Security Awareness
Phishing-Attacken auf Gesundheitssektor nehmen wieder zu
Von Tim Berghoff, Security Evangelist bei G DATA CyberDefense
Es ist schon länger bekannt, dass sich auch Cyber-Kriminelle an die aktuelle Situation angepasst haben und ihre Angriffe auf Unternehmen ständig verfeinern, um zu ihrem Ziel zu gelangen. Laut einer kürzlich veröffentlichten Meldung von Interpol sehen sich nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt. Diese basieren oft auf einem Mangel an Informationen und einem gesteigerten Informationsbedarf in Bezug auf Themen rund um die Corona-Thematik. Dem entgegen steht das zu Beginn der Krise von einigen Hackergruppen gegebene Versprechen, während der Pandemie explizit keine Krankenhäuser anzugreifen.
Angriffe dieser Art indes sind nicht neu, schon häufiger waren Organisationen, die zur Kritischen Infrastruktur gehören, Opfer von Ransomware- und Phishing-Kampagnen. Zu großer medialer Aufmerksamkeit hatte es Anfang 2016 der erfolgreiche Ransomware-Angriff auf das Lukas-Krankenhaus in Neuss gebracht, im Zuge dessen Arbeitsabläufe in vielen Bereichen behindert wurden. Es dürften viele weitere Fälle dieser Art existieren, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangte.
IT-Verantwortliche im Health-Sektor sollten die derzeitige Bedrohungslage vor Augen haben und Gegenmaßnahmen ergreifen. Hierunter fällt etwa eine effektive Antivirus-Software, die es zu jeder Zeit auf dem aktuellsten Stand zu halten gilt. Auch Lösungen zum E-Mail-Schutz, die eingehende Mails auf verdächtige, beziehungsweise schädliche Anhänge und Links untersuchen, stellten sich bereits in der Vergangenheit als wichtige Komponente für die IT-Sicherheit dar. Zwar hat sich hier schon eine Menge getan, aber ein Aspekt, der oft genug vernachlässig wird, ist, dass die Frage nicht lautet, ob es einen erfolgreichen Angriff geben wird, sondern wann das passieren wird. Oberstes Ziel ist nicht die Verhinderung von Angriffen mit aller Macht, sondern das Erhalten der eigenen Handlungsfähigkeit im Falle eines erfolgreichen Angriffs.
Der wichtigste Faktor allerdings, den es bei der Stärkung der IT-Security zu beachten gilt, ist der Mitarbeiter. Rein technische Lösungen haben naturgemäß dort ihre Grenzen, wo es um menschliche Verhaltensweisen des Mitarbeiters geht. Ist er ausreichend geschult und über die Gefahren schadhafter E-Mail-Anhänge und Phishing-Webseiten aufgeklärt, können viele Sicherheitsvorfälle schon im Vorhinein verhindert werden. Es gilt, ein Bewusstsein für die potenziellen Folgen unbedachter Klicks oder Eingaben zu schaffen, ohne Mitarbeiter dabei einzuschüchtern. Einen ersten Schritt können etwa Leitfäden darstellen, die die gängigsten Angriffsformate beschreiben und Tipps geben, wie man unseriöse Webseiten und Mails erkennt. Den zweiten Schritt sollten Security Awareness Trainings bilden, die das Wissen um den sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen. Darüber hinaus schulen einige Awareness-Anbieter Mitarbeiter in anderen wichtigen Praktiken, die nicht nur die Sicherheit des Unternehmens gewährleisten, sondern auch den reibungslosen Betrieb. Hierunter fällt etwa die Durchführung regelmäßiger Backups, um bei Datenverlusten schnell wieder die Arbeit aufnehmen zu können.
Der Aufbau einer Security Awareness darf kein einmaliges Ereignis sein, vielmehr handelt es sich um einen kontinuierlichen Prozess. Verantwortliche sollten sich deshalb für einen Anbieter entscheiden, der nicht nur Tagesschulungen, sondern Online-Kurse mit Sofort-Feedback bereithält. Sind Mitarbeiter im Gesundheitswesen erst einmal ausführlich geschult, stellen auch immer raffiniertere Cyber-Angriffe eine geringere Gefahr dar und der Betrieb kann sich auch in schwierigen Zeiten seinem eigentlichen Ziel widmen: dem Wohl des Patienten.