LeadingAge 2025: Sicherung einer gefährdeten Branche angesichts neuer Bedrohungen
Bei vielen Cyberangriffen und Datenpannen, die für große Schlagzeilen sorgen, stehen die Auswirkungen auf traditionelle Gesundheitsdienstleister im Vordergrund, aber auch Organisationen der Altenpflege werden ins Visier genommen.
Im Jahr 2024 meldete eine New Yorker Organisation für Seniorenbetreuung, dass unbefugter Systemzugriff möglicherweise die Daten von über 104.000 Personen gefährdet hatte. Laut einem Bericht des Wall Street Journal benötigte eine in Südkalifornien ansässige Organisation für Seniorenbetreuung Monate, um über 26.000 Personen über eine Datenschutzverletzung aus dem Jahr 2023 zu informieren.
Deshalb standen Datensicherheit und Compliance bei den Rednern des LeadingAge Annual Meeting 2025 in Boston im Vordergrund, insbesondere bei den Führungskräften der in Ohio ansässigen Seniorenbetreuungsorganisation Eliza Jennings , die diese Themen regelmäßig auf der jährlichen Konferenz diskutieren.
Klicken Sie auf das Banner unten, um den aktuellen CDW-Cybersicherheitsforschungsbericht zu lesen.
Vizepräsidentin und Leiterin der Rechtsabteilung, Jennifer Griveas, betonte die Wichtigkeit einer aktualisierten Risikoanalyse der HIPAA-Sicherheitsbestimmungen . Organisationen vernachlässigen häufig diese wesentliche Grundlage für den Schutz sensibler Daten.
„Schritt eins: Wenn Sie noch keine Risikoanalyse der HIPAA-Sicherheitsregeln durchgeführt haben, müssen Sie eine Risikoanalyse der HIPAA-Sicherheitsregeln durchführen“, sagte Griveas.
Sie sagte, dass viele der vom US-Gesundheitsministerium, genauer gesagt vom Office for Civil Rights, gegen Gesundheitsdienstleister verhängten Strafen, die einen Verstoß begangen hatten, oft auf das Fehlen einer solchen spezifischen Risikoanalyse zurückzuführen seien.
Kleinere Organisationen können dies möglicherweise selbst mit Hilfe frei verfügbarer Ressourcen erledigen, aber eine Partnerschaft kann für diejenigen sinnvoll sein, die kein eigenes IT-Sicherheitspersonal haben oder für Abteilungen, die bereits mit anderen Prioritäten ausgelastet sind.
Es muss außerdem regelmäßig gewartet werden, denn in der heutigen Sicherheitslandschaft ist ein Cyberangriff keine Frage des Ob, sondern des Wann. Hinzu kommt die zunehmende Verbreitung von KI-gestützten Tools und Prozessen, wodurch Einrichtungen der Altenpflege beim Schutz personenbezogener Gesundheitsdaten noch mehr Aspekte berücksichtigen müssen.
„Wenn Sie sich in einer solchen Situation befinden und dann diese Sicherheitslücke auftritt und das OCR Ihre Risikobewertung der Sicherheitsregeln überprüfen möchte, und Sie sagen: ‚Hier ist sie aus dem Jahr 2019‘, dann können Sie unmöglich auf dem neuesten Stand sein, was die Risikobewertung angeht, insbesondere vor der Pandemie und jetzt nach der Einführung von KI. Alles, was wir getan haben, ändert sich“, sagte Griveas.
Diese Risikoanalyse sollten Führungskräfte in Unternehmen nicht ignorieren. Sie dient als hilfreiche Grundlage für die Einführung neuer Technologien in der IT-Umgebung. Sie hilft Teammitgliedern zu verstehen, was zu ihrer IT-Umgebung gehört und wer darauf Zugriff hat.
„Ich glaube, manche Leute betrachten eine HIPAA-Sicherheitsregel als etwas sehr Technisches, aber das ist sie nicht. Es geht um Strukturen“, fügte sie hinzu.
Michael Gray, Vizepräsident für IT und Chief Compliance Officer, betonte ebenfalls die Wichtigkeit, das Wissen über verschiedene Cyberangriffe auf dem neuesten Stand zu halten. Vor fünf oder sechs Jahren, so Gray, hätten sich nur wenige gemeldet, wenn man die Teilnehmer fragte, ob sie wüssten, was ein Ransomware-Angriff sei. Heute seien diese in der gesamten Branche sehr bekannt.
„Wenn wir uns dieser Risiken nicht bewusst sind und unsere Mitarbeiter nicht wissen, was diese Risiken sind, können wir uns nicht wirklich dagegen verteidigen“, sagte er.
Angreifer versuchen nun, sich so lange wie möglich im Netzwerk einer Zielorganisation aufzuhalten und führen unter Umständen sogar mehrere Angriffe durch . Es gibt auch sogenannte Initial Access Broker , die den Zugang zum Netzwerk einer Organisation verkaufen, sobald sie sich Zugang verschafft haben. Da Social-Engineering-Angriffe immer raffinierter werden, entwickelt sich die Multifaktor-Authentifizierung stetig weiter , um Phishing-Angriffen besser widerstehen zu können .
Selbst wenn sich eine Einrichtung der Altenpflege für einen Cyberangriff gerüstet hält, so Gray, seien lange Wiederherstellungszeiten unvermeidlich. Das bedeute, dass Teams aus allen Abteilungen wissen müssten, wie der Betrieb aufrechterhalten werden könne, wenn Systeme offline seien. Bei einer Planspielübung , an der er teilgenommen habe, sei unter anderem die Frage aufgekommen, ob jüngere Mitarbeiter noch wüssten, wie man Dokumentationen auf Papier anfertigt. Daher müsse geklärt werden, wer eine Kurzschulung in diesem Bereich durchführen könne.
„Selbst bei optimaler Vorbereitung dauert es lange, bis die Systeme wieder betriebsbereit sind. Ihr Cyberversicherer und das beauftragte IT-Forensikunternehmen müssen sich hundertprozentig sicher sein, dass Ihre IT-Umgebung sauber ist, bevor sie Ihre Systeme wieder online schalten“, sagte Gray.
Es geht nicht nur darum, über die beste Sicherheitstool-Ausstattung zu verfügen; die Mitarbeiter einer Organisation müssen mit der Sicherheitsstrategie bestens vertraut sein und regelmäßig geschult werden .
„Wir sind wirklich große Befürworter davon, dass die richtigen Leute mit am Tisch sitzen, die entweder eine Führungsrolle innehaben oder mit dem Aufsichtsrat interagieren, die Geschäftsleitung beraten oder selbst in der Geschäftsleitung tätig sind, um umfassend beurteilen zu können: ‚Tun wir das Notwendige, um den Schutz zu erhalten, den wir brauchen?‘“, sagte Griveas.
Speichern Sie diese Seite in Ihren Lesezeichen, um unsere Berichterstattung zur LeadingAge-Jahrestagung und -Expo 2025 nicht zu verpassen. Folgen Sie uns auf X unter @HealthTechMag und beteiligen Sie sich an der Diskussion unter #LeadingAge25 .
healthtechmagazine
