Cybersicherheitsempfehlungen für Life Science-Unternehmen

Für Life Science-Unternehmen bestehen unzählige mit ihrem Tätigkeitsbereich verbundene Cyberrisiken. Pharma- und Biotech-Unternehmen, Medizingerätehersteller und Dienstleister wie Testlabore oder Forschungsinstitute verfügen über Unmengen an wertvollen Daten, an kritischer Betriebstechnologie sowie an geistigem Eigentum oder IT-Systemen, die verwaltet, gesichert und geschützt werden müssen. 
 

Während die Grundsätze der Cybersicherheit für praktisch jedes Unternehmen in jeder beliebigen Branche gelten, befassen wir uns hier mit den Bereichen, die für Life Science-Unternehmen in Europa und Grossbritannien eine Rolle spielen. 
 

IT-Risikoanalyse

Zu den gängigen Cyberrisiken für Life Science-Unternehmen gehören:

• Hackerangriffe auf Medizingeräte wie Insulinpumpen oder Schrittmacher 
• Diebstahl von Patientendaten aus Krankenhausnetzwerken oder den IT-Systemen klinischer Versuche zu Life Science-Produkten oder -Dienstleistungen
• Manipulation von Umweltmanagementsystemen
   

Diese Angriffe können schwerwiegende Folgen haben: Funktionsstörungen von Geräten, Produktionsstörungen, finanzielle Verluste, Rufschädigung und Gefährdung der Patientensicherheit. 
 

Durch die Einbeziehung von IT-Spezialistinnen und IT-Spezialisten in die Risikoanalyse können Schwachstellen erkannt und entsprechende Strategien geplant oder strengere Sicherheitsmassnahmen ergriffen werden. Anhand von IT-Risikoanalysen können auch IT-spezifische Risiken reduziert werden, die die Zuverlässigkeit und die Funktionsfähigkeit von Geräten beeinflussen können. 
 

Kontrolle der Betriebstechnologie

Die Überwachung der Sicherheit der Betriebstechnologie - darunter Labor- und Produktionsausrüstung - ist für Life Science-Unternehmen genauso wichtig wie die Informationstechnologie. Regelmässige Systemprüfungen, Bewertung von Schwachstellen und kontinuierliche Netzwerküberwachung helfen bei der Erkennung und Aufdeckung von Anomalien und ermöglichen rasche Reaktionen auf verdächtige Aktivitäten. Durch regelmässige Sicherheitspatches und Software-Updates lassen sich mögliche Schwachstellen entschärfen.
 

Datenschutz 

Life Science-Unternehmen verwalten oft Unmengen an medizinischen Daten. Sollten diese von Cyberangreifern gestohlen oder manipuliert werden, könnte dies schwerwiegende Folgen haben. Daten sollten nach Risikokategorien geordnet werden, wobei sensible  Gesundheitsdaten den höchsten Schutz erhalten müssen und der Zugriff auf diejenigen Mitarbeitenden begrenzt werden muss, die sie benötigen. Durch Datenschutzmassnahmen wie Verschlüsselungen in Datenbanken, Laptops und Systemen, die mit dem Internet verbunden sind, kann der Zugriff auf diese Informationen für Hacker erschwert werden. Zu beachten ist auch die Einhaltung der lokalen Datenschutzbestimmungen wie bspw. die Datenschutz-Grundverordnung der EU (DSGVO). Auch hochsensible Firmendaten, die eng mit dem Wert eines Unternehmens verbunden sind, brauchen strengere Kontrollen im Firmennetzwerk.
 

Multifaktor-Authentifizierung

Die Multifaktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit, weil Mitarbeitende ihre Identität mehrfach bestätigen müssen. Dadurch wird das Risiko eines unerlaubten Zugriffs deutlich gesenkt. Darüber hinaus können Life Science-Unternehmen mit Hilfe von MFA jedes Authentifizierungsereignis nachvollziehen und so die Personen identifizieren, die auf Daten oder Systeme zugegriffen haben. Diese Funktion verbessert die Rechenschaftspflicht, erleichtert die Feststellung potenzieller Datenverletzungen und Datenpannen und ermöglicht die Ergreifung sofortiger Massnahmen bei verdächtigen oder feindseligen Aktivitäten.
 

Physische Sicherheit

Durch Objektschutz können die wertvollen Daten und das geistige Eigentum von Life Science-Unternehmen zusätzlich geschützt werden. Führen Sie deshalb eine gründliche Prüfung Ihrer Mitarbeitenden durch, allen voran derjenigen, die Zugang zu sensiblen Daten haben. Befindet sich die Datenspeicherung, kritische IT oder Infrastruktur der Betriebstechnologie direkt vor Ort, sollte vielleicht auch eine unterbrechungsfreie Stromversorgung oder ein Notstromgenerator angeschafft werden. Für die sichere Speicherung wertvoller Informationen ist ein geeignetes Zugangskontrollsystem für Mitarbeitende und Besucher:innen vorzusehen.
 

Incident Response-Planung

Life Science-Unternehmen können sich mit Hilfe eines umfassenden Disaster Recovery-Plans (DRP) effizient auf Cyberzwischenfälle vorbereiten, der die Massnahmen für die Reaktion auf und die Wiederherstellung nach Cyberangriffen Schritt für Schritt erläutert. Dazu gehört die Erstellung verständlicher Protokolle für die Meldung von Zwischenfällen, einschliesslich an die zuständige Datenschutzbehörde, die Verwaltung von Zwischenfällen und Kommunikationsstrategien. Empfohlen wird auch, den DRP regelmässig zu testen und den Mitarbeitenden laufend entsprechende Schulungen anzubieten. Ein Business-Continuity-Plan (BCP) kann sicherstellen, dass die betriebliche Kontinuität nach einem Zwischenfall im Rahmen des Möglichen gewährleistet ist.
 

Fazit

Life Science-Unternehmen sammeln und verwalten geschützte Gesundheitsdaten, ihre eigenen Daten und geistiges Eigentum. Deshalb sollten sie darauf achten, dass sie vor Cyberangriffen angemessen geschützt sind. Die vorstehend erläuterten Massnahmen passen zu den Grundsätzen der CIA-Triade: Vertraulichkeit, Integrität und Verfügbarkeit. Ansonsten wird empfohlen, dass sich Life Science-Unternehmen mit der ISO-Norm 27001 über Cybersicherheit vertraut machen und mit den Risk Engineers Ihrer Versicherung darüber beraten. 

Chubb ist seit über 25 Jahren auf den Bereich Life Sciences spezialisiert und bietet mit Unterstützung von Underwritern, Risk Engineers und Schadenbearbeiter:innen  mit fundierten Branchenkenntnissen Spezialversicherungen für Life Science-Unternehmen an. Von Produkthaftung und klinischen Versuchen über Berufshaftpflicht und Sachversicherungen bis hin zu Cyber- und Transportversicherungen: Wir haben, was Sie brauchen. Wir unterstützen viele unterschiedliche Projekte, von den Anfängen in R&D bis hin zu komplexen multinationalen Projekten. Fragen Sie noch heute bei uns nach, wie wir Sie mit unserer Expertise und Erfahrung in Sachen Life Sciences unterstützen können.