QR-Codes sind ein Doppelgänger

Mary Blackowiak ist Leiterin des Produktmanagements und der Entwicklung für das Endpoint- und Mobile-Security-Portfolio bei AT&T Cybersecurity. Sie verfügt über mehr als 15 Jahre Erfahrung im B2B-Marketing und Produktmanagement im High-Tech-Bereich, darunter Positionen bei Forcepoint, NSS Labs und Best Buy for Business.

Bei dem Bestreben, eine personalisierte, relevante und unmittelbarere Gesundheitsversorgung bereitzustellen, ist die Automatisierung ausgewählter Prozesse eine Möglichkeit, dieser Herausforderung zu begegnen. Die Optimierung des Datenaustauschs zwischen Anbietern und Patienten bietet großartige Anwendungsmöglichkeiten, beispielsweise die Bereitstellung des Zugriffs auf Informationen zu einer Diagnose oder Gesundheitsaufklärung. Eine Möglichkeit, Patienten zu diesen Informationen zu leiten, ist der QR-Code (siehe dieses Beispiel einer ländlichen Gesundheitsorganisation im Südwesten von Iowa).

Ein QR-Code ist ein 2D-Barcode, der für den schnellen Zugriff auf Online-Informationen verwendet wird, typischerweise über eine Smartphone-Kamera. QR-Codes wurden 1994 in Japan zur Kennzeichnung von Autoteilen erfunden und sorgten für mehr Geschwindigkeit und Genauigkeit bei diesem Prozess. Heutzutage sind QR-Codes auf allem zu finden, von Backwaren über Restaurantmenüs bis hin zu Fernsehwerbung und Postern. Sie sind einfach zu generieren und sollen Benutzer zu einem bestimmten Webstandort führen, um relevante Informationen zu teilen oder zu sammeln.

Die Verwendung eines QR-Codes zum Zugriff auf Informationen ist relativ risikoarm. Patienten neigen dazu, passive Teilnehmer an Gesundheitsszenarien zu sein. Nach dem Scannen eines Codes zur Datenerfassung werden Patienten jedoch möglicherweise um persönliche Informationen gebeten, um einen Termin zu vereinbaren oder sich vorab anzumelden. An diesem Punkt – da Patienten private Informationen mit einem Datensammler teilen – ist das Risiko der Verwendung von QR-Codes außergewöhnlich hoch. Der Patient hat keine Möglichkeit zu überprüfen, ob der Datensammler legitim ist.

Klicken Sie auf das BannerIm Folgenden erfahren Sie mehr über Zero Trust und seine Vorteile für das Gesundheitswesen.

So funktioniert dieser Betrug: Ein QR-Code wird durch einen Klon ersetzt, der Benutzer auf eine gefälschte Website weiterleitet, die wie legitim aussieht – doppelte Logos und Formulierungen, die einer vertrauenswürdigen Website ziemlich ähnlich sind. Sobald ein Patient ankommt und mit der Bereitstellung von Daten beginnt, werden diese von böswilligen Akteuren abgefangen. Diese Scan-Betrügereien haben sich im Jahr 2022 im Vergleich zu den Vorjahren mehr als versiebenfacht.

Gefälschte QR-Codes werden auch in ausgehenden E-Mail-Kampagnen verwendet, um Patienten dazu zu ermutigen, einen QR-Code zu scannen, der auf illegale Websites verweist, die darauf abzielen, persönliche Informationen oder Anmeldedaten zu sammeln. Informationen wie Krankengeschichte, Sozialversicherungsinformationen, persönliche Identifikation, Zugang zu Patientenportalen und mehr werden gesammelt und möglicherweise im Dark Web verkauft.

Im Hinblick auf die Cybersicherheit gelten QR-Codes als Teil der gesamten Angriffsfläche. Es ist nur eine weitere Sache, über die man sich Sorgen machen muss. Gleichzeitig möchten Kommunikationsmitarbeiter sie nutzen und trainieren Patienten zu unsicherem Cyber-Verhalten, indem sie sie auffordern, etwas zu vertrauen, das harmlos erscheint. Es ist frustrierend – QR-Codes bieten einen echten Mehrwert, wenn sie effektiv eingesetzt werden, aber sie werden niemals ohne Risiko sein.

Die einfache Interaktion mit Patienten und die Möglichkeit für Anbieter, Informationen einfach zu aktualisieren, sorgen für ein reibungsloses Erlebnis nahezu in Echtzeit. Es ist zwar möglich, QR-Codes mit Sicherheitsfunktionen (wie Single Sign-On, Multifaktor-Authentifizierung und mehr) zu generieren, aber jeder zusätzliche Schritt macht die Verwendung eines QR-Codes zur Weiterleitung von Patienten zu wichtigen Informationen nicht mehr so ​​einfach.

Cyber-Angreifer werden versuchen, QR-Codes zu kompromittieren, da die Menge der Codes in Kombination mit der gezielten Benutzerbasis, die sich auf sie verlässt, ein lukratives Ziel darstellt. Die Aufgabe von Gesundheits-IT-Teams besteht darin, die Cyber-Angreifer auszutricksen und sicherzustellen, dass die verwendeten QR-Codes weniger anfällig für Manipulationen sind.

ERKUNDEN:Tipps zum Schutz mobiler Geräte im Gesundheitswesen.

Reduzieren Sie die Möglichkeiten für Cyber-Angreifer, Patientendaten zu erfassen, indem Sie den Patienten gute Cybersicherheitsgewohnheiten beibringen. Hier sind einige Best Practices, die Patienten bei der Interaktion mit QR-Codes befolgen sollten:

Ersteller von QR-Codes können helfen, indem sie auf Unternehmen zurückgreifen, die eine sichere QR-Code-Generierung und die Möglichkeit bieten, die Domain an die Marke der Gesundheitsorganisation anzupassen. Legen Sie eine Richtlinie für die Organisation fest und stellen Sie sicher, dass jeder im Team weiß, wo er genehmigte Codes erhalten kann.

Insgesamt hängt die Sicherheit von QR-Codes von einer guten Cybersicherheitshygiene ab. Informieren Sie Patienten über die Bequemlichkeit und Einfachheit von QR-Codes und zeigen Sie ihnen, wie sie gute QR-Code-Konsumenten werden können, indem Sie diese Tipps weitergeben.

ALS NÄCHSTES:Erfahren Sie mehr über bewährte Sicherheitspraktiken für modernes Arbeitsplatzmanagement im Gesundheitswesen.