Erfahren Sie alles über die Vision, Mission sowie die Menschen, die die CompuGroup Medical weltweit prägen.
IT-Sicherheit: Schwachstelle Mensch
In Sachen IT-Sicherheit sind die Mitarbeiterinnen und Mitarbeiter die Schwachstelle Nummer eins. Klare IT-Richtlinien, regelmäßige Schulungen und Awareness-Kampagnen können das Risiko vermindern.
Es war für Patient*innen, Krankenhauspersonal und IT-Mitarbeiter*innen der Universitätskliniken von Vermont ein Alptraum: Im Oktober 2020 hatte Schadsoftware das Krankenhausinformationssytem befallen und versperrt. Die elektronischen Patientenakten waren fast einen Monat lang nicht zugänglich, Telefone und Computer fielen aus, Radiologie und Labor waren massiv beeinträchtigt. Viele Termine und Operationen mussten verschoben werden, die Strahlentherapie war zeitweise lahmgelegt, sodass Patient*innenen zur Behandlung in andere Einrichtungen verlegt werden mussten. Der Vorfall kostete das University of Vermont (UVM) Health Network – einen Träger von sechs Einrichtungen mit einem Einzugsgebiet von einer Million Menschen im Nordosten der USA – 40 bis 65 Millionen Dollar und gilt heute als Schulbeispiel für die gravierenden Folgen, die Cyberangriffe auf kritische Infrastrukturen haben können.
Die IT-Forensik wurde rasch fündig: Es war ein unachtsamer Mitarbeiter, der den kriminellen Angreifern die Tür öffnete. Er nutzte seinen Arbeitslaptop während eines Urlaubs für private E-Mails. Über eine manipulierte E-Mail, die vermeintlich von der lokalen Hausbesitzervereinigung stammte, wurde Malware auf den Laptop geladen. Zurück aus dem Urlaub, verband der Mitarbeiter seinen Laptop mit dem Krankenhausinformationssytem und die Malware verbreitete sich im gesamten Netzwerk. „Die Mitarbeiter*innen sind in Sachen IT-Sicherheit die größte Schwachstelle“, bekräftigt Alexander Zeppelzauer, Mitglied der Geschäftsführung von TÜV TRUST IT und dort verantwortlich für den Vertrieb im Bereich Informationssicherheit. Laut einer aktuellen Studie des IT-Sicherheitsanbieters Mimecast ist menschliches Versagen in 95 Prozent der Fälle die Ursache für Datenpannen. Der Klassiker in diesem Zusammenhang ist das Phishing: Mittels gefälschter E-Mails oder anderer Nachrichten werden Empfänger dazu gebracht, sensible Informationen preiszugeben (z. B. Passwörter), schädliche Links anzuklicken oder verseuchte Anhänge zu öffnen. Das ist auch dem unglücksseligen Mitarbeiter des UVM Health Network passiert.
Die Werkzeuge
Um sich vor kriminellen Cyberattacken zu schützen, müssen Unternehmen – neben allen notwendigen technischen Maßnahmen – daher bei ihren Mitarbeitern ansetzen. Gemeint ist damit nicht nur jeder eigene Mitarbeiter, der über einen Zugang zu einem Computer verfügt. Auch externe Dienstleister, Subunternehmen und deren Mitarbeiter, die Zugang zum Krankenhausinformationssystem haben, sind potenzielle Schwachstellen. Dazu zählen etwa IT-Unternehmen, Medizinproduktehersteller oder Unternehmen, die mit der Wartung und Reparatur von Haustechnik betraut sind – von den Fahrstühlen bis zur Heizungsanlage. Drei Werkzeuge sind es, die zur Verfügung stehen, um den Mitarbeitern die Grundlagen der Informationssicherheit nahezubringen: IT-Richtlinien für Mitarbeiter, Schulungen und Awareness-Kampagnen.
In den IT-Richtlinien für Mitarbeiter finden sich die Vorgaben für Passwörter: welche verschiedenen Arten von Zeichen in einem Passwort enthalten sein müssen, in welchen zeitlichen Abständen ein Passwort erneuert werden muss oder dass Passwörter nicht aufgeschrieben werden dürfen. Aber auch Meldemöglichkeiten bei Cybersecurity-Vorfällen, der Umgang mit Social Media oder mit externen Datenträgern sind Thema der IT-Richtlinien für Mitarbeiter. „Ganz entscheidend ist, dass diese Richtlinien einfach und verständlich formuliert sind“, weiß Zeppelzauer. Die Richtlinien werden den Mitarbeitern bei Eintritt in das Unternehmen bekannt gegeben und müssen ihnen in regelmäßigen Schulungen immer wieder eingetrichtert werden. Wichtig ist auch, dass sie im Inter- oder Intranet schnell und leicht aufzufinden sind. Der TÜV-Experte empfiehlt Unternehmen, sich beim Erstellen entsprechender Richtlinien an der internationalen Norm für Informationssicherheits-Managementsysteme (ISO 27001) zu orientieren.
Regelmäßige Mitarbeiterschulungen sind das Um und Auf in Sachen Cybersicherheit. „Der größte Fehler wäre es zu glauben, dass eine einmalige Schulung ausreichend ist“, weiß Zeppelzauer. Es ist das Los der IT-Verantwortlichen, die Basics der Cybersecurity immer wieder aufs Neue vermitteln zu müssen. Die Mitarbeiter müssen laufend bei der Stange gehalten werden. Zugleich unterstreicht der Informationssicherheitsexperte: Schulungen müssen mit Maß und Ziel durchgeführt werden. Das heißt: Sie müssen gut mit dem Arbeitsalltag vereinbar sein. Zeppelzauer empfiehlt daher flexible Online-Schulungen in mehreren kurzen, zehn- bis 15-minütigen Einheiten anstatt kompakter, mehrstündiger Präsenzveranstaltungen. Und ein Tipp: Wenn die Mitarbeiter daran erinnert werden, dass die Sicherheitsmaßnahmen auch im Privatleben sinnvoll sind, erhöht dies die Aufmerksamkeit und die Compliance.
Während Schulungen umfassend sind und weite Bereiche der Cybersicherheit abdecken, beziehen sich Awareness-Kampagnen auf spezielle Themen. Sie sollen ein Problembewusstsein für ganz bestimmte Bedrohungen schaffen – durchaus auch anlassbezogen. Wenn zum Beispiel ein konzentrierter Phishing-Angriff auf europäische Gesundheitseinrichtungen anrollt, dann werden die Mitarbeiter auf diese konkrete Welle aufmerksam gemacht und gleichzeitig an die wichtigsten Kennzeichen gefälschter E-Mails erinnert. Dies kann in Form von E-Learning, Intranet-Artikeln, im Newsletter, per E-Mail, aber auch in Form von Infografiken und Postern erfolgen. Jedes Unternehmen, das sich mit IT-Sicherheit beschäftigt, bietet heutzutage die Durchführung von Awareness-Kampagnen an.
In den Arbeitsalltag integrieren
Wie auch bei den Schulungen ist es für konkrete Sicherheitsmaßnahmen wichtig, dass sich diese gut in den Arbeitsalltag integrieren lassen. In einer Gesundheitseinrichtung ist das oft gar nicht so einfach. Automatische Rechnersperren zum Beispiel können zur Belastung, ja, sogar zur Gefahr werden. Dass ein Rechner automatisch gesperrt wird, wenn ein Mitarbeiter seinen Arbeitsplatz verlässt, mag in der Verwaltung eines Krankenhauses State of the Art sein. Jene 30 Sekunden, die es braucht, um dem Rechner wieder zu entsperren, stellen hingegen im stressigen Alltag einer Ambulanz ein echtes Ärgernis dar oder können in einer Notfallaufnahme sogar zu einer Gefahr für das Wohl des Patienten werden. Zeppelzauer empfiehlt daher, dass IT-Sicherheitsmaßnahmen auf den jeweiligen Anwendungsbereich zugeschnitten werden. Wo es wirklich schnell gehen muss, wird dann eben auf automatische Rechnersperren verzichtet oder den Mitgliedern eines Teams die Verwendung desselben Passworts ermöglicht. In der Verwaltung zum Beispiel hingegen sind die gängigen Sicherheitsrichtlinien problemlos umsetzbar. In anderen Bereichen, in denen viel Patientenverkehr herrscht und daher die Gefahr eines unbefugten Zugriffs besonders hoch ist, können die Sicherheitsmaßnahmen durchaus noch weiter verschärft werden.