Netskope Threat Labs hat seinen Research Report veröffentlicht, der die Bedrohungslage im Gesundheitswesen analysiert. Aus dem aktuellen Bericht geht hervor, dass Beschäftigte dieser Branche regelmäßig versuchen, sensible Daten an nicht genehmigte Orte im Internet oder in der Cloud hochzuladen. Der Einsatz von generativen KI-Anwendungen am Arbeitsplatz setzt sich immer mehr durch – derzeit werden ChatGPT und Google-Gemini am meisten eingesetzt. Entsprechend häufig zieht ihre Nutzung Verstöße gegen die Datenschutzrichtlinien nach sich.
Die wichtigsten Insights:
- 81 % aller Verstöße gegen Datenrichtlinien, die in Organisationen des Gesundheitswesens in den letzten zwölf Monaten auftraten, betrafen regulierte Gesundheitsdaten, d. h. Daten, die durch lokale, nationale oder internationale Vorschriften geschützt sind und sensible medizinische sowie klinische Informationen umfassen. Passwörter und Schlüssel, Quellcode oder geistiges Eigentum waren ebenfalls betroffen (insgesamt 19 %), und ein Großteil dieser Verstöße ging von Personen aus, die sensible Daten auf persönliche Microsoft-Onedrive- oder Google-Drive-Konten hochgeladen hatten.
- GenAI ist in der Branche allgegenwärtig geworden, und GenAI-Anwendungen werden nun in 88 % der Gesundheitsorganisationen eingesetzt. Ein großer Teil der Verstöße gegen Datenrichtlinien tritt nun im Zusammenhang mit der Nutzung von GenAI durch Beschäftigte im Gesundheitswesen auf: 44 % betreffen regulierte Daten, 29 % Quellcode, 25 % geistiges Eigentum und 2 % Passwörter und Schlüssel. Zusätzliche Risiken von Datenlecks können von Anwendungen ausgehen, die Nutzerdaten für Schulungen nutzen oder GenAI-Funktionen enthalten, die in 96 % bzw. 98 % der Gesundheitsorganisationen eingesetzt werden.
- Mehr als 2 von 3 GenAI-Nutzer im Gesundheitswesen verwenden und senden bei der Arbeit sensible Daten an ihre persönlichen GenAI-Konten. Dieses Verhalten erschwert den Sicherheitsteams den Überblick über die GenAI-bezogenen Aktivitäten ihrer Mitarbeiter und – ohne angemessene Datenschutzrechtliche Leitplanken – ihre Fähigkeit, Datenlecks zu erkennen und zu verhindern.
„GenAI-Anwendungen bieten innovative Lösungen, führen aber auch neue Vektoren für potenzielle Datenschutzverletzungen ein, insbesondere in Umgebungen mit hohem Druck und hohen Risiken wie dem Gesundheitswesen, wo Mitarbeiter und Ärzte oft schnell und flexibel arbeiten müssen“, kommentiert Gianpietro Cutolo, Cloud Threat Researcher bei Netskope Threat Labs die Ergebnisse des Berichts. „Organisationen des Gesundheitswesens müssen die Vorteile von GenAI mit dem Einsatz von Sicherheits- und Datenschutzmaßnahmen in Einklang bringen, um diese Risiken zu minimieren.”
Dabei können sie Folgendes berücksichtigen:
- Einsatz von vorab genehmigten GenAI-Anwendungen in der Belegschaft, um die Nutzung von GenAI in Anwendungen zu zentralisieren, damit besser zu überwachen sowie zu sichern und „Schatten-KI“ sowie die Nutzung von persönlichen GenAI-Konten zu reduzieren. Diese ist zwar unter den Beschäftigten im Gesundheitswesen immer noch stark verbreitet, aber im letzten Jahr bereits von 87 % auf 71 % zurückgegangen, da die Unternehmen zunehmend auf von ihnen genehmigte GenAI-Lösungen umsteigen.
- GenAI-Anwendungen werden lokal und nicht in der Cloud betrieben, sodass Mitarbeiter keine Daten extern teilen müssen, um diese Tools zu nutzen. 43 % der Gesundheitsorganisationen setzen GenAI bereits auf ihren eigenen Systemen ein.
- Einsatz strenger Data-Loss-Prevention (DLP)-Richtlinien zur Überwachung und Kontrolle des Zugriffs auf genAI-Anwendungen sowie zur Festlegung der Art von Daten, die mit ihnen geteilt werden können. Dies bietet eine zusätzliche Sicherheitsebene für eventuelle riskante Aktionen von Mitarbeitern. Der Anteil der Gesundheitsorganisationen, die DLP-Richtlinien für genAI einsetzen, ist im letzten Jahr von 31 % auf 54 % gestiegen.
- Bereitstellung eines Echtzeit-Benutzer-Coachings, eines Tools, das Mitarbeiter vor der Ausführung riskanter Aktionen warnt. Wenn beispielsweise ein Mitarbeiter des Gesundheitswesens versucht, eine Datei in ChatGPT hochzuladen, die Patientennamen enthält, wird er gefragt, ob er fortfahren möchte. Aus einem anderen Bericht geht hervor, dass eine große Mehrheit der Mitarbeiter (73 %) in allen Branchen nicht fortfährt, wenn sie eine entsprechende Aufforderung erhält.
„Als Krankenhaus sind wir Teil der kritischen Infrastruktur. Damit tragen wir eine besondere Verantwortung für den Schutz sensibler Daten und die IT-Sicherheit“, erläutert Tobias Hunger, Abteilungsleiter Informations- und Medizintechnik & Certified Healthcare CIO beim Klinikum Magdeburg. „Cybersicherheit ist für uns nicht nur ein technisches Thema, sondern eine lebenswichtige Voraussetzung für den sicheren Klinikbetrieb. Wir haben moderne Cloud-Technologien und generative KI-Anwendungen bereits erfolgreich in viele unserer Prozesse und Arbeitsabläufe integriert, um die Effizienz und Qualität in der Versorgung zu steigern. Dieser technologische Fortschritt bringt jedoch gleichzeitig neue, komplexe Herausforderungen mit sich – insbesondere im Hinblick auf die Cybersicherheit, den Datenschutz und die stetige Anpassung an sich wandelnde regulatorische Anforderungen. Um diesen Anforderungen gerecht zu werden, verfolgen wir einen ganzheitlichen Ansatz, der technologische Innovation, rechtliche Compliance und IT-Sicherheit systematisch miteinander verbindet.“
„Im Gesundheitswesen haben die rasche Einführung von GenAI-Apps und die zunehmende Nutzung von Cloud-Plattformen dem Schutz regulierter Gesundheitsdaten neue Dringlichkeit verliehen“, so Gianpietro Cutolo. „Da GenAI immer stärker in klinische und betriebliche Arbeitsabläufe eingebettet wird, beschleunigen Organisationen die Einführung von Kontrollen wie DLP und App-Blockierungsrichtlinien, um Risiken zu verringern. Organisationen des Gesundheitswesens machen Fortschritte, aber ein kontinuierlicher Fokus auf sichere, für Unternehmen zugelassene Lösungen wird entscheidend sein, um sicherzustellen, dass die Daten in dieser sich entwickelnden Landschaft geschützt bleiben.“
Netskope bietet Millionen von Nutzern weltweit Schutz vor Bedrohungen. Die in diesem Bericht dargestellten Informationen basieren auf anonymisierten Nutzungsdaten, die von der Netskope One-Plattform gesammelt wurden und sich auf eine Untergruppe von Netskope-Kunden im Gesundheitswesen mit vorheriger Genehmigung beziehen.
#Netskope
powered by Borlabs Cookie 