Dass man bei verdächtigen E-Mails vorsichtig sein und Anhänge nicht achtlos herunterladen soll, das wissen wir inzwischen alle – und doch sind Cyberkriminelle mit ihren Angriffen immer und immer wieder erfolgreich. In diesem Beitrag erklären wir, warum das so ist und wie Sie sich gegen Cyberattacken schützen.
<u>Ransomware</u>, <u>Phishing</u>, Social Engineering: Fast täglich liest oder hört man von Firmen, die Opfer von Cyberkriminalität wurden. Und leider machen Cyberkriminelle auch vor dem Gesundheitswesen nicht Halt. Denn die Sensitivität der Gesundheitsdaten machen diese Branche zu einem attraktiven Ziel.
Nehmen Cyberattacken wirklich zu?
Die Digitalisierung im Schweizer Gesundheitswesen schreitet voran. Sie bietet den grossen Nutzen einer besseren Vernetzung und damit einer effizienteren Gesundheitsversorgung, doch sie birgt auch Gefahrenpotenzial. «Je mehr Daten digital abgelegt werden, umso grösser ist die Gefahr, dass Hacker sie zu Geld machen wollen. Das Risiko eines Angriffs wird deshalb definitiv zunehmen», sagt Uwe Gempp, CSO & IT-Architekt bei HIN. Dass die Anzahl Cyberattacken steigt, ist also eine naheliegende Konsequenz davon, dass immer mehr digital gearbeitet wird.
Immer wieder Phishing
Was sich hingegen wenig verändert, sind die Methoden und Taktiken Cyberkrimineller: Phishing bleibt nach wie vor das Mittel der Wahl, um an sensible Informationen zu gelangen, oder um Ransomware in Netzwerke einzuschleusen, welche die Daten ihrer Opfer verschlüsseln.Fakt ist, dass den meisten von uns diese Gefahren längst bekannt sind: Nahezu jede und jeder weiss, dass man bei verdächtig wirkenden E-Mails vorsichtig sein und dass man ihre Anhänge nicht öffnen oder Links darin anklicken soll.
… und doch gelingen Cyberangriffe
Warum also gelingen Cyberangriffe, obwohl wir die Methoden Cyberkrimineller kennen? Warum fallen wir auf etwas herein, über das wir eigentlich Bescheid wissen? Diese Frage lässt sich am besten mit einem Beispiel beantworten: Hausärztin Anna Muster schreibt an einem Bericht, den sie fertig haben möchte, bevor ihre nächste Patientin eintrifft. Dummerweise kommt jedoch ihre MPA ins Zimmer und verkündet, die Versicherung eines Patienten von letzter Woche habe eine E-Mail geschrieben. Es sei angeblich sehr dringend. Als ob das nicht schon genug wäre, klingelt auch noch das Telefon. Annas Tochter ist dran und hat Angst vor ihrer Matheprüfung am Nachmittag. Anna versucht, sie zu beruhigen, während sie nebenbei die weitergeleitete E-Mail ihrer MPA überfliegt und nicht ganz versteht. Ohne weiter nachzudenken klickt sie auf den Link, der mehr Informationen verspricht… Und schon ist es passiert.
Wissen alleine reicht nicht
Unser Beispiel zeigt: Die Situation beeinflusst unser Verhalten stark. Anna Muster wusste sehr wohl, dass Links in E-Mails von unbekannten Absendern vorsichtig geprüft werden sollten. Dennoch war dieses Wissen in dem Moment nicht präsent, in dem die Phishing-Mail sie erreicht hat. Und so ist es leider in vielen Fällen, in denen Cyberattacken Erfolg haben. Denn Wissen alleine reicht nicht, um sich jederzeit richtig zu verhalten. Die Situation ist nur einer der Aspekte, die auf das menschliche Verhalten Einfluss nehmen.
Schulungen stärken das Bewusstsein
Um sich und die eigene Praxis bestmöglich zu schützen, ist es nötig ein Bewusstsein für die Gefahren durch Cyberkriminalität zu entwickeln und dieses im Arbeitsalltag jederzeit im Hinterkopf zu haben. Dafür reicht es nicht aus, einmal ein Factsheet über Cyberattacken zu lesen oder sich einen Vortrag über die häufigsten Angriffsmethoden anzuhören. Eine gute Möglichkeit sind hingegen Awareness Schulungen, die für das Thema sensibilisieren und so ein Bewusstsein für die Stolpersteine im Arbeitsalltag schaffen.
HIN Academy: Bewusstsein für IT-Sicherheit und Datenschutz schaffen
Das Ziel der HIN Academy ist es, Gesundheitsfachpersonen nachhaltig für die Themen IT-Sicherheit und Datenschutz zu sensibilisieren. Dabei geht es nicht um reine Informationsvermittlung, sondern es soll ein langfristiges Bewusstsein für die Gefahren der Cyberkriminalität und die Relevanz des Datenschutzes geschaffen werden.