Angriffe aus dem Netz machen Kliniken und Arztpraxen verwundbar
A&W RedaktionUm Kliniken und Praxen vor Cyberangriffen zu schützen, sind nicht nur technische Maßnahmen erforderlich. Eine der bedeutendsten Komponenten für eine funktionierende IT-Sicherheit ist „der Faktor Mensch“: Fachkräfte sollten wissen, wo mögliche Gefahren lauern, um das Risiko von Hackerangriffen zu reduzieren.
Die fortschreitende Digitalisierung im Gesundheitswesen ermöglicht eine bessere Versorgung der Patienten. Das Speichern und Übermitteln von hochsensiblen Patientendaten birgt aber auch Risiken: Krankenhäuser oder Arztpraxen sind immer wieder von Cyberattacken betroffen. Kriminelle Hacker gelangen an sensible Daten, versuchen Lösegeld zu erpressen und können im schlimmsten Fall für einen Komplettausfall der IT-Systeme sorgen.
Das Lukaskrankenhaus in Neuss hat diese Erfahrung bereits gemacht: Ein Trojaner brachte vor einigen Jahren das gesamte Krankenhaussystem zum Erliegen. Damals musste nicht nur die Notaufnahme schließen, auch Operationen wurden abgesagt. Außerdem konnten Patienten ihre Therapien und Medikamente nicht erhalten. Der Kampf gegen das schädliche Softwareprogramm hat das städtische Krankenhaus rund eine Million Euro gekostet, berichtet Healthcare Mittelhessen.
Medizinische Einrichtungen im Visier von Cyberkriminellen
Im Visier von Cyberangriffen stehen neben Kliniken und Tageskliniken auch Arztpraxen, Ambulanzen oder medizinische Forschungseinrichtungen.
Kriminelle rufen zum Beispiel in einer Praxis an, geben sich als Systemadministrator aus und erklären, dass sie zu einer Fehlerbehebung das aktuelle Passwort für die Patientenverwaltung benötigen. Arglose Mitarbeiterinnen und Mitarbeiter möchten dann oft helfen und geben die Zugangsdaten heraus.
Eine weitere Betrugsform ist Phishing: Um vertrauenswürdig zu erscheinen, tarnen sich Anrufer oder E-Mail-Absender zum Beispiel als Mitarbeiter der Hausbank oder des Gesundheitsamtes. So gelangen die Angreifer an sensible Informationen oder können Schadsoftware installieren. Träger der schädlichen Software sind oft Links in E-Mails oder USB-Sticks, die gezielt in Praxen geschleust werden. Auch über gefälschte Webseiten oder Social-Media-Kanäle können sensible Daten abgegriffen werden.
Der Gesamtverband der Deutschen Versicherungswirtschaft beschäftigt sich in einem Branchenreport mit Cyberrisiken für Ärzte. Ein Musterszenario beschreibt, dass Hacker die IT-Systeme einer Praxis erfolgreich attackieren, Patientendaten kopieren und drohen, diese online zu veröffentlichen. Es sei denn, der Arzt ist bereit, ein hohes Lösegeld zu zahlen. Selbst wenn der Mediziner nach Rücksprache mit Polizei und Staatsanwaltschaft um eine Lösegeldzahlung herumkommen sollte, können durch Angriffe wie den geschilderten hohe finanzielle Schäden entstehen. Zum Beispiel aufgrund von Schadensersatz-Zahlungen, wenn tatsächlich sensible Daten an die Öffentlichkeit gelangt sind sowie durch Umsatzrückgänge oder etwaige Bußgelder, die aufgrund der Datenschutz-Grundverordnung erhoben werden.
Faktor Mensch als Sicherheitsrisiko
Oft werden Hackern Angriffe zu leicht gemacht: Bei gut einem Drittel aller deutschen Krankenhäuser gibt es Schwachstellen in der IT-Sicherheit, hat das Berliner Beratungsunternehmen Alpha Strike Labs in einer Studie festgestellt. Neben einem nicht ausreichend geschützten Netzwerk ist der Faktor Mensch ein großes Risiko für Cyberattacken.
Wie sicher die IT-Systeme einer Organisation sind, hängt vor allem von denjenigen ab, die mit den digitalen Technologien arbeiten. Für Sicherheitsexperten ist es daher von essenzieller Bedeutung, Mitarbeitende durch Schulungen zu sensibilisieren und auf etwaige Gefahren hinzuweisen. „Um eine Organisation vor Cyberangriffen zu schützen, sind nicht nur technische Maßnahmen erforderlich – der ‚Faktor Mensch‘ ist eine bedeutende Komponente für erfolgreiche IT-Sicherheit“, weiß auch Sven R. Becker, Vorstand der imc AG, einem führenden Anbieter von E-Learning-Lösungen mit Sitz in Saarbrücken. Angestellte auf IT-Security zu sensibilisieren und zu schulen sei am effektivsten mit spielerischen Ansätzen. Die imc hat deshalb ein sogenanntes Awareness Training entwickelt, darunter versteht man digitale Trainings, die spielerische Elemente nutzen, um Wissen zu vermitteln.
IT-Security aus der Sicht eines Hackers erleben
Im Awareness Training „Cybercrime Time“ werden Lernende selbst zum kriminellen Hacker, lernen die gängigsten Cyberangriffe aus erster Hand kennen und erfahren dabei, wie man sich vor Cyberattacken schützen kann. Das E-Learning lässt sich in jedes Lernmanagementsystem (LMS) integrieren und kann so den Standardtrainings einer medizinischen Einrichtung hinzugefügt werden.
Wer keine Anbindung an ein LMS wünscht oder hat, muss trotzdem nicht auf seine persönliche Hacker-Erfahrung verzichten. Denn das Spiel lässt sich auf allen Endgeräten auch als Online-Version nutzen und ist im Einzelbenutzer-Modus zum persönlichen Gebrauch kostenlos. Das digitale Training geht insbesondere auf das Thema „Social Engineering“ ein und will verhindern, dass Cyberkriminelle Mitarbeitende geschickt manipulieren, indem sie menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten ausnutzen. Lernende erfahren, wie Unbefugte versuchen könnten, Sicherheitsfunktionen auszuhebeln, an vertrauliche Informationen zu gelangen oder Schadsoftware auf einem mit dem Firmennetzwerk verbundenen Gerät oder Computer zu installieren. Becker: „Je mehr Mitarbeitende über die Gefahren von Cyberangriffen wissen, desto leichter lässt sich verhindern, dass sensible Daten in die falschen Hände geraten.“