Cyberangriffe auf Krankenhäuser nehmen seit der Pandemie zu – auch in Deutschland. Aktuelles Beispiel sind die Kliniken der SRH Holding. Mehrere Krankenhäuser in Baden-Württemberg und Thüringen konnten nur eingeschränkt arbeiten. Im Juli hatte sich das Krankenhaus in Wolfenbüttel eine Ransomware-Infektion zugezogen.
Bereits zu Beginn des Jahres ereilte das gleiche Phänomen die Urologische Klinik in Planegg und die Evangelische Klinik in Lippstadt. Nicht alle medizinischen Einrichtungen zählen aufgrund ihres Versorgungsgebietes zur kritischen Infrastruktur (KRITIS) und verfügen daher traditionell nicht über die Mittel, um ausreichend in die Absicherung der Digitalisierung ihrer Services investieren zu können.
Abhilfe soll das Krankenhauszukunftsgesetz zumindest für die Krankenhäuser schaffen, die nicht als KRITIS eingeschätzt werden. Für KRITIS Kliniken wiederum ist eine Förderung durch den Krankenhausstrukturfonds bereits seit längerer Zeit möglich.
In Kraft getreten am 29. Oktober 2020 werden mithilfe des Krankenhauszukunftsgesetzes insgesamt 4,3 Mrd. Euro von Bund und Ländern im Krankenhauszukunftsfonds zur Verfügung gestellt, damit Betreiber unter anderem in Maßnahmen zur Erhöhung der IT-Sicherheit investieren zu können. Förderanträge können bis Jahresende am 31. Dezember gestellt werden.
Bevor IT-Leiter und CIO’s nun die Fördermittel einzig für technische Maßnahmen zur Cyberbedrohungsabwehr verwenden, sollten sie sich die eingangs erwähnten Beispiele der Angriffe auf die Kliniken genau ansehen. Sie sollten sich untereinander darüber austauschen, wer der größte Angriffsvektor war.
Oftmals wird besonders im Zuge einer Ransomware-Infektion klar, dass eine Phishing-E-Mail bzw. Social Engineering-Techniken der Ausgangspunkt für die erfolgreiche Infizierung eines IT-Systems waren. Beide Angriffsmethoden zielen auf Menschen ab.
Aus diesem Grund sollten die Verantwortlichen nicht vergessen, dass der Mensch das schwächste Glied in der digitalen Abwehr ist und genau deshalb ins Visier genommen wird. Um dieser Entwicklung entgegenzuwirken, empfiehlt es sich daher auch in organisatorische Maßnahmen zu investieren und die eigenen, aber auch externe Mitarbeiter, im Hinblick auf Security Awareness zu schulen.
Ein zentraler Ansatzpunkt bei diesen Trainings sollte die Erkennung von Phishing-E-Mails sein. Simulationen, die mit aktuellen Betreffzeilen und täuschend echten E-Mails das Klinikpersonal in die Irre und damit zum falschen Klick verführen, können helfen Routinen zu entwickeln. Somit wird das Personal besser darin, Phishing-E-Mails bereits vor dem Klick oder der Weiterleitung an die Kollegen oder Externe zu erkennen.
Security Awareness Training mit abwechslungsreichen Inhalten stellt eine gute Basis dar, um von trockenen Compliance-Regulierungen und Powerpoint-Präsentationen weg, hin zu digitalen und interaktiven Formaten überzugehen. Regelmäßige Phishing-Simulationen können bei der Vermeidung falscher Klicks ein Ansporn sein sich zu verbessern und resilienter zu werden.