Medizinische Einrichtungen gelten als Kritische Infrastrukturen und sind daher besonders schützenswert. Einer der größten Angriffsvektoren bei Cyber-Angriffen ist nach wie vor das Phishing. Das Universitätsklinikum Bonn hat dazu auf dem Fachkongress DMEA seine umfangreiche Kampagne vorgestellt. Auch die bayerische Staatsministerin im Gesundheitsministerium, Judith Gerlach (CSU), betonte die Wichtigkeit von Cyber-Sicherheit im digitalen Gesundheitswesen.
Das Forschungsprojekt MedISA soll Strategien entwickeln, um Beschäftigte in medizinischen Versorgungseinrichtungen für IT-Sicherheit und Datenschutz zu sensibilisieren. Der Postdoktorand Dr. David Langer von der Hochschule Bonn-Rhein-Sieg hat das Phishing-Projekt am Uniklinikum Bonn wissenschaftlich begleitet. Dabei stellten sich die Forschenden die Frage: Was macht eine Phishing-E-Mail erfolgreich? – „Im Rahmen des Forschungsdesigns wurden zwölf verschiedene E-Mails entworfen“, erklärte Langer. Abgewandelte Faktoren waren zum Beispiel die persönliche Ansprache, die Dringlichkeit, das Textformat und der Versandzeitpunkt. Die Themen der E-Mails reichten von Hinweisen zu einem neuen Lohnabrechnungssystem bis zur Aktivierung eines verbesserten E-Mail-Kontos.
Fast 1/3 durchgefallen
Insgesamt wurden rund 7.000 Beschäftigte „getestet“. Es zeigte sich, dass etwa 31 Prozent auf den vermeintlich schädlichen Link klickten und 26 Prozent sogar ihre Login-Daten preisgaben. Damit konnten die Forschenden rund 1.800 potenzielle Zugangsdaten erheben.
Das Wissenschaftsteam klassifizierte auch die Abteilungen aus den verschiedenen Bereichen des Krankenhauses wie etwa dem Ärztlichen Dienst, dem Pflege- und Funktionsdienst sowie der Verwaltung in seinen Ergebnissen. Die zentrale Botschaft der Studie lautete, dass unterschiedliche Phishing-Charakteristika je nach Personengruppe unterschiedlich wirken.
Ein kleiner Vermerk bringt viel
Als Gegenmaßnahme empfahl Langer bestimmte minimalinvasive Sicherheitsmethoden. Ein [Extern]-Hinweis zu Beginn der E-Mail, ein Vermerk im Betreff oder andere Erklärungen zu Risiken bei externen Mails reduzierten die „Durchfallquote“ allerdings nur geringfügig. „Erst das Multi-Tagging der Sicherheitsmerkmale hat geholfen“, erklärte Langer. Der Forscher resümierte, dass das breit gestreute Angriffskonzept der Gießkanne nicht durchgängig funktioniere – und dass Cyber-Kriminelle perspektivisch vermehrt auf maßgeschneiderte Angriffe setzen könnten.
Der Informationssicherheitsbeauftragte des Universitätsklinikums, Lukas Schmitz, zeigte sich zufrieden, endlich wissenschaftlich fundierte Aussagen zur Phishing-Gefahr zu erhalten. Diese könne er zur Optimierung des Meldewesens nutzen – und insgesamt werde damit auch die Awareness der Beschäftigten gestärkt. Allerdings merkte Schmitz an, dass nicht alle erfreut gewesen seien, als sie erfuhren, dass sie auf einen Phishing-Test hereingefallen waren.
Mittel- und langfristig sei es für Langer und Schmitz vorstellbar, weitere Angriffsszenarien zu erproben. Beide gaben jedoch zu bedenken, dass beispielsweise die Simulation eines Cyber-Angriffs kostspielig und aufwändig zu planen sei.
Koalitionsvertrag ohne Cyber-Security
Auch die bayerische Staatsministerin Judith Gerlach betonte die Relevanz von Cyber-Sicherheit im Gesundheitswesen: „Die Digitalisierung kann nur so gut funktionieren, wie sie sicher ist“, so Gerlach. Sie rief dazu auf, Frühwarnsysteme – etwa bei Phishing-Attacken – wirkungsvoller zu gestalten. Doch eines stellte die Staatsministerin nüchtern fest: Im Koalitionsvertrag findet sich kein Wort zur Cyber-Sicherheit in Gesundheitseinrichtungen.
