Zum Nachteil vieler Krankenhäuser sind gerade diese in der jüngsten Zeit Ziel von vielen Attacken geworden. Die Absicht ist es zumeist, Lösegelder zu erpressen, dazu ist allerdings keine Entführung oder Bombenbedrohung mehr notwendig, denn die Angreifer agieren aus ihrem Wohnzimmer.

Der Aggressor muss nicht zwingend vor Ort sein, denn durch die zunehmende Digitalisierung, reicht eine simple Mail mit einem Phishing-Link aus, um das gesamte Krankenhaus lahm zu legen. Dies zeigt der Fall des Klinikums Fürth, dass in Folge dessen offline geschaltet wurde, beziehungsweise den Betrieb nur eingeschränkt fortführen konnte.

Auslöser war Social-Engineering. Es ging soweit, dass das Klinikum seine Notfallversorgung einstellte und keine neuen Patienten aufnahm. Die Klinik trennte die Verbindung zum Internet und verschob unkritische Operationen. Die Patienten vor Ort wurden den Umständen entsprechend gut versorgt.

Die Gefahr, die von einem solchen Angriff ausgeht, scheint logisch, denn ist ein Mitarbeiter der Klinik einen Moment lang unaufmerksam oder ungeschult in Hinsicht auf Phishing, dringen Cyber-Kriminelle mit Leichtigkeit in das klinikeigene Netz ein. Da viele der verwendeten Geräte mit diesem verbunden sind, ist ein Ausfall die Konsequenz. Neben dem wirtschaftlichen ist der mögliche physische Schaden gegenüber den Patienten enorm.

Im Fall der Klinik Fürth ermitteln das Landeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik. Die meisten gesundheitlichen Einrichtungen sind sich der Gefahr bewusst, die von Cyber-Kriminalität ausgeht, allerdings stellen finanzielle Engpässe große Herausforderungen in der Umsetzung der Datensicherheit dar.

Es gibt außerdem kaum Notfallpläne, welche im Falle eines Hackerangriffs routiniert durchlaufen werden könnten. Anstelle dessen wird oftmals das Netzwerk ausgeschaltet und somit der Betrieb lahmgelegt, was das Chaos vervielfältigt. So können die Eindringlinge beispielsweise Patientendaten abfangen und damit drohen, diese zu veröffentlichen. Dies ist dann auch ein hoher Imageschaden für die Einrichtung.

Mitarbeiter sind der erste Schutz zur Abwehr von Phishing-Attacken
Um sich gegen solche Phishing-Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden.

Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.