Georg Thieme Verlag KG

Schulungen gegen CybercrimeCybersicherheit ist kein Spiel!

Spätestens mit der Corona-Pandemie und der nun forcierten Digitalisierung in deutschen Krankenhäusern stellt sich die Frage, ob E-Learning und Präsenzveranstaltungen noch ausreichen, um Mitarbeiter zu Ransomware- und Phishing-Attacken zu schulen.

Ransomware Attack
Rawf8/stock.adobe.com

Symbolfoto

Alle Schulungen zur IT- und Informationssicherheit verfolgen aktuell zwei wesentliche Hauptziele: Zum einen geht um es die Vermittlung von Wissen und Fakten zu aktuellen Sicherheitsproblemen durch Cyberattacken, zum anderen zielen die Schulungen zur so genannten Awareness auf eine Einstellungs- bzw. Bewusstseinsveränderung der Mitarbeiter. Diese sollen in der täglichen Arbeit auf gewisse Sicherheitsprobleme angemessen reagieren lernen, in dem zum Beispiel Risiken und mögliche Auswirkungen von Phishing E-Mails dargestellt und Mitarbeiter aufgefordert werden, verdächtige E-Mails zu melden.

Gleichzeitig zeigt jedoch die Andragogik (Erwachsenenbildung), dass die Gestaltung von Lernen und Lerninhalten im Erwachsenenalter verstärkt von der Notwendigkeit geprägt sein sollte, den Sinn, also das warum und wofür etwas gelernt wird, klarer herauszustellen. Auch sollte selbstgesteuertes Lernen ermöglicht werden und ein problemzentrierter (Lösungs-) Ansatz verfolgt werden. Die Gestaltung von Lernen im Erwachsenenalter sollte verbunden werden mit der Stärkung der kristallinen Intelligenz, d.h. die Anwendung von Erfahrungsschätzen und die Fähigkeit, Know-how auf Bereiche anzuwenden.

Mitarbeiter stärker einbeziehen

Dieser Ansatz der Anwendungsorientierung in der Kommunikation von Schulungsinhalten der Informationssicherheit/IT-Sicherheit entwickelt den Ansatz von Awareness weiter hin zu einem Transfer-Ansatz. Eine solche Art von Empfängerorientierung kann weitaus wirkungsvoller als eine „traditionelle“ Awareness Schulung sein, wie zum Beispiel die Ergebnisse einer hausinternen Phishing-Kampagne am Klinikum Ingolstadt gezeigt hat.

Während klassische Präsenz- und Schulungsformate eher auf eine logische, aufbauende Schritt-für-Schritt-Heranführung von Themen setzen, setzte die hausinterne Kampagne darauf, erst an einmal an die Mitarbeiter heranzugehen, sie individuell „abzuholen“ und gegebenenfalls persönliche Betroffenheit über einen kurze Schock-Moment zu erzeugen. Erst dann wurden die Kernbotschaften platziert.

IT-Sicherheit ist (k)ein Spiel

Wirkungsvoll hieß auch: diese Phishing-Mail wurde diskutiert, von Mitarbeitern gemeldet, Schulungen initiiert und ein zentrales Schlaglicht auf die Lerninhalte zum Phänomen: Phishing E-Mails gelegt. Neben diesen Push-Momenten für gewisse Themen ist jedoch auch die Kontinuität wichtig. So führt sich dieses Motiv von wichtigen Inhalten (z.B. Verhaltenshinweisen) und paradoxen Bildern (in diesem Fall: Tierkampagne zur IT-Sicherheit -> „Ein Phish namens…“) aktuell analog durch eine IT-Sicherheitspostkarten-Kampagne am Haus weiter.

Erfahrungen von Cybercrime-Übungen am Klinikum Ingolstadt zeigen folgendes: Eine Übung, die nach Drehbuch vorgeht, zahlreiche Sicherheitsbehörden mit einbezieht und die sich Materialen zu realen Attacken wie zum Beispiel einer gehackten Homepage des Unternehmens oder Warnungen des hauseigenen Virenscanners bedient, vermittelt den involvierten, aber nicht eingeweihten Teilnehmern einen realistischen „Spielverlauf“.

Sicherheit ist (k)ein Spiel

Sicherheit ist vermeintlich ein Spiel, welches von zwei Seiten gespielt wird. Eine Seite sucht von innen Gewissheit und Klarheit, z.B. durch den Einsatz von Schwachstellenscannern. Gleichzeit wird enormer Aufwand bei der Hardware betrieben, um durch Einbruchserkennungssysteme (z.B. Intrusion detection), Firewalls und andere Lösungen die Klinik-IT gegen Eindringlinge abzuschotten. Auf der anderen Seite klopfen Cyber-Kriminelle permanent und mit kontinuierlich verbesserten Angriffstechniken genau diese IT-Infrakstruktur auf Lücken und Schwachstellen ab. In diesem Hase-und-Igel-Zweikampf kann ein Klinikum dauerhaft nur bestehen, wenn die Mitarbeiter stärker für die Gestaltung und Ausformung der Informationssicherheit im Haus sensibilisiert und auch daran beteiligt werden.

Raus aus der Komfortzone

Wie könnte diese Sensibilisierung im Jahr 2020 aussehen? Sicherlich werden die traditionellen Säulen zur Vermittlung von Wissen und Risikobewusstsein aus e-Learning-Modulen, Präsenzveranstaltungen und Security-Blogbeiträgen weiterhin eine wichtige Rolle spielen. Ganz sicher aber sollten Krankenhäuser vermehrt mit Lernerfahrungen und Transferwissen aus Cybercrime-Übungen und „Grüne-Wiese“ Szenarien arbeiten. In der Kommunikation und Vermittlung über und in IT-Sicherheitsthemen werden Wahrnehmungsräume wie Cyber Escape Rooms, Virtual Reality-Erfahrungswelten und Apps eine wichtige Rolle spielen. Zusätzlich muss Sicherheit im Plural gedacht und gelebt werden, um zu funktionieren. Also, raus aus der Komfortzone - wir fühlen uns solange in unserem Haus sicher, bis wir uns aussperren. Erst dann verändern wir unsere Wahrnehmung und Perspektive. Sperren wir uns also absichtlich aus - und versuchen wieder reinzukommen.

Erschienen in kma 10/20  Jetzt kaufen!

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!