31.01.2024
Gesundheitsunternehmen stehen immer mehr im Zentrum von Cyber-Angriffen. Zur Abwendung möglicher Cyberangriffe auf die IT-Infrastrukturen setzt die BBT-Gruppe auf verschiedene technische und organisatorische Sicherheitsmaßnahmen. „Trotz aller Security-Maßnahmen müssen sich Unternehmen heute bewusst sein; Das Risiko, Opfer eines Cyberangriffs zu werden lässt sich zwar deutlich reduzieren, aber nicht gänzlich ausschließen. Daher ist es umso wichtiger, die gesamte BBT-Gruppe auf einen möglichen Cyberangriff vorzubereiten und auch präventive Sensibilisierungsmaßnahmen durchzuführen“, weiß Guido Jost, Informationssicherheitsbeauftragter und Leiter der Stabsstelle Informationssicherheit der BBT-Gruppe.
Cyberattacken im
Gesundheitsbereich können schwerwiegende Konsequenzen mit sich bringen.
Warnende Praxisbeispiele betroffener Einrichtungen finden sich nahezu
wöchentlich in den Medien. Zur Abwendung möglicher Cyberangriffe auf die
IT-Infrastrukturen setzt die BBT-Gruppe verschiedene technische und
organisatorische Sicherheitsmaßnahmen ein. So hat beispielsweise. die Deutsche
Krankenhausgesellschaft mit ihrem Branchenspezifischen Sicherheitsstandard
(B3S) für Krankenhäuser einen einheitlichen Kriterienkatalog definiert, an
welchem wir uns orientieren. Der B3S soll Einrichtungen des Gesundheitswesens
dabei unterstützen, sich vor Cyberattacken und Systemausfällen zu schützen. Darin
werden detaillierte Prozesse und Maßnahmen beschrieben die geeignet sind, eine
robuste Informationstechnik zu gewährleisten und damit die medizinische
Versorgung und Gesundheit der Patienten sicherzustellen. „Der B3S definiert
neben den klassischen Informationssicherheitsschutzzielen; Verfügbarkeit,
Integrität, Authentizität und Vertraulichkeit, auch die Patientensicherheit und
Behandlungseffektivität, als weitere Schutzziele“, sagt der Informationssicherheitsbeauftragte
und weiter: „Als sogenannter Betreiber einer Kritischen-Infrastruktur arbeiten
wir zudem eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
zusammen, um mögliche Angriffsversuche früh zu erkennen und entsprechende
Sicherheitsmaßnahmen ergreifen zu können.“ Informationssicherheit sei ein
kontinuierlicher Prozess, daher würden die getroffenen Maßnahmen regelmäßig
überprüft und auf die aktuellen Erfordernisse hin angepasst.
„Trotz aller
Security-Maßnahmen sind wir uns bewusst: Das Risiko, Opfer eines Cyberangriffs
zu werden, lässt sich zwar deutlich reduzieren, aber nicht gänzlich
ausschließen. Daher ist es umso wichtiger, die gesamte BBT-Gruppe auf einen
möglichen Cyberangriff vorzubereiten und auch präventive
Sensibilisierungsmaßnahmen durchzuführen. Dazu gehört es unter anderem auf die
Gefahr von Spear-Phishing-Tricks hinzuweisen. Mit gesundem Misstrauen kann man
hier schon viel Schaden abwenden!“, ist sich Guido Jost sicher.
Beim Social-Engineering
sollen Personen durch sehr echt wirkende E-Mails dazu gebracht werden, auf
einen Link zu klicken und auf der ebenfalls gefälschten Zielseite Passwörter
oder Anmeldeinformationen einzugeben, die dann vom Angreifer abgegriffen werden
können. Mitunter versuchen die Angreifer*innen, sich in
nicht technische Geschäftsprozesse einzuschleichen, um beispielsweise Leute
dazu zu verleiten, falsche Rechnungen zu bezahlen oder Waren an sie zu senden,
indem sie sich als bekannte Geschäftspartner tarnen.
Dafür sammeln sie
systematisch relevante Daten von der Unternehmenswebseite oder aus sozialen
Netzwerken wie Facebook und LinkedIn. Informationen wie die Namen der
Geschäftsführung, firmeninterne Strukturen oder Ansprechpartner*innen sind
dabei genauso interessant wie persönliche Daten. Im Gegensatz zu
Cyberangriffen, bei denen Sicherheitslücken in Software und Programmcode
ausgenutzt werden, beruht Social Engineering auf der Tatsache, dass Menschen
Fehler machen und manipulierbar sind. Deshalb reicht es nicht, auf rein
technische Methoden der Abwehr zu setzen. Es gibt nur einen einzigen wirksamen
Schutz: gesundes Misstrauen verbunden mit dem strikten Einhalten von Regeln zur
Datenweitergabe.
Viele
Mail-Programme sind so konfiguriert, dass die Nutzer*innen Nachrichten im
HTML-Format versenden und empfangen. Darüber kann Schadsoftware in die
Nachricht eingebettet werden, welche bereits beim Öffnen der Mail auf dem
Computer ausgeführt wird, ohne dass dafür ein Anhang oder ein Link angeklickt
werden muss. Outlook kann so konfiguriert werden, dass eingehende HTML-Mails in
reine Textdarstellung umgewandelt werden. Bei vertrauenswürdigen Absendern kann
die HTML-Ansicht mit einem Klick wieder aktiviert werden.
Hinter dem
angezeigten Namen einer Person oder Organisation kann sich ein völlig anderer
Absender verbergen. Einen ersten Hinweis auf den Absender erhalten
Nutzer*innen, wenn sie mit der Maus über den angezeigten Namen fahren. In
Outlook wird dann neben dem Mauszeiger die verwendete E-Mail-Adresse angezeigt.
Spear-Phishing-Kampagnen
sind zielgerichtete Angriffe, die sehr persönlich auf das beabsichtigte Opfer
zugeschnitten sind. Da sie Details enthalten, die sich auf den jeweiligen
Empfänger beziehen, erscheinen Spear-Phishing-E-Mails äußerst legitim. Klicken
Sie niemals unbedacht auf Links oder angehängte Dokumente in Nachrichten. Sollte
Ihnen der Inhalt einer E-Mail seltsam vorkommen, vertrauen Sie Ihrem
Bauchgefühl und nehmen auf einem anderen Weg Kontakt zu der Person auf.