Autoren
Wouter Wissink
Senior Principal Cyber Risk Engineer and Technology Industry Practitioner
Für Life Science-Unternehmen bestehen unzählige mit ihrem Tätigkeitsbereich verbundene Cyberrisiken. Pharma- und Biotech-Unternehmen, Medizingerätehersteller und Dienstleister wie Testlabore oder Forschungsinstitute verfügen über Unmengen an wertvollen Daten, an kritischer Betriebstechnologie sowie an geistigem Eigentum oder IT-Systemen, die verwaltet, gesichert und geschützt werden müssen.
Während die Grundsätze der Cybersicherheit für praktisch jedes Unternehmen in jeder beliebigen Branche gelten, befassen wir uns hier mit den Bereichen, die für Life Science-Unternehmen in Europa und Großbritannien eine Rolle spielen.
IT-Risikoanalyse
Zu den gängigen Cyberrisiken für Life Science-Unternehmen gehören:
- Hackerangriffe auf Medizingeräte wie Insulinpumpen oder Schrittmacher
- Diebstahl von Patientendaten aus Krankenhausnetzwerken oder den IT-Systemen klinischer Versuche zu Life Science-Produkten oder -Dienstleistungen
- Manipulation von Umweltmanagementsystemen
Diese Angriffe können schwerwiegende Folgen haben: Funktionsstörungen von Geräten, Produktionsstörungen, finanzielle Verluste, Rufschädigung und Gefährdung der Patientensicherheit.
Durch die Einbeziehung von IT-Fachleuten in die Risikoanalyse können Schwachstellen erkannt und entsprechende Strategien geplant oder strengere Sicherheitsmaßnahmen ergriffen werden. Anhand von IT-Risikoanalysen können auch IT-spezifische Risiken reduziert werden, die die Zuverlässigkeit und die Funktionsfähigkeit von Geräten beeinflussen können.
Kontrolle der Betriebstechnologie
Die Überwachung der Sicherheit der Betriebstechnologie - darunter Labor- und Produktionsausrüstung - ist für Life Science-Unternehmen genauso wichtig wie die Informationstechnologie. Regelmäßige Systemprüfungen, Bewertungen von Schwachstellen und kontinuierliche Netzwerküberwachungen helfen bei der Erkennung und Aufdeckung von Anomalien und ermöglichen rasche Reaktionen auf verdächtige Aktivitäten. Durch regelmäßige Sicherheitspatches und Software-Updates lassen sich mögliche Schwachstellen entschärfen.
Datenschutz
Life Science-Unternehmen verwalten oft Unmengen an medizinischen Daten. Sollten diese von Cyberangreifern gestohlen oder manipuliert werden, könnte dies schwerwiegende Folgen haben. Daten sollten nach Risikokategorien geordnet werden, wobei sensible Gesundheitsdaten den höchsten Schutz erhalten müssen und Zugriff nur denjenigen Mitarbeitenden gewährt werden darf, die sie benötigen. Durch Datenschutzmaßnahmen wie Verschlüsselungen in Datenbanken, Laptops und Systemen, die mit dem Internet verbunden sind, kann der Zugriff auf diese Informationen für Hacker erschwert werden. Zu beachten ist auch die Einhaltung der lokalen Datenschutzbestimmungen wie beispielsweise die Datenschutz-Grundverordnung der EU (DSGVO). Auch hochsensible Firmendaten, die eng mit dem Wert eines Unternehmens verbunden sind, brauchen strengere Kontrollen im Firmennetzwerk.
Multifaktor-Authentifizierung
Die Multifaktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit, weil Mitarbeitende ihre Identität mehrfach bestätigen müssen. Dadurch wird das Risiko eines unerlaubten Zugriffs deutlich gesenkt. Darüber hinaus können Life Science-Unternehmen mit Hilfe von MFA jedes Authentifizierungsereignis nachvollziehen und so die Personen identifizieren, die auf Daten oder Systeme zugegriffen haben. Diese Funktion verbessert die Rechenschaftspflicht, erleichtert die Feststellung potenzieller Datenverletzungen oder -pannen und ermöglicht die Ergreifung sofortiger Maßnahmen bei verdächtigen oder feindseligen Aktivitäten.
Physische Sicherheit
Um die wertvollen Daten und das geistige Eigentum von Life Science-Unternehmen zu schützen, ist es wichtig, geeignete physische Sicherheitsmaßnahmen zu treffen. Führen Sie eine gründliche Überprüfung Ihrer Mitarbeitenden durch, insbesondere derjenigen, die Zugriff auf sensible Daten haben. Befindet sich die Datenspeicherung, kritische IT oder Infrastruktur der Betriebstechnologie direkt vor Ort, kann der Erwerb einer unterbrechungsfreien Stromversorgung oder eines Notstromgenerators sinnvoll sein. Des Weiteren sollte für die sichere Speicherung wertvoller Informationen ein geeignetes Zugangskontrollsystem für Mitarbeitende und Besucher in Betracht gezogen werden.
Incident Response-Planung
Life Science-Unternehmen können sich mit Hilfe eines umfassenden Disaster Recovery-Plans (DRP) effizient auf Cyberzwischenfälle vorbereiten, der die Maßnahmen für die Reaktion auf Cyberangriffe und die Wiederherstellung nach Angriffen Schritt für Schritt erläutert. Dazu gehört die Erstellung verständlicher Protokolle für die Meldung von Zwischenfällen auch an die zuständige Datenschutzbehörde, die Verwaltung von Zwischenfällen sowie Kommunikationsstrategien. Empfohlen wird auch, den DRP regelmäßig zu testen und den Mitarbeitenden fortwährend entsprechende Schulungen anzubieten. Ein Business-Continuity-Plan (BCP) kann sicherstellen, dass die betriebliche Kontinuität nach einem Zwischenfall im Rahmen des Möglichen gewährleistet ist.
Fazit
Life Science-Unternehmen sammeln und verwalten geschützte Gesundheitsdaten, ihre eigenen Daten und geistiges Eigentum. Deshalb sollten sie darauf achten, dass sie vor Cyberangriffen angemessen geschützt sind. Alle hier vorgeschlagenen Maßnahmen orientieren sich an den Prinzipien der Vertraulichkeit, Integrität und Verfügbarkeit (CIA). Zudem wird empfohlen, dass sich Life Science-Unternehmen mit der ISO-Norm 27001 zu Cybersicherheit vertraut machen und sich mit den Risk Engineers ihrer Versicherung beraten.
Mit über 25 Jahren Erfahrung im Bereich Life Sciences bietet Chubb mit Unterstützung von Underwritern, Risk Engineers und Claims Manager mit fundierten Branchenkenntnissen spezialisierte Lösungen für Life Science-Unternehmen an. Von Produkthaftpflicht und klinischen Studien über Sachversicherungen bis hin zu Cyber- und Transportversicherungen: Wir bieten umfassenden Schutz. Unser Expertenteam kann Sie von der frühen Forschungs- und Entwicklungsphase bis hin zu bis hin zu komplexen multinationalen Projekten begleiten. Setzen Sie sich gern mit uns in Verbindung und erfahren Sie noch heute, wie wir Sie mit unserer Expertise in Sachen Life Sciences unterstützen können.
Diese Inhalte dienen ausschließlich der allgemeinen Information. Es handelt sich dabei nicht um eine persönliche Beratung oder Empfehlung für Privatpersonen oder Unternehmen hinsichtlich eines Produkts oder einer Leistung. Die exakten Deckungsbedingungen entnehmen Sie bitte den Versicherungsunterlagen.
Unsere Teams
