Cyberangriffe auf Krankenhäuser nehmen zu und damit die Gefahr für die Datensicherheit und Gesundheitsversorgung in deutschen Kliniken. Menschliche Fehler sind dabei oft das zentrale Einfallstor. Forschende wollen das nun mit maßgeschneiderten Trainings ändern.
Das Verbundprojekt „KISK: Kompetenzorientierte und stellenspezifische IT-Sicherheit für MitarbeiterInnen in Krankenhäusern“ hat zum Ziel, einen bewussteren Umgang mit Technologien im Kontext kritischer Infrastrukturen zu erreichen. Unter Leitung der Universität Göttingen soll zusammen mit der Universitätsmedizin Göttingen, der Universität Hohenheim und 13 deutschen Krankenhäusern ein mitarbeiterorientiertes Konzept für mehr Cybersicherheit in deutschen Krankenhäusern entwickelt werden. Das Bundesministerium für Gesundheit fördert das Projekt für drei Jahre mit rund 609.000 Euro.
Gefährliche Entwicklung
Krankenhäuser sind in den Fokus von Cyberkriminellen gerückt, wie beispielsweise „WannaCry“ oder „Emotet“ gezeigt haben. Mit zum Teil verheerenden Folgen. So werden bei den Angriffen nicht nur hochsensible, persönliche Daten von PatientInnen entwendet. „Die vergangenen Vorfälle haben auch gezeigt, dass digitalisierte Abläufe in betroffenen Krankenhäusern derart gestört werden können, dass die Gesundheitsversorgung eingeschränkt werden kann“, sagt Manuel Trenz, Professor für Wirtschaftsinformatik an der Universität Göttingen.
Gezielte Angriffe auf Beschäftigte
Gleichzeitig werden die Methoden der Angreifer immer ausgefeilter. „Wir beobachten, dass unsere Beschäftigten gezielt von Cyberkriminellen angegriffen werden“, erklärt Dr. Holger Beck, Informationssicherheitsbeauftragter der Universitätsmedizin Göttingen. Während früher oft leicht zu erkennende Phishing-Mails ein typischer Angriffsvektor waren, informieren sich Angreifer heute immer häufiger über ihre Zielpersonen, deren Arbeitskontext und ihre IT informieren und greifen diese Personen dann zielgerichtet an. „Für eine effektive Cyber-Sicherheit müssen wir unsere Mitarbeiterinnen und Mitarbeiter daher bedarfsorientiert – entsprechend ihres Tätigkeitsprofils und ihrer tatsächlichen Bedrohungslage – qualifizieren“, ist Beck überzeugt.
Stellenspezifische Kompetenzprofile
In KISK entwickeln die Wissenschaftlerinnen und Wissenschaftler daher eine Blaupause für die Cybersicherheit in deutschen Krankenhäusern. Im ersten Schritt identifizieren sie, wo Kompetenz im Bereich Cybersicherheit fehlt. Danach entwickeln sie stellenspezifische Kompetenzprofile für cybersicheres Verhalten. Diese Profile gelten jeweils für verschiedene Berufsgruppen, darunter Beschäftigte in der Patientenbetreuung, der Verwaltung oder für medizinisch-technische Berufe. Darauf aufbauend konzipiert das Team Trainings und evaluiert, ob diese der tatsächlichen Bedrohungslage der Beschäftigten gerecht werden. „Die Ergebnisse von KISK dienen deutschen Krankenhäusern als Vorlage, um ihre Mitarbeiterinnen und Mitarbeiter kompetenzorientiert zu qualifizieren“, so Dr. Simon Trang, Juniorprofessor für Informationssicherheit und Compliance der Universität Göttingen. Er ist davon überzeugt, dass One-Size-Fits-All-Ansätze, bei denen alle bei denen alle dasselbe Training erhalten, ausgedient haben.