Krankenhaus-Personal fit machen gegen Cyberangriffe

Cyberangriffe sind eine Gefahr für die Datensicherheit und Gesundheitsversorgung in Kliniken. Oft sind menschliche Fehler das zentrale Einfallstor. Ein Verbundprojekt zielt darauf ab, einen bewussteren Umgang mit Technologien im Kontext kritischer Infrastrukturen zu erreichen.

Unter Leitung der Universität Göttingen soll zusammen mit der Universitätsmedizin Göttingen, der Universität Hohenheim und 13 deutschen Krankenhäusern ein mitarbeiterorientiertes Konzept für mehr Cyber-Sicherheit in deutschen Krankenhäusern entwickelt werden. Das Bundesministerium für Gesundheit fördert das Verbundprojekt „KISK: Kompetenzorientierte und stellenspezifische IT-Sicherheit für MitarbeiterInnen in Krankenhäusern“  für drei Jahre mit rund 609.000 Euro.

Cyberangriffe wie „WannaCry“ oder „Emotet“ haben gezeigt, dass nun auch Krankenhäuser in den Fokus von Cyberkriminellen gerückt sind. „Dies hat verheerende Folgen“, erklärt Kristin Masuch, Projektleiterin von KISK und Mitarbeiterin an der Juniorprofessur für Informationssicherheit und Compliance der Universität Göttingen. Manuel Trenz, Professor für Wirtschaftsinformatik, führt aus: „Bei Cyberangriffen werden nicht nur hochsensible, personenbezogene Daten von Patientinnen und Patienten entwendet. Vielmehr haben vergangene Vorfälle gezeigt, dass digitalisierte Abläufe in betroffenen Krankenhäusern derart gestört werden können, dass die Gesundheitsversorgung eingeschränkt werden kann.“

Gleichzeitig werden die Methoden der Angreifer immer ausgefeilter. „Wir beobachten, dass unsere Beschäftigten gezielt von Cyberkriminellen angegriffen werden“, erklärt Dr. Holger Beck, Informationssicherheitsbeauftragter der Universitätsmedizin Göttingen. „Früher waren oft leicht zu erkennende Phishing-Mails ein typischer Angriffsvektor. Heute sehen wir, dass sich Angreifer vermehrt präzise über ihre Zielpersonen, ihren Arbeitskontext und ihre IT informieren und diese dann zielgerichtet angreifen. Für eine effektive Cyber-Sicherheit müssen wir unsere Mitarbeiterinnen und Mitarbeiter daher bedarfsorientiert – entsprechend ihres Tätigkeitsprofils und ihrer tatsächlichen Bedrohungslage – qualifizieren.“

In KISK entwickeln die Wissenschaftlerinnen und Wissenschaftler eine Blaupause für die Cyber-Sicherheit in deutschen Krankenhäusern. Im ersten Schritt identifizieren sie, wo Kompetenz im Bereich Cyber-Sicherheit fehlt. Anschließend entwickeln sie stellenspezifische Kompetenzprofile für cybersicheres Verhalten: jeweils für verschiedene Berufsgruppen, darunter Beschäftigte in der Patientenbetreuung, der Verwaltung oder für medizinisch-technische Berufe. Darauf aufbauend konzipiert das Team Trainings und evaluiert, ob diese der tatsächlichen Bedrohungslage der Beschäftigten gerecht werden. „Die Ergebnisse von KISK dienen deutschen Krankenhäusern als Vorlage, um ihre Mitarbeiterinnen und Mitarbeiter kompetenzorientiert zu qualifizieren. One-Size-Fits-All-Ansätze, bei denen alle dasselbe Training erhalten, haben ausgedient“, erklärt Dr. Simon Trang, Juniorprofessor für Informationssicherheit und Compliance der Universität Göttingen.