Da die Bedrohungen immer größer werden und die Angreifer ihre Strategien und Methoden ständig ändern, müssen sich die Unternehmen unablässig auf die zunehmenden Angriffsversuche der Hacker und ihre invasiven Aktivitäten einstellen7. Ransomware-Angriffe sind mittlerweile ein fester Bestandteil von Cyberbedrohungen und werden immer zahlreicher und ausgefeilter. Obwohl die Anbieter von Ransomware-as-a-Service (RaaS) ihre Software ständig verbessern, hat es RaaS verschiedenen Bedrohungsakteuren – auch solchen mit geringen technischen Kenntnissen – erleichtert, Ransomware gegen Ziele einzusetzen. Dieses neue Muster besteht darin, dass eine Kerngruppe von Entwicklern die Ransomware und die Zahlungsseiten einrichtet und pflegt und die von ihnen angeworbenen Partner in die Netzwerke der Opfer eindringen und Geräte verschlüsseln. Aufgrund der Bedeutung und Verbreitung von Ransomware und ihrer Auswirkungen hat die United States Cybersecurity and Infrastructure Agency seinen Leitfaden zu Ransomware veröffentlicht8.
Angriffe auf Life-Sciences-Unternehmen und Dienstleister im Gesundheitswesen, einschließlich Unternehmen aus den Bereichen Gesundheitstechnologien, Pharmazie, Biotechnologie und Medizintechnik, haben in den letzten Jahren erheblich zugenommen. Auch die Weltgesundheitsorganisation meldete 2020 eine Verfünffachung der Angriffe9. Die Zunahme von Datenverlusten und Ransomware-Angriffen auf diese Organisationen gefährdet Unternehmen und Organisationen in hohem Maße und kann medizinische Geräte und Anlagen deaktivieren. Die Risiken können zu schwerwiegenden Folgen führen, unter anderem:
- Gefährdung der Patientensicherheit bis hin zum Tod
- Diebstahl von geistigem Eigentum
- Klage im Rahmen der gesetzlichen Haftpflicht
- Regulatorische Sanktionen und Geldstrafen
- Rufschädigung
Es sollten laufend mehrere Schritte unternommen werden, um die Risiken für die Cybersicherheit und den Datenschutz zu mindern10. Dazu gehören:
- Durchführung von Datenschutz- oder Sicherheitsrisikobewertungen, um festzustellen, ob potenzielle Risiken und Schwachstellen bestehen, und Zusammenarbeit mit externen Beratern, um festgestellte Risiken und Schwachstellen zu mindern
- Bewertung bestehender Datenschutz- und Sicherheitsrichtlinien sowie des Versicherungsschutzes für Cybersicherheit, um die Kosten eines Vorfalls zu prognostizieren und Lücken im Versicherungsschutz zu schließen
- Bewertung der unternehmensweiten Praktiken zur Erfassung und Speicherung/Aufbewahrung personenbezogener Daten, um die Einhaltung der staatlichen, bundesstaatlichen und internationalen Gesetze zur Datenerfassung sicherzustellen
- Schulung aller Arten von Mitarbeitern, nicht nur aus dem Bereich der Informationstechnologie, in bewährten Vorgehensweisen zum Schutz vor Phishing und Ransomware (z. B. wie Angreifer vorgehen, wonach Bedrohungsakteure suchen und praktische Ratschläge zur Erkennung und Meldung von Bedrohungen)
- Aufnahme von Entschädigungs-, Datennutzungsbeschränkungs- und anderen Klauseln in Lieferantenverträge zum Schutz vor Schaden sowie regelmäßige Überprüfung der Verträge
Wir glauben, dass die Zukunft des Gesundheitswesens in der vernetzten Medizin liegt. Das Potenzial für integrierte pharmazeutische/biotechnische Produkte und Medizinprodukte ist unendlich. Dazu gehören Innovationen wie Knieimplantate, die mit einem Handy verbunden sind, um den pH-Wert und die Verschlechterung zu überwachen und den Patienten oder Arzt über eine mögliche Infektion oder Komplikation zu informieren. Andere Beispiele sind Herzklappen, die einem Arzt diagnostische Rückmeldungen geben können, um die pharmakologische Behandlung zu optimieren, oder ein unter die Haut implantierter Chip, der melden könnte, wenn ein Krebspatient in Remission diagnostische Anzeichen dafür zeigt, dass der Krebs zurückgekehrt ist. Dies mag futuristisch klingen, aber es gab eine Zeit, in der niemand glaubte, dass ein Herzschrittmacher das Versagen des menschlichen Herzens verhindern könnte. Allen gemeinsam ist, dass sie, sollten sie auf den Markt kommen, in hohem Maße von geeigneter Software und IT-Kommunikation abhängig sind und letztlich ein besonders hohes Maß an Cybersicherheit erfordern würden. Bisher konzentrierten sich die meisten Bedenken in Bezug auf die Cybersicherheit auf den Schutz der Daten von Patienten und Einrichtungen. Dies ist tatsächlich sehr wichtig und Fehler können zudem kostspielige Auswirkungen haben. Da die Technologie jedoch immer weiter fortschreitet, können Bedrohungen der Cybersicherheit Unternehmen ihre Erträge, ihren Ruf und Menschen ihr Leben kosten.
Pharma-, Biotech- und Medizintechnikunternehmen müssen ihre Produkte durch integrierte, robuste Cybersicherheitsmaßnahmen schützen und gleichzeitig eine angemessene Bewertung der Cybersicherheitsrisiken durch Cybersicherheitsexperten durchführen. Da sich die Technologien ständig weiterentwickeln, ist es für diese spezialisierten Fachleute von entscheidender Bedeutung, die mit dem Produkt verbundenen Risiken im Hinblick auf die Cybersicherheit genau zu erkennen. Wie bei jeder Risikomatrix kann man das Risiko nicht mindern, wenn man den potenziellen Schaden nicht kennt.
* * * * *
Die PQE Group ist ein nach ISO 9001 zertifiziertes Unternehmen für Technologielösungen und Compliance-Beratungsdienste für die Life-Sciences-Branche. Es stellt globales Know-how für den gesamten Lebenszyklus der Produktqualität bereit. PQE wurde 1998 gegründet und verfügt weltweit über 30 Niederlassungen und mehr als 1500 spezialisierte Fachkräfte. PQE ist unter anderem auf folgende Bereiche spezialisiert: Datenintegritätssicherung, digitale Governance und Cybersicherheit, Medizinprodukte, Qualifizierung und Technik, Laborexzellenz, Qualitätskonformität, regulatorische Angelegenheiten und Audits durch Dritte. Das Unternehmen hat eine Erfolgsbilanz bei der Durchführung großer Projekte über mehrere Standorte aufzuweisen und unterstützt kleine und mittelständische Kunden sowie Start-ups aus den Bereichen Pharmazie, Biotechnologie und Medizinprodukte.
Die hochprofessionellen Fachkräfte der PQE Group können sicherstellen, dass Ihre IT-Systeme vor Ransomware, Hackern und anderen Cyber-Bedrohungen geschützt sind. Wenn Sie mit der PQE Group zusammenarbeiten, können Sie sicher sein, dass Ihr Unternehmen die FDA-Vorschriften (und die Vorschriften anderer Behörden) einhält und dass Ihr Produkt sicher entwickelt und hergestellt werden kann.