Die größte Bedrohung für die Cybersicherheit einer Klinik sitzt hinter dem Schirm. Funktionierender Schutz gegen Phishing-Mails und Ransomware erfordert kontinuierliche Informationsmaßnahmen der Mitarbeiter. Motivation ist alles.
Auf den ersten Blick sah der Brief echt aus, der kürzlich in einem oberösterreichischen Krankenhaus einlangte. Eine Verwertungsgesellschaft bat darin um eine Auskunft in Sachen Speichermedienvergütung. Doch bei genauerem Hinsehen entpuppte sich das Schreiben als Fake: Das Logo des angeblichen Absenders stimmte nicht, vor allem aber machte die angegebene E-Mail-Adresse einen unglaubwürdigen Eindruck. Der Brief war offenbar der Versuch, einen Mitarbeiter des Krankenhauses in einen E-Mail-Verkehr zu verstricken und ihm dabei Schadsoftware unterzujubeln („Phishing“).
Wie alle anderen großen Unternehmen müssen sich auch Krankenhäuser gegen diverse Angriffe aus dem Internet schützen. Tagtäglich versuchen Hacker die Firewall zu durchdringen und Schadsoftware in die Krankenhaus-IT einzuschleusen. Der Alptraum jeder Gesundheitseinrichtung ist es, Opfer von Ransomware zu werden. Dabei handelt es sich um einen Trojaner, der alle Daten des Krankenhauses verschlüsselt und diese erst nach Zahlung eines hohen Lösegeldes wieder freigibt. Wird nicht bezahlt, so stellen die Kriminellen die höchst sensiblen Daten für jeden frei zugänglich ins Internet. Studien besagen, dass etwa drei Viertel aller erfolgreichen Cyberangriffe auf menschliches Fehlverhalten zurückgehen. „Der Mensch ist das schwächste Glied in dieser Kette“, weiß Andreas Köberl, Geschäftsführer der TÜV TRUST IT, einer auf Cybersecurity spezialisierten Tochter der TÜV Austria.
Bewusstsein schaffen. Awareness-Trainings müssen sämtliche Kollegen und Kolleginnen der Klinik einbeziehen. 15- bis 20-minütige Online-Trainings mit einem abschließenden Wissenstest schärfen das Gespür für Attacken.
Zielgruppenorientierte Kommunikation
Aus diesem Grund ist es von enormer Bedeutung, die Mitarbeiter im Krankenhaus für das Thema Cybersicherheit zu sensibilisieren. „Und zwar das gesamte Personal – vom Vorstand bis zur Reinigungskraft“, wie Köberl betont. Jeder kennt die Anekdoten über CEOs, die nicht einmal ihr eigenes Passwort kennen. Viele, vor allem ältere Mitarbeiter, fühlen sich durch die Zumutungen des digitalen Zeitalters überfordert. Aber auch die „digital Natives“ sind nicht vor Fehlern gefeit: Durch das ständige private Surfen im Netz haben sie sich eine gewisse Unbekümmertheit angeeignet, die sich im beruflichen Kontext fatal auswirken kann.
„Zielgruppenorientierte Kommunikation ist in diesem Zusammenhang das Um und Auf“, betont Köberl. Ein Mitarbeiter, der praktisch seine gesamte Arbeitszeit vor dem Bildschirm verbringt, hat meist ein anderes Bewusstsein für die Gefahren, die im Internet lauern, als ein Mitarbeiter, der nur gelegentlich mit dem Computer zu tun hat. Gerade für Ärzte und Pflegekräfte ist das Thema Cybersicherheit ein ungeliebtes, weil es nichts mit dem Patienten zu tun hat, sondern als Teil der lästigen Verwaltungsaufgaben betrachtet wird. In Krankenhäusern, in denen die Mitarbeiter oft aus aller Herren Länder kommen, sind auch kulturorientierte – sprich: fremdsprachige – Informationen sinnvoll.
Ein weiterer Baustein für die Cybersicherheit sind Awareness-Trainings, die in der Regel in Form von e-Learning angeboten werden: 15- bis 20-minütige Online-Trainings mit einem abschließenden Wissenstest. Entscheidend ist dabei, dass es sich nicht um einmalige Veranstaltungen handelt, sondern dass das Thema Cybersicherheit nachhaltig verankert und in immer wiederkehrenden Kampagnen verfestigt wird. „Bei all diesen Maßnahmen geht es darum, dass die Mitarbeiter ein gewisses Grundgefühl entwickeln“, erläutert Köberl. „So wie man das Licht abdreht und das Fenster schließt, wenn man nach Dienstschluss sein Büro verlässt.“
Schlendrian als Virus-Schleuder. Das schwächste Glied im Kampf gegen Internet-Verbrechen sind die Mitarbeiter. TÜV-Trust-Chef Andreas Köberl setzt auf Schulungen, um das Bewusstsein für die lauernde Gefahr nicht einschlafen zulassen.
Kontinuierliche Maßnahmen
Toni Spioni sieht aus, wie man sich Mitte des 20. Jahrhunderts einen Geheimagenten vorgestellt hat: Trenchcoat, Schlapphut und Augenmaske. Er späht Pflegekräften beim Verfassen eines Berichts über die Schulter, gießt einen Eimer voller Viren über einen Computer, verteilt verseuchte USB-Sticks oder gibt sich hinterlistig als „Dr. Toni“ aus. Die lustige Comic-Figur ist Protagonist eines Folders der Oberösterreichischen Gesundheitsholding (OÖG), der den Mitarbeitern die Grundregeln zum Umgang mit Informationen nahebringt. Der Folder ist Teil einer ganzen Palette von Maßnahmen, um die Awareness für Cybersicherheit in die Köpfe der Mitarbeiter zu bekommen. Diese reichen von der einschlägigen Einschulung für Mitarbeiter beim Betriebseintritt über verpflichtende Schulungsmaßnahmen, kontinuierliche Informationen, Warnungen vor aktuellen Bedrohungen bis hin zu Planspielen, in denen der Ernstfall geprobt wird.
Dass der Mensch das schwächste Glied in der Kette ist und dass man mit technischen Maßnahmen allein nicht weiterkommt, weiß auch Rainer Kloimstein, Chief Information Security Officer (CISO) der OÖG: „Sicherheit durch Technik kann schnell die Usability kaputt machen. Wenn Sicherheitsmaßnahmen die tägliche Arbeit erschweren, dann sinkt das Verständnis dafür.“
In Oberösterreichs Landespitälern werden die verpflichtenden Schulungen den Mitarbeitern als e-Learning-Module zur Verfügung gestellt, an deren Ende das erworbene Wissen interaktiv abgeprüft wird. Präsenzveranstaltungen sind gerade bei diesem Thema out. „E-Learning hat den großen Vorteil, dass es unabhängig von Ort und Zeit absolviert und auch jederzeit unterbrochen werden kann“, erklärt Kloimstein.
Überdies werden die Mitarbeiter, wie etwa bei Auftauchen des ominösen Briefes der Verwertungsgesellschaft, vor aktuellen Gefahren gewarnt. Auch hier gelte es, eine gesunde Balance zu finden, meint der Cybersicherheitschef: „Wenn bei jeder E-Mail ein Warnhinweis eingeblendet wird, dann empfinden die Mitarbeiter dies als lästig und scrollen mit der Zeit weiter, ohne die Warnungen zu lesen.“
Im Vorjahr hat die OÖG an einem europaweiten, von der European Union Agency for Cybersecurity (ENISA) organisierten Planspiel teilgenommen, bei dem ein Angriff mittels Ransomware simuliert wurde. „Dabei haben wir viele Erkenntnisse gewonnen“, bekräftigt Kloimstein. Um die Sensibilität der Mitarbeiter zu testen, hat die IT-Abteilung auch schon einmal selbst ungefährliche Phishing-Mails an alle Mitarbeiter versandt („Friendly Phishing“). Das Ergebnis konnte sich sehen lassen: Nur ganz wenige Mitarbeiter sind darauf reingefallen. Die Klickrate sei um den Faktor zehn niedriger gewesen als branchenüblich, rechnet der CISO vor.
Gesetzliche Verpflichtung
Cybersicherheit ist für Krankenhäuser jedoch nicht nur aus Selbstschutz notwendig, sondern auch eine gesetzliche Verpflichtung. Gemäß dem Netz- und Informationssystemsicherheitsgesetz (NISG) wurde einer Reihe von Einrichtungen und Unternehmen, die zur kritischen Infrastruktur zählen, per Bescheid ein Bündel an Maßnahmen hinsichtlich Sicherheitsvorkehrungen vorgeschrieben. Darunter auch Krankenhäusern bzw. Krankenhausverbünden. Diese Maßnahmen müssen binnen drei Jahren umgesetzt werden. Mit der Corona-Pandemie, den Lieferengpässen bei Arzneimitteln und dem russischen Angriffskrieg gegen die Ukraine im Hinterkopf wurde das Gesetz kürzlich ausgeweitet. „Bis vor einem halben Jahr hatten etwa 100 Einrichtungen in Österreich einen entsprechenden Bescheid des Innenministeriums erhalten“, berichtet Köberl. „Mit der Ausweitung des NISG gehen wir davon aus, dass bald 2.000 bis 3.000 weitere Organisationen und Unternehmen davon betroffen sein werden.“
