Der britische National Health Service (NHS) kämpft mit erheblichen Herausforderungen bei der Bindung von Cybersicherheitsexperten. Eine Untersuchung zeigt zudem stark schwankende Ausgaben: Einige Trusts investierten im vergangenen Jahr lediglich 250 £ in diesen Bereich.
Im Vergleich: Die Regierung verbot dem NHS kürzlich den Kauf von Faxgeräten und genehmigte stattdessen 500 Millionen £ für die „digitale Transformation“. Kann Technologie den NHS wirklich retten?
Trotz zusätzlicher 150 Millionen £ vom Department of Health and Social Care (DHSC) nach dem WannaCry-Angriff im Jahr 2017 offenbart eine Studie von Redscan deutliche Defizite in Finanzierung und Personalausstattung.
Bei 159 befragten Trusts beliefen sich die durchschnittlichen Ausgaben für Datensicherheitsschulungen in den letzten 12 Monaten auf 5.356 £. Die Spanne reichte jedoch von 238 £ bis 78.000 £ – ohne Korrelation zur Trust-Größe oder zum Standort.
Bei einem mittelgroßen Trust mit 3.000 bis 4.000 Mitarbeitern lagen die Kosten beispielsweise zwischen 500 £ und 33.000 £. Viele Schulungen wurden intern mit NHS-Digital-Ressourcen durchgeführt.
Beliebte Programme umfassten DSGVO-Schulungen, BCS Practitioner Certificate in Data Protection und Senior Information Risk Owner. Dennoch beschäftigen NHS-Trusts im Schnitt nur einen qualifizierten Sicherheitsexperten pro 2.582 Mitarbeiter.
Alarmierend: Fast ein Viertel der Trusts (24 von 108) hat kein Personal mit Sicherheitsqualifikationen, trotz bis zu 16.000 Voll- und Teilzeitkräften. Einige Trusts bilden Mitarbeiter derzeit weiter aus.
„Diese Ergebnisse beleuchten die Cybersicherheitslücken im NHS, das unter schwierigen Bedingungen eine kohärente Strategie umzusetzen hat“, erklärt Mark Nicholls, Cybersicherheitsdirektor bei Redscan. „Vielen Trusts fehlen interne Talente, Schulungsziele werden verfehlt, und Investitionen sind lückenhaft. Die Ungleichheiten sind besorgniserregend.“
Die Daten stammen aus einer FOI-Kampagne, an der 159 Trusts teilnahmen – 1,5 Jahre nach WannaCry, das dem DHSC nach Schätzung 92 Millionen £ kostete.
Parlamentarische Berichte kritisieren die Cybersicherheitsresilienz des NHS weiterhin; ein aktueller aus April hebt Zero-Trust-Ansätze hervor.
Eine separate FOI-Anfrage an NHS Digital zeigt Fortschritte: 139 Trusts haben nun Datensicherheitsbewertungen vor Ort (vorher 60).
Neben 150 Millionen £ für die nächsten drei Jahre verpflichtet ein Vertrag mit Microsoft zur Modernisierung aller Windows-XP-Geräte auf Windows 10 bis 2020.
„Cybersicherheit ist Priorität dieser Regierung. Mittel fließen bedarfsorientiert“, betont ein DHSC-Sprecher gegenüber Alphr. „Letztes Jahr flossen über 60 Millionen £ in Infrastruktur, weitere 150 Millionen £ folgen. Bei ausbleibenden Maßnahmen greifen wir durch.“
Nicholls ergänzt: Der Fachkräftemangel verschärft sich branchenweit. „Der NHS konkurriert mit hohen Privatsektorlöhnen und hat außerhalb von Zentren wie London oder Cambridge begrenzten Zugang zu Talenten.“
David Emm, leitender Sicherheitsforscher bei Kaspersky, gegenüber Alphr: „Gesundheitsdaten locken Kriminelle. Der NHS braucht robuste Maßnahmen und enge IT-Zusammenarbeit – nicht nur für Compliance, sondern für sichere digitale Gesundheitsversorgung.“