Kliniken stellen immer häufiger Ziele für Cyberattacken dar. Der Faktor Mensch ist häufig das Einfallstor. Mit dem Verbundprojekt „KISK: Kompetenzorientierte und stellenspezifische IT-Sicherheit für MitarbeiterInnen in Krankenhäusern“ will ein Göttinger Forschungsteam deswegen Trainings für Klinikpersonal in der Cybersicherheit entwickeln. Die Mitarbeitenden sollen damit im Umgang mit Technologien geschult werden, teilt die Hochschule mit. Das Projekt setzt sich zum Ziel, ein mitarbeiterorientiertes Konzept für mehr Cyberschutz in Kliniken zu etablieren. Die Universität Göttingen leitet KISK zusammen mit der Universitätsmedizin Göttingen, der Universität Hohenheim und 13 weiteren Krankenhäusern. Das Bundesministerium für Gesundheit fördert das Projekt für drei Jahre mit rund 609.000 Euro.
Vor allem die Cyberangriffe „WannaCry“ oder „Emotet“ hätten gezeigt, dass Krankenhäuser in den Fokus von Cyberkriminellen gerückt sind, heißt es in der Mitteilung. „Bei Cyberangriffen werden nicht nur hochsensible, personenbezogene Daten von Patientinnen und Patienten entwendet. Vielmehr haben vergangene Vorfälle gezeigt, dass digitalisierte Abläufe in betroffenen Krankenhäusern derart gestört werden können, dass die Gesundheitsversorgung eingeschränkt werden kann.“ Gleichzeitig seien die Methoden der Angreifer immer ausgefeilter. „Wir beobachten, dass unsere Beschäftigten gezielt von Cyberkriminellen angegriffen werden“, erklärt Dr. Holger Beck, Informationssicherheitsbeauftragter der Universitätsmedizin Göttingen. „Früher waren oft leicht zu erkennende Phishing-Mails ein typischer Angriffsvektor. Heute sehen wir, dass sich Angreifer vermehrt präzise über ihre Zielpersonen, ihren Arbeitskontext und ihre IT informieren und diese dann zielgerichtet angreifen. Für eine effektive Cybersicherheit müssen wir unsere Mitarbeiterinnen und Mitarbeiter daher bedarfsorientiert – entsprechend ihres Tätigkeitsprofils und ihrer tatsächlichen Bedrohungslage – qualifizieren.“
In KISK entwickeln die Wissenschaftler eine Blaupause für die Cybersicherheit in Krankenhäusern. Im ersten Schritt identifizieren sie, wo Kompetenz im Bereich Cybersicherheit fehlt. Anschließend entwickeln sie stellenspezifische Kompetenzprofile für cybersicheres Verhalten: jeweils für verschiedene Berufsgruppen, darunter Beschäftigte in der Patientenbetreuung, der Verwaltung oder für medizinisch-technische Berufe. Darauf aufbauend konzipiert das Team Trainings und evaluiert, ob diese der tatsächlichen Bedrohungslage der Beschäftigten gerecht werden. „Die Ergebnisse von KISK dienen deutschen Krankenhäusern als Vorlage, um ihre Mitarbeiterinnen und Mitarbeiter kompetenzorientiert zu qualifizieren. One-Size-Fits-All-Ansätze, bei denen alle dasselbe Training erhalten, haben ausgedient“, erklärt Dr. Simon Trang, Juniorprofessor für Informationssicherheit und Compliance der Universität Göttingen.
Mehr zum Thema Cybersicherheit lesen Sie in der aktuellen Titelstrecke der f&w.
