NCSC-Bericht zur Cybersecurity Schweiz: Sensibilisierung als wichtige Schutzmassnahme
Cyberkriminelle machen auch vor dem Gesundheitswesen nicht Halt. Gemäss dem Nationalen Zentrum für Cybersicherheit (NCSC) ist neben sicheren technischen Lösungen auch die Sensibilisierung für die Gefahren der Cyberkriminalität eine wichtige Schutzmassnahme.
Zweimal jährlich publiziert das Nationale Zentrum für Cybersicherheit (NCSC) einen Bericht zur Cybersecurity-Situation in der Schweiz. Der soeben erschienene Bericht für die zweite Jahreshälfte 2020 hat den Fokus Gesundheitswesen und löst den vorherigen Halbjahresbericht MELANI ab. Ausgewählte Resultate haben wir hier für Sie zusammengefasst.
Cybersicherheit im Gesundheitswesen
Gemäss dem NCSC sind digitale Hilfsmittel aus dem Gesundheitswesen kaum mehr wegzudenken und werden künftig weiter an Bedeutung gewinnen. Spitäler und andere Gesundheitseinrichtungen sind dabei denselben Cyberbedrohungen ausgesetzt wie alle Unternehmen, die einen Internetanschluss haben und mit Computern arbeiten.Sind die Bedrohungen durch Cyberkriminalität gemäss dem Bericht in den meisten Sektoren ähnlich, weisen die Konsequenzen von erfolgreichen Angriffen im Gesundheitswesen durchaus Eigenheiten auf: Einerseits sind bei einem Datenabfluss in den meisten Fällen unabänderliche, besonders schützenswerte Personendaten betroffen; andererseits können Funktionsausfälle von IT- Systemen oder eine temporäre Nichtverfügbarkeit von Daten die Gesundheit oder sogar das Leben von Menschen gefährden.
Ransomware birgt grosses Schadenspotenzial
Gemäss dem Bericht des NCSC zählen Vorfälle mit Ransomware in der Schweiz aktuell zu den Ereignissen mit dem grössten Schadenspotenzial. Schon seit einigen Jahren grassieren Verschlüsselungstrojaner als erfolgreiches kriminelles Geschäftsmodell, das auch gegen Spitäler eingesetzt wird. Mittels Ransomware werden Daten verschlüsselt und unbrauchbar gemacht. Um sie zu entschlüsseln, werden die Opfer aufgefordert, ein Lösegeld zu bezahlen. Mittlerweile greifen die Täter gar vor der Verschlüsselung möglichst viele Daten ab. Bei Misserfolg der Lösegeldforderung versuchen sie, die betroffenen Patienten direkt zu erpressen, indem sie mit der Publikation oder dem Verkauf ihrer Daten drohen.
Social Engineering in Zeiten der Pandemie
Social Engineering zeichnet sich unter anderem durch das Vorspiegeln von Dringlichkeit aus. Gemäss dem NCSC fallen Personen eher darauf herein, wenn sie bereits aufgrund von äusseren Umständen unter Druck stehen. Dies ist während der Corona-Pandemie teilweise der Fall: Krankheitsfälle können innert kurzer Zeit erheblich zunehmen und das Gesundheitswesen an seine Kapazitätsgrenzen führen. Folglich ist das Personal aussergewöhnlich gefordert, teilweise überarbeitet und somit anfälliger, auf Social Engineering hereinzufallen.
Die Awareness ist entscheidend
Gemäss dem NCSC gibt es zwei wichtige Aspekte, wie sich Institutionen im Gesundheitswesen gegen die Gefahren der Cyberkriminalität schützen können: Einerseits müssen technische Lösungen möglichst sicher designt werden. Andererseits sieht das NCSC es als wichtige Schutzmassnahme vor Cyberkriminalität, die Mitarbeitenden im sicheren Umgang mit Informatikmitteln zu sensibilisieren. Ihnen sollen Cyberbedrohungen wie Social Engineering oder Phishingaufgezeigt werden, damit sie sich der Gefahren bewusst sind.
Halbjahresbericht des NCSC lesen
Die HIN Academy sensibilisiert für Datenschutz und IT-Sicherheit
Mit der HIN Academy hat HIN es sich zum Ziel gemacht, Mitarbeitende im Gesundheitswesen nachhaltig für die Themen IT-Sicherheit und Datenschutz zu sensibilisieren. Denn je mehr Sie sich der Gefahren der Cyberkriminalität bewusst sind und je besser Sie die Angriffswege Cyberkrimineller kennen, desto sicherer können Sie ihnen begegnen.