen und Kurse, auch durch externe IT-Sicherheitsexperten, können alle Mitarbeiter, egal welcher Abteilung, individuell über den richtigen Umgang mit potenziellen digitalen Gefahren in ihrem jeweiligen Zuständigkeitsbereich umfassend geschult werden.“