Krankenhäuser und Pflegeeinrichtungen: Ein bevorzugtes Ziel groß angelegter Cyberangriffe

Technologie erleichtert die moderne Medizin, zwingt Einrichtungen jedoch dazu, immer neue Techniken einzusetzen, um ihre Netzwerke zu schützen. „Jedes Krankenhaus tut sein Bestes, um seine Mitarbeitenden für die digitalen Gefahren von heute zu sensibilisieren“, sagt Filip Goyens, Datenschutzbeauftragter (DPO) am UZA, „und wir setzen dabei gezielt auf Phished.“ 

Organisationen, die von Ransomware oder anderer Malware betroffen sind, stehen oft vor zwei Optionen: Lösegeld zahlen, um die Kontrolle über ihr Netzwerk zurückzubekommen, oder geduldig warten, bis die IT-Abteilung mithilfe von Backups das Netzwerk wiederherstellt. Für Gesundheitseinrichtungen sind das keine beruhigenden Alternativen: In Organisationen, die normalerweise auf Hilfeleistungen für Bedürftige fokussiert sind, können längere Ausfallzeiten schwere Folgen haben. Der Begriff „kritische Infrastruktur“ bekommt in solchen Umgebungen eine ganz neue Dimension.

„In den letzten zwei Jahren haben wir intensiv daran gearbeitet, Cyber-Awareness auf die Agenda zu setzen“, sagt Goyens. „Wir tauschen uns regelmäßig mit anderen Datenschutzbeauftragten von Krankenhäusern aus und teilen Best Practices – e-Health ist uns alles andere als fremd. Die jüngsten Hacks großer Krankenhäuser (z. B. in Doornik und Mol) zeigen, dass es wirklich notwendig ist. Jedes Krankenhaus setzt dabei seine eigenen Schwerpunkte, und unser Fokus liegt auf der Zusammenarbeit mit Phished.“ 

Das UZA hat in den letzten zwei Jahren große Fortschritte in seiner Cyber-Awareness-Strategie gemacht. Während früher klassische Kommunikationsmittel wie Broschüren und ein vierteljährliches Mitarbeitermagazin verwendet wurden, setzt man heute konsequent auf digitale Lösungen.

Goyens erklärt: „Wir nutzen schon seit geraumer Zeit die Bildschirmschoner der Computer in unserem Netzwerk, um wichtige Informationen schnell zu verbreiten – auch in Bezug auf Phishing- und Ransomware-Prävention. Dennoch stellten wir fest, dass immer noch viele Menschen für solche Angriffe anfällig blieben.“

„Es ist nicht so, dass wir schon größere Zwischenfälle hatten“, fügt Goyens hinzu, „aber in der Vergangenheit gab es kleinere Vorfälle, die wir glücklicherweise schnell beheben konnten. Als Gesundheitseinrichtung wollten wir jedoch nicht warten, bis uns ein großer Hack ereilt. Deshalb haben wir vor zwei Jahren eine externe Prüfung durchführen lassen. Das Ergebnis dieser Prüfung bestärkte uns erneut in der Notwendigkeit, eine strukturelle Lösung zu finden.“ 

Bei der Basismessung durch Phished tappten etwa 30 % der Empfänger in die Phishing-Falle – ein durchschnittliches Ergebnis. Innerhalb weniger Monate konnte diese Quote auf 8 % gesenkt werden.

„Wir sehen eindeutig den Return on Investment“, sagt Goyens. „Dank der umfassenden Berichterstattung konnten wir Woche für Woche einen Rückgang der Zahlen beobachten, was uns natürlich viel Zufriedenheit und ein beruhigendes Gefühl gibt. Der jüngste Vorfall mit Facebook war eine weitere Bestätigung dafür, wie wichtig es ist, nicht nur Systeme, sondern auch persönliche Daten sorgfältig zu schützen. Ein gutes Ergebnis bei Phishing-Simulationen stärkt unser Gefühl, dass wir unserer Verantwortung gerecht werden.“

„Außerdem können wir jetzt viel schneller reagieren, wenn wir feststellen, dass ein Mitarbeiter oder sogar eine ganze Abteilung zusätzliche Unterstützung benötigt. Wir verlassen uns zudem auf den Algorithmus, um unsere Kolleginnen und Kollegen zu schulen – und die Zahlen beweisen, dass es funktioniert.“ 

Das UZA arbeitet derzeit an der Einrichtung eines zentralisierten Security Operations Centers, um die Zusammenarbeit zwischen den verschiedenen IT-Abteilungen, die an der Prävention von Cyberangriffen beteiligt sind, zu verbessern und zu erleichtern. Dies wird es ermöglichen, potenzielle Probleme effektiver anzugehen und auch die Präventionsmaßnahmen effizienter zu gestalten.

Phished spielt dabei eine Schlüsselrolle durch den Komfort automatisierter Phishing-Simulationen, die detaillierte Berichterstattung und die automatische Aktualisierung des Personalbestands. In großen Organisationen wie dem UZA ist Skalierbarkeit schließlich ein wesentlicher Faktor.