Hochschule Bonn-Rhein-Sieg will Klinikpersonal für IT-Sicherheit sensibilisieren

Technische Probleme oder Hackerangriffe können für Krankenhäuser dramatische Folgen haben. Beim neuen Forschungsprojekt MedISA (Medical Centre Employee Centered Information Security Awareness) der Hochschule Bonn-Rhein-Sieg (H-BRS) sollen Strategien entwickelt werden, um Beschäftigte in medizinischen Versorgungseinrichtungen für IT-Sicherheit und Datenschutz zu sensibilisieren.

Das Projekt wird vom Bundesministerium für Gesundheit über drei Jahre mit rund 450.000 Euro gefördert. Assoziierte Partner sind die Universitätskliniken Aachen und Düsseldorf. Weitere medizinische Versorgungseinrichtungen, die an einer Mitarbeit interessiert sind, können sich laut Hochschule noch melden.

Von den Patientenakten bis zu den Geräten für die Diagnose: Die Versorgung in den Krankenhäusern basiert auf dem Einsatz von Informationstechnologie. Auf die miteinander vernetzten Systeme greifen viele unterschiedliche Nutzerinnen und Nutzer aus den Bereichen Ärzteschaft, Pflege, Therapie oder IT zu. Doch laut des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nehmen digitale Angriffe und Cyberkriminalität zu und auch Einrichtungen der medizinischen Versorgung sind immer wieder von Cyber-Sicherheitsvorfällen betroffen. Mögliche Folgen: das Ausspähen von Daten und die Bedrohung der Patientenversorgung.

Kliniken zählen zu den Kritischen Infrastrukturen, deren störungsfreies Funktionieren für die Gesellschaft unverzichtbar ist. Deshalb gibt es dort Sicherheitsstandards, um Bedrohungen aus dem Cyberraum vorzubeugen. Aber in der Praxis stellt häufig der unsachgemäße Umgang mit der IT-Infrastruktur und das zu gering ausgeprägte Informationssicherheitsbewusstsein der Nutzerinnen und Nutzer ein Problem dar, betont die Hochschule. Zwar seien regelmäßige Schulungen für die Beschäftigten vorgeschrieben – doch welche Methoden praktikabel und am nachhaltigsten sind, sei bislang wissenschaftlich kaum untersucht. Das soll mit dem Projekt MedISA geändert werden. „Die regelmäßige Sensibilisierung und passgenaue Schulung aller Beteiligten ist eine Riesenherausforderung“, sagt Prof. Luigi Lo Iacono vom Institut für Cyber Security & Privacy (ICSP), der das Projekt an der H-BRS leitet.

Für die Schulungen gibt es unterschiedliche Möglichkeiten, die je nach Einrichtung bislang individuell erfolgen. Präsenzveranstaltungen zum Beispiel seien effektiv, aber schwer umzusetzen, wenn Tausende Mitarbeiterinnen und Mitarbeiter sie durchlaufen müssten, sagt Lo Iacono. Webbasierte Trainings und Videos wirkten kaum nach. In dem Forschungsprojekt MedISA wollen die Forscherinnen und Forscher nun gemeinsam mit den Universitätskliniken aus Aachen und Düsseldorf in Workshops passgenaue Maßnahmen entwickeln, um Beschäftigte in Kliniken, Krankenhäusern, Ärzteverbünden oder Gemeinschaftspraxen effektiv für IT-Sicherheit und Datenschutz zu sensibilisieren. Der Ansatz soll hier das sogenannte „Nudging“ sein. Übersetzt bedeutet das so viel wie „anstupsen mit dem Ellbogen“. Fragen wie „muss ich diese Anlage jetzt anklicken?“ oder „muss ich dieses Passwort wirklich herausgeben?“ sollen ganz selbstverständlich in die Arbeitsabläufe integriert werden. Die besten Methoden, um dieses Ziel zu erreichen, sollen nun erarbeitet werden. „Am Ende des Projektes wollen wir einen Maßnahmenkatalog herausgeben“, so Lo Iacono.