Springe zum Inhalt

IT-Sicherheit in der Gesundheitsbranche: «Beim Angriff ist der Mensch das schwächste Glied»

27. August 2020

Semina Grabus und Florian Furrer von Bitfee haben Mitte August an einer Konferenz zum Thema Information Security in Healthcare teilgenommen. In der Gesundheitsbranche hat die aktive Auseinandersetzung mit der IT-Sicherheit einen besonders hohen Stellenwert, denn jeder Angriff auf die IT kann sich direkt auf das Wohlergehen von Menschen auswirken.

Im Verlaufe der Konferenz haben verschiedene Referenten anhand aktueller Fallstudien aus der Praxis die Relevanz des Themas IT-Sicherheit untermauert. Finden Sie hier einen kurzen Überblick über das Thema, die Zusammenfassung zweier besonders relevanter Präsentationen und unsere Gedanken dazu:

Information Security in Healthcare – ein kurzer Überblick:
Fakt ist, dass heute technische Vorkehrungen allein weitaus nicht mehr ausreichen, um die Sicherheit der Unternehmensinformationen zu gewährleisten. Denn einerseits gehen die Angreifer immer raffinierter vor und andererseits gelingt ihnen der Zugang zum internen Netzwerk, indem Menschen ausgetrickst werden. Mit gefälschten E-Mails werden Mitarbeitende dazu gebracht, Logindaten und persönliche Passwörter Preis zu geben. Diese werden dann missbraucht, um Unbefugten Zugang zum Firmen-Netzwerk zu geben. Darum sollte der Fokus nebst den technischen Vorkehrungen auch auf die Sensibilisierung der Mitarbeitenden gelegt werden.

Referat: Informationssicherheit im Spital – von der Strategie zur wirkungsvollen Umsetzung,
Martin Matter, CT0 Kantonsspital Aarau

Darum geht’s: Das Kantonsspital Aarau beschäftigt rund 4’500 Mitarbeitende. Der Arbeitsalltag im Gesundheitswesen ist hektisch, was die Einhaltung der Prozesse bezüglich Informationssicherheit gefährdet. Das Kantonsspital Aarau wollte es genau wissen. Mittels eines offensichtlichen Test-Phishing-Mails wurden die Mitarbeitenden aufgefordert, ihre Logindaten und Passwörter bekannt zu geben. Zur grossen Überraschung aller Beteiligten, sind rund 40.7% aller Mitarbeitenden der Aufforderung nachgekommen und haben ohne zu Zögern die persönlichen Angaben preisgegeben.

Wir nehmen mit: Mitarbeitende interessieren sich primär für ihre Aufgabe und nicht für IT-Security. Die Bereitschaft in diesem Bereich etwas zu lernen, ist eher gering. Darum gilt: Einmal ist keinmal. Nur mit regelmässiger Sensibilisierung und Schulung der Mitarbeitenden ist es möglich, die Awareness im Unternehmen massiv zu verbessern.

„Nur mit regelmässiger Sensibilisierung und Schulung der Mitarbeitenden ist es möglich, die Awareness im Unternehmen massiv zu verbessern.“

Referat «Cyberattacke auf Meier Tobler, Dienstleister der Gesundheitsbranche»,
Martin Schäppi, Leiter Unternehmenskommunikation

Darum geht’s: Die bekannte Haustechnik-Anbieterin Meier Tobler AG ist Ziel eines Cyber-Angriffs geworden. Ist ein solcher Angriff erfolgt, gilt es schnell und strukturiert zu handeln. Laut Martin Schäppi, Leiter Kommunikation bei Meier Tobler AG, ist es wichtig, bereits im Vorfeld einen Notfallplan und ein Notfallteam zu definieren und den Ernstfall regelmässig zu üben. Zudem ist die Wahl der richtigen Schlüsselpartner entscheidend.

Wir nehmen mit: Es gibt keine IT-Sicherheits-Garantie. Falls ein Unternehmen Opfer einer Cyber-Attacke wird, ist es wichtig, dass schnell reagiert werden kann. Die erprobte Zusammenarbeit mit den Schlüsselpartnern des Vertrauens wird als grosse Unterstützung wahrgenommen.

Univ.-Prof. Dr.med.univ. Kurt Zatloukal referierte an der Konferenz über Information Security in Healthcare

Themenfelder

  • IT-Security
  • Healthcare
  • Awareness
  • Schulung
  • Phishing-Mail
  • Cybercrime

IT-Sicherheit ist wichtig aber komplex. Als IT-Partner unterstützen wir unsere Kunden bei der Schulung von Mitarbeitenden und begleiten sie in schwierigen Situationen. Ihre Fragen zum Thema IT-Sicherheit im KMU beantwortet Patrick Ruckstuhl gerne.