Sponsored

Cyberattacken: Mehr Mensch als Technik

Cyberattacken stellen eine grosse Gefahr für das Gesundheitswesen dar. Oft geraten dabei die Mitarbeitenden in das Fadenkreuz der Cyberkriminellen. Die Lösung ist ein ganzheitlicher Ansatz aus technischen Abwehrmassnahmen, dem Einsatz von Spezialisten und der Sensibilisierung der Mitarbeitenden.

, 6. Februar 2020 um 06:30
image
  • hin
  • it
  • cyberattacken
  • trends
Die Digitalisierung schreitet mit grossen Schritten voran, dabei werden auch die kritischen Stimmen lauter. Neben den Herausforderungen drängen sich auch die Risiken immer mehr in den Vordergrund. Eine offensichtliche und unbestreitbare Gefahr sind Cyberattacken. Im Gesundheitswesen kann es da rasch um Leben und Tod gehen. Folglich gewinnt die IT-Sicherheit an Bedeutung. Die Erforschung der Rolle des Menschen in der IT-Sicherheit befindet sich noch in den Anfängen. Bereits heute ist klar: Das Mitwirken der Mitarbeitenden ist entscheidend für die Robustheit eines Unternehmens gegen Cyberattacken. Dies zeigt eine Analyse der häufigsten Angriffsszenarien.

Ein Phish im Netz genügt

Der Grossteil der Cyberattacken erfolgt mittels Spam-E-Mails. Empfänger werden auf gefälschte und schadhafte Websites gelockt oder dazu verleitet, mit Malware, also schädlicher Software wie Viren und Trojaner, infizierte E-Mail-Anhänge zu öffnen. Diese sogenannten Phishing-Attacken (Phishing von engl. password harvesting, Passwörter sammeln, und fishing, Angeln) stellen eine grosse Gefahr für Organisationen dar. Zum einen können Cyberkriminelle Zugriff auf sensitive Informationen erlangen. Zum anderen kann Malware das Computersystem einer Organisation infizieren und dieses letzten Endes lahmlegen. Wie aktuelle Beispiele zeigen, kann dies im Falle eines Spitals gravierende Folgen haben, etwa wenn dieses Patienten abweisen muss.
Da das Versenden verhältnismässig einfach und günstig ist, übersteigt die Anzahl von Spam-E-Mails die der sauberen E-Mails bei weitem. Die Taktik der Cyberkriminellen ist offensichtlich: Durch die massenhafte Versendung erhöht sich die Wahrscheinlichkeit, dass Spam-E-Mails zu den Empfängern gelangen. Einmal empfangen, liegt es an den Empfängern, ob diese die E-Mail als Phishing-Versuch erkennen oder den Cyberkriminellen ins Netz gehen.
Man muss davon ausgehen, dass jede Organisation und Person in der Schweiz bereits solche unerwünschten E-Mails erhalten hat, diese aber meistens durch Spam-Filter blockiert werden. Daher geben nur etwas mehr als die Hälfte aller KMU in der Schweiz an, von Spam-Mails betroffen zu sein. Spam-Filter funktionieren also gut. Der Grossteil der Phishing-Attacken wird verhindert, und nur wenige Spam-E-Mails erreichen die Empfänger. Zugestellte Spam-E-Mails werden häufig von den Empfängern als solche wahrgenommen, es ist aber unmöglich, jede Spam-E-Mail herauszufiltern und als solche zu erkennen. Derweil genügt eine einzige erfolgreiche Phishing-Attacke, um einer Organisation nachhaltig zu schaden. Und so sind mehr als ein Drittel aller KMU in der Schweiz von Viren und Trojanern betroffen.
Technische Abwehrmassnahmen wie Virenschutz und Firewall sind notwendig, aber unzureichend, um ein Computersystem vor Viren und Trojanern zu schützen. Wenn Nutzer Malware aktiv installieren, umgehen sie unbeabsichtigt die technischen Abwehrmassnahmen und werden so zum Einbruchswerkzeug der Cyberkriminellen. Technische Abwehrmassnahmen sind also nur so stark, wie der Mensch es zulässt.

Täuschung schlägt Mensch und Technik

Auf die Frage, wieso genau Phishing-Attacken erfolgreich sind, gibt es keine abschliessende Antwort. Vermessen wäre es, den Opfern erfolgreicher Attacken die Schuld zu geben. Phishing-Attacken sind kriminelle Handlungen und Cyberkriminelle sind die Täter. Einige Forschende haben sich mit den Phishing-Methoden genauer auseinandergesetzt. Es zeigt sich, dass Methoden zum Einsatz kommen, welche die Empfänger teils sehr raffiniert täuschen. Diese werden mit dem Begriff Social Engineering zusammengefasst. Social Engineering nutzt zum einen den sozialen Kontext aus, zum anderen aber auch gezielt die individuelle Situation der Empfänger.
Dabei ist der meist genutzte Ansatz in Phishing-Attacken das Vorgeben von Autorität. So neigt der Mensch dazu, Aufforderungen von Autoritätspersonen nachzukommen. Zum einen erwartet die Gesellschaft von ihren Mitgliedern, Autoritäten zu achten. Zum anderen orientieren Menschen sich in unklaren und stressvollen Situationen gern an Autoritäten. Wenn also in einer Spam-E-Mail vorgegeben wird, dass diese von einem Vorgesetzten kommt, steigt die Wahrscheinlichkeit, dass der Empfänger auch einer zweifelhaften Anfrage nachkommt – vorausgesetzt die E-Mail wird als authentisch wahrgenommen. 
«Bedrängnis und Zeitdruck lassen Menschen spontane, unüberlegte Entscheidungen treffen.»
Geradezu heimtückisch sind Phishing-Attacken, in denen die Versender vorgeben, System-Administratoren zu sein und vom Empfänger verlangen, ein notwendiges Sicherheitsupdate zu installieren. Insbesondere Organisationen mit starken Hierarchiestrukturen sind hierbei gefährdet. Ergänzend hierzu können auch auf andere Weisen das vermeintlich gesellschaftlich konforme Verhalten eingefordert oder die Empfänger in Bedrängnis und unter Zeitdruck gebracht werden. So lassen Bedrängnis und Zeitdruck Menschen spontane, unüberlegte Entscheidungen treffen. Wenn beispielsweise eine Person am Freitagnachmittag einen medizinischen Notfall, wie das Ausgehen eines Medikaments vorgibt und per E-Mail dringend um Verlängerung des Rezepts bittet, wird dabei die korrekte Authentifizierung der Person möglicherweise vergessen.
Neben diesen vorgetäuschten Situationen kann auch die alltägliche Leistungserwartung bei der Arbeit dazu führen, dass Mitarbeitende auf Phishing-Attacken hereinfallen. Der Fokus liegt auf der Erfüllung der Aufgabe, und E-Mails werden häufig automatisiert, ohne nachzudenken geöffnet, dazu sind Arbeitskollegen nebenan möglicherweise laut am Telefonieren. Dies sind alltägliche Situationen, die unsere Aufmerksamkeit unbewusst steuern und somit für Ablenkung sorgen. Dabei muss man sich in Erinnerung rufen, dass Phishing-Attacken kriminelle Taten sind, die aktiv täuschen und manipulieren. Oft wirken Spam-E-Mails täuschend echt, sind optisch und inhaltlich kaum bis gar nicht als Fälschung zu erkennen.
«Cyber-Attacken in Form von Phishing basieren auf der menschlichen Interaktion, entsprechend sollten die Mitarbeitenden hierfür regelmässig geschult werden.»

Sensibilisierung der Anwender

Die Herausforderung besteht darin, diese Gefahr möglichst zu minimieren. Aber wie genau ist dies möglich? Als Lösungsansatz hat sich die Security Awareness, also die Sensibilisierung der Mitarbeitenden für sicherheitsbewusstes Verhalten bewährt. Dabei spielt technisches Wissen eine untergeordnete Rolle. Cyberattacken in Form von Phishing basieren auf der menschlichen Interaktion, entsprechend sollten die Mitarbeitenden hierfür regelmässig geschult werden.
Mitarbeitende müssen branchenspezifisch und praxisnah auf mögliche Gefahren und Szenarien vorbereitet werden. Dabei ist Security Awareness kein Projekt mit einmaligen Massnahmen. Die Mitarbeitenden werden bei diesem Ansatz fortlaufend auf ihre eigene Verwundbarkeit aufmerksam gemacht, kennen die aktuellen Gefahren und potentiellen Auswirkungen. Dabei sollten sich die Mitarbeitenden den IT-Sicherheits-Verhaltensregeln bewusst sein, in der Lage sein diese einzuhalten und wissen wann die Unterstützung durch Spezialisten angebracht ist.

Autor: Jona Karg

Jona Karg studiert an der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) angewandte Psychologie. In mehreren wissenschaftlichen Arbeiten erforscht er die Rolle des Menschen in der IT-Sicherheit. Bei der Health Info Net AG (HIN) ist er für die Weiterentwicklung der Awareness Schulungen sowie des Awareness E-Learnings verantwortlich.

HIN Services:

HIN unterstützt Gesundheitsfachpersonen und Institutionen mit einem ganzheitlichen Ansatz dabei, sich vor Cyberkriminalität zu schützen und damit ihrer gesetzlichen Pflicht zum aktiven Datenschutz nachzukommen:
HIN Awareness Schulung
Die individualisierbare Awareness Schulung durch einen HIN IT-Sicherheitsexperten bei Ihnen vor Ort stärkt das Risikobewusstsein Ihrer Mitarbeitenden, zeigt Schutzmassnahmen auf und erhöht so die Informationssicherheit Ihrer Institution. Weitere Informationen: www.hin.ch/awareness-schulung
HIN Awareness Portal
Für die regelmässige Schulung bietet HIN ein E-Learning- Tool an. Mit dem HIN Awareness Portal können Sie sich und Ihre Mitarbeitenden orts- und zeitunabhängig anhand von verschiedenen Modulen gezielt sensibilisieren. Weitere Informationen: www.hin.ch/awareness-portal
HIN Endpoint Security Service (EPS)
Schützen Sie Ihre Geräte ganzheitlich vor Bedrohungen aus dem Internet. Der EPS umfasst modernste Schutzsoftware für Ihre Arbeitsgeräte, ergänzt mit dem HIN Security Operation Center. Im Ernstfall werden Sie von erfahrenen Sicherheitsexperten proaktiv betreut. Weitere Informationen: www.hin.ch/endpoint
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Die Menschen fühlen sich so gesund wie vor Corona

Die Covid-Turbulenzen konnten der gesundheitlichen Selbstsicherheit von Herrn und Frau Schweizer wenig anhaben: Dies besagen neue Daten.

image

Immer mehr Pillen – und immer mehr Komplementär-Medizin

Der Gebrauch von Schmerzmitteln hat sich in den letzten drei Jahrzehnten verdoppelt. Der Gebrauch von Physiotherapie ebenfalls. Und so weiter.

image

«Mit einer manipulierten Infusionspumpe konnten wir eine Tötung herbeiführen»

Medizingeräte wie Arzneimittelpumpen, Herzschrittmacher oder Operationsroboter sind zunehmend im Visier von Cyberkriminellen. Mit potenziell tödlichen Folgen.

image

Erste Transplantation mit«DaVinci-Xi-System» am Kantonsspital St. Gallen

Erstmals wurde am KSSG die Niere eines Lebendspenders mit Hilfe chirurgischer Robotik entnommen.

image

Effizienz durch digitale Prozesse

Schwarzwald-Baar Klinikum meistert Hürden der Anbindung von HYDMedia an das LE-Portal

image

Knieprothetik: KSBL setzt auf J&J Robotertechnik

Damit kann eine noch höhere Präzision erreicht werden.

Vom gleichen Autor

image

Traditioneller Medinside Frühstücksevent

Verpassen Sie nicht unseren traditionellen Frühstücksevent 25. Oktober 2023 in Zürich. Dieses Jahr mit spannenden Themen und Referenten.

image

Viktor 2022: Nominieren Sie jetzt!

Würdigen Sie aussergewöhnliche Leistungen im Gesundheitswesen 2022 und nominieren Sie bis Ende Januar Ihren persönlichen Favoriten.

image

Der ORBIS U Frame wird pilotiert

«Willkommen bei ORBIS» – seit vielen Jahren begrüsst ORBIS NICE seine Anwender mit diesen Worten. Als Marktführer im deutschsprachigen Raum hat ORBIS täglich viele tausend Nutzer aus allen Arbeitsbereichen eines Krankenhauses.