Cyber-Angriffen vorbeugen

Gesundheitsunternehmen stehen immer mehr im Zentrum von Cyber-Angriffen. Zur Abwendung möglicher Cyberangriffe auf die IT-Infrastrukturen setzt die BBT-Gruppe auf verschiedene technische und organisatorische Sicherheitsmaßnahmen. „Trotz aller Security-Maßnahmen müssen sich Unternehmen heute bewusst sein; Das Risiko, Opfer eines Cyberangriffs zu werden lässt sich zwar deutlich reduzieren, aber nicht gänzlich ausschließen. Daher ist es umso wichtiger, die gesamte BBT-Gruppe auf einen möglichen Cyberangriff vorzubereiten und auch präventive Sensibilisierungsmaßnahmen durchzuführen“, weiß Guido Jost, Informationssicherheitsbeauftragter und Leiter der Stabsstelle Informationssicherheit der BBT-Gruppe.

Cyberattacken im Gesundheitsbereich können schwerwiegende Konsequenzen mit sich bringen. Warnende Praxisbeispiele betroffener Einrichtungen finden sich nahezu wöchentlich in den Medien. Zur Abwendung möglicher Cyberangriffe auf die IT-Infrastrukturen setzt die BBT-Gruppe verschiedene technische und organisatorische Sicherheitsmaßnahmen ein. So hat beispielsweise. die Deutsche Krankenhausgesellschaft mit ihrem Branchenspezifischen Sicherheitsstandard (B3S) für Krankenhäuser einen einheitlichen Kriterienkatalog definiert, an welchem wir uns orientieren. Der B3S soll Einrichtungen des Gesundheitswesens dabei unterstützen, sich vor Cyberattacken und Systemausfällen zu schützen. Darin werden detaillierte Prozesse und Maßnahmen beschrieben die geeignet sind, eine robuste Informationstechnik zu gewährleisten und damit die medizinische Versorgung und Gesundheit der Patienten sicherzustellen. „Der B3S definiert neben den klassischen Informationssicherheitsschutzzielen; Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit, auch die Patientensicherheit und Behandlungseffektivität, als weitere Schutzziele“, sagt der Informationssicherheitsbeauftragte und weiter: „Als sogenannter Betreiber einer Kritischen-Infrastruktur arbeiten wir zudem eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen, um mögliche Angriffsversuche früh zu erkennen und entsprechende Sicherheitsmaßnahmen ergreifen zu können.“ Informationssicherheit sei ein kontinuierlicher Prozess, daher würden die getroffenen Maßnahmen regelmäßig überprüft und auf die aktuellen Erfordernisse hin angepasst.

Informationssicherheit ist so gut, wie die Mitarbeiter*innen, welche die Systeme bedienen.
Aus diesem Grund sehe ich die Mitarbeitenden und Führungskräfte nicht als Sicherheitslücke, sondern als wichtigen Erfolgsfaktor für ein hohes Maß an Informationssicherheit in der BBT-Gruppe.

Guido Jost

„Trotz aller Security-Maßnahmen sind wir uns bewusst: Das Risiko, Opfer eines Cyberangriffs zu werden, lässt sich zwar deutlich reduzieren, aber nicht gänzlich ausschließen. Daher ist es umso wichtiger, die gesamte BBT-Gruppe auf einen möglichen Cyberangriff vorzubereiten und auch präventive Sensibilisierungsmaßnahmen durchzuführen. Dazu gehört es unter anderem auf die Gefahr von Spear-Phishing-Tricks hinzuweisen. Mit gesundem Misstrauen kann man hier schon viel Schaden abwenden!“, ist sich Guido Jost sicher.

Social Engineering

Beim Social-Engineering sollen Personen durch sehr echt wirkende E-Mails dazu gebracht werden, auf einen Link zu klicken und auf der ebenfalls gefälschten Zielseite Passwörter oder Anmeldeinformationen einzugeben, die dann vom Angreifer abgegriffen werden können. Mitunter versuchen die Angreifer*innen, sich in nicht technische Geschäftsprozesse einzuschleichen, um beispielsweise Leute dazu zu verleiten, falsche Rechnungen zu bezahlen oder Waren an sie zu senden, indem sie sich als bekannte Geschäftspartner tarnen.

Dafür sammeln sie systematisch relevante Daten von der Unternehmenswebseite oder aus sozialen Netzwerken wie Facebook und LinkedIn. Informationen wie die Namen der Geschäftsführung, firmeninterne Strukturen oder Ansprechpartner*innen sind dabei genauso interessant wie persönliche Daten. Im Gegensatz zu Cyberangriffen, bei denen Sicherheitslücken in Software und Programmcode ausgenutzt werden, beruht Social Engineering auf der Tatsache, dass Menschen Fehler machen und manipulierbar sind. Deshalb reicht es nicht, auf rein technische Methoden der Abwehr zu setzen. Es gibt nur einen einzigen wirksamen Schutz: gesundes Misstrauen verbunden mit dem strikten Einhalten von Regeln zur Datenweitergabe.

IRRTUM: „Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts passieren.“

Viele Mail-Programme sind so konfiguriert, dass die Nutzer*innen Nachrichten im HTML-Format versenden und empfangen. Darüber kann Schadsoftware in die Nachricht eingebettet werden, welche bereits beim Öffnen der Mail auf dem Computer ausgeführt wird, ohne dass dafür ein Anhang oder ein Link angeklickt werden muss. Outlook kann so konfiguriert werden, dass eingehende HTML-Mails in reine Textdarstellung umgewandelt werden. Bei vertrauenswürdigen Absendern kann die HTML-Ansicht mit einem Klick wieder aktiviert werden.

IRRTUM: „Eine E-Mail kommt immer von der Adresse, die im Absender-Feld steht.“

Hinter dem angezeigten Namen einer Person oder Organisation kann sich ein völlig anderer Absender verbergen. Einen ersten Hinweis auf den Absender erhalten Nutzer*innen, wenn sie mit der Maus über den angezeigten Namen fahren. In Outlook wird dann neben dem Mauszeiger die verwendete E-Mail-Adresse angezeigt.

IRRTUM: „Auch Spear-Phishing-Mails sind leicht zu erkennen.“

Spear-Phishing-Kampagnen sind zielgerichtete Angriffe, die sehr persönlich auf das beabsichtigte Opfer zugeschnitten sind. Da sie Details enthalten, die sich auf den jeweiligen Empfänger beziehen, erscheinen Spear-Phishing-E-Mails äußerst legitim. Klicken Sie niemals unbedacht auf Links oder angehängte Dokumente in Nachrichten. Sollte Ihnen der Inhalt einer E-Mail seltsam vorkommen, vertrauen Sie Ihrem Bauchgefühl und nehmen auf einem anderen Weg Kontakt zu der Person auf.