Die Lage der IT-Sicherheit in Deutschland bleibt weiterhin „auf angespanntem Niveau“. So formuliert es das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem aktuellen Lagebericht. Nach den USA und Großbritannien ist die Bundesrepublik „Zielland Nummer drei“ für Cybercrime-Gruppen. Von allen Sektoren ist danach das Gesundheitswesen am stärksten betroffen.
155 Störungen meldeten die Betreiber von kritischer Infrastruktur im vergangenen Jahr. Größere Krankenhäuser leiden stärker unter den Angriffen als kleinere. Das geht aus der neuesten Studie „Cybersicherheit im Krankenhaus“ der Wirtschaftsprüfungsgesellschaft (BDO) und des Deutschen Krankenhausinstituts (DKI) hervor. Danach waren nur 10 Prozent der Häuser unter 300 Betten, aber 30 Prozent der größeren Häuser Opfer von Cyberkriminalität betroffen. Immerhin: Bei 63 Prozent der betroffenen Einrichtungen führte der letzte Angriff auf die IT-Sicherheit nicht zu einer Beeinträchtigung des Krankenhausbetriebs.
Ausbau der technischen Schutzmaßnahmen kommt voran
Zum Schutz ihrer IT-Infrastruktur setzen die Gesundheitseinrichtungen vor allem auf technische Vorkehrungen. Obligatorisch sind der Studie zufolge Antivirensoftware (99 Prozent) und Firewalls (97 Prozent), ebenso wie der zentrale E-Mail-Scan (92 Prozent). Auch sichere VPN-Zugänge (92 Prozent) sind heute Standard. Endgeräte werden kontinuierlich mit Endpoint Detection und Response-Systemen (81 Prozent) überwacht.
Im Kommen sind Intrusion Detection Systeme zur frühzeitigen Erkennung von Bedrohungen und Intrusion Prevention Systeme, die den Netzwerkverkehr permanent überwachen und bei bösartigen Aktivitäten automatisch blockieren. Erstere werden bereits von 68 Prozent der Häuser eingesetzt und von weiteren 15 Prozent gerade implementiert. Letztere haben 64 Prozent der Häuser eingeführt und weitere 23 Prozent bauen sie gerade auf. Auch die Segmentierung der Netze – die Unterteilung des Krankenhaus-Netzwerks in kleinere, stark geschützte Abschnitte, kommt voran. 53 Prozent der Häuser haben die Segmentierung bereits abgeschlossen, weitere 29 Prozent arbeiten noch daran.
Größte Schwachstelle bleibt der Mensch
Cyberkriminelle loten aber nicht nur permanent technische Schwachstellen der Krankenhausnetze aus. Auch die Mitarbeiter sind Zielscheibe ständiger Angriffe. Mit Phishing-Mails sollen sie dazu verleitet werden, durch das Anklicken eines Links auf eine manipulierte Seite zu geraten, auf der sie ihre Zugangsdaten preisgeben und damit einem Angreifer Tür und Tor öffnen. 72 Prozent der Krankenhäuser sensibilisieren ihre Mitarbeiter mit Schulungen zum Thema Datenschutz und IT-Sicherheit auch für Phishing. Dennoch kommt es immer wieder vor, dass Mitarbeiter einen Link anklicken, wodurch eine Interaktion mit dem Angreifer ausgelöst wird.
Um den Ursachen auf den Grund zu gehen, haben Forscher eine Studie mit zwei großen Phishing-Simulationen an einem deutschen Universitätsklinikum mit 7044 E-Mail-Konten durchgeführt. Untersucht wurden Unterschiede zwischen verschiedenen Berufsgruppen sowie Faktoren wie der Einfluss konkreter E-Mail-Merkmale oder die Wirksamkeit von technischen Gegenmaßnahmen. In der ersten Studie wurden zwölf unterschiedliche Phishing-Mails an vier Berufsgruppen gesendet: Medizinischer Dienst, Pflege und Funktionsdienst, Verwaltung und IT, Sonstige Dienste (zum Beispiel technische Dienste, Reinigung, Küche oder Wäscherei). Beobachtet wurden Timing, Kontext und Darstellung der Phishing-Mail.
Wer klickt, gibt mit großer Wahrscheinlichkeit auch Daten ein.
Fast ein Drittel der Mitarbeiter klickte auf den Link in der Phishing-Mail, der zu einer Login-Maske führte. Die überwiegende Mehrheit (80 bis 90 Prozent) interagierte mit der Login-Maske. Mit anderen Worten: Wer klickt, gibt mit großer Wahrscheinlichkeit auch Daten ein. Die Berufsgruppe Pflege und Funktionsdienst war etwas anfälliger als die anderen Berufsgruppen. Rechnerisch reichen den Forschern zufolge bereits 45 Phishing-Mails aus, damit es mit 95-prozentiger Wahrscheinlichkeit zu einem Login kommt.
Die zeitliche Untersuchung ergab Folgendes: Innerhalb der ersten zwölf Stunden war das Risiko am größten, dass ein Mitarbeiter eine riskante Aktion ausführte. Dieses Risiko hielt auch am zweiten und dritten Arbeitstag noch an. Deshalb sollten Phishing-Mails, so die Forscher, bereits am ersten Tag nach dem Erkennen entfernt oder markiert werden.
Am Freitag war das Risiko für einen riskanten Umgang mit E-Mails gegenüber einem Montag um sechs Prozent erhöht.
Der Wochentag spielte nur bei der Gruppe Pflege und Funktionsdienst eine Rolle: Bei diesen Mitarbeitern zeigte sich ein signifikanter Wochentagseffekt: Am Freitag war das Risiko für einen riskanten Umgang mit E-Mails gegenüber einem Montag um sechs Prozent erhöht. Da diese Phishing-Mail am darauffolgenden Montag eine „zweite Welle“ verursachen könnte (siehe oben), empfehlen die Studienautoren den Kliniken, gegen Ende der Woche und an den Wochenenden das Support-Personal zu verstärken.
Medizinisches Personal öffnet Phishing-Mails öfters am Vormittag
Bei zwei Gruppen (Medizinisches Personal und Sonstiges Personal) stieg das Risiko deutlich an, wenn die Phishing-Mails am Vormittag statt am Nachmittag versendet wurden. Für die Gruppen Pflege und Funktionsdienst und Verwaltung und IT hatte die Tageszeit des E-Mail-Empfangs dagegen keinen Einfluss auf das Verhalten.
Untersucht wurden auch der Einfluss von Kontext und Darstellung der E-Mails. Verlustangst („Ihr E-Mail-Konto wird deaktiviert“) führte vor allem bei den nicht-medizinischen Berufen zu einem riskanten Verhalten. Hatte die Phishing-Mail einen inhaltlichen Bezug zur Gehaltsabrechnung, stieg das Risiko bei den Gruppen Medizinisches Personal und Sonstiges Personal.
Bei diesen beiden Gruppen stieg auch die Gefahr, wenn sie E-Mails im Klartext-Format anstatt im HTML-Format erhielten. Offenbar wähnten sie sich in Sicherheit, weil sie diese E-Mails als typisch intern wahrnahmen. Die Anfälligkeit für eine Phishing-Mail hängt offenbar auch bis zu einem gewissen Grad von der Rolle des Mitarbeiters im Unternehmen und dem E-Mail-Design ab. In einem großen Krankenhaus kann das Hunderte zusätzliche riskante Interaktionen bedeuten.
Nicht alle Anti-Phishing-Vorgaben haben den gleichen Erfolg
Im zweiten Teil der Studie wurde die Wirksamkeit von technischen Anti-Phishing-Maßnahmen untersucht. Spamfilter und Phishing-Warnbanner senkten das Risiko eines Anmeldeversuchs deutlich – bei den Berufsgruppen Medizinisches Personal und Verwaltung und IT sogar auf Null Prozent! Reibungsbasierte Maßnahmen wie das Ablegen von Phishing-Mails im Spamordner, die Deaktivierung von Links oder eine aktive Warnseite nach dem Klick erwiesen sich bei den verschiedenen Berufsgruppen als unterschiedlich erfolgreich. Die weitverbreitete generische Kennzeichnung externer Mails mit [EXTERNAL] zeigt nur bei der Berufsgruppe „Sonstiges Personal“ einen Effekt. Bei den anderen Gruppen erwies sich diese Maßnahme als vernachlässigbar.
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen