Georg Thieme Verlag KG
kma Online

InterviewSichere Klinik-IT braucht sensibilisierte Beschäftigte

Seit Jahren wird im Kampf gegen Cyberangriffe geschult und gemahnt, doch noch immer gelten Mitarbeiter als gefährliche Schwachstelle bei der IT-Sicherheit von Kliniken. Wie gelingt es, Beschäftigte dafür zu sensibilisieren? IT-Experte Herbert Motzel vom Klinikum Fürth berichtet.

Herbert Motzel,Klinikum Fürth
Klinikum Fürth

Herbert Motzel leitet die Stabsstelle IT-Sicherheit und IT-Strategie im Klinikum Fürth.

Herbert Motzel hat den Horror selbst erlebt. Im Dezember 2019, als ein Mitarbeiter des Klinikums Fürth den Anhang einer Hacker-E-Mail öffnete und so den Trojaner Emotet freisetzte. Der Computervirus hatte den Betrieb stark eingeschränkt und einen Aufnahmestopp verursacht. Motzel leitet die Stabsstelle IT-Sicherheit und IT-Strategie des kommunalen 800-Betten-Hauses, und er versucht alles, um die rund 2800 Beschäftigten für das Thema zu sensibilisieren und Fälle wie diesen künftig zu verhindern.

Motzel hält Vorträge zum Thema, gibt Erfahrungen an andere Kliniken weiter und hat seitdem auch im eigenen Haus einiges verändert. Seine Stabsstelle ist dem Vorstand zugeordnet, und der Abteilungsleiter steht im direkten Austausch mit den Verantwortlichen. Er versteht es, das trockene Thema anschaulich aufzubereiten. Er will es bewusst „hemdsärmelig rüberbringen“ – „fränkisch humorvoll“, wie Motzel sagt. Im kma Gespräch gibt er Einblicke in das schwierige Geschäft mit der IT-Awareness.

Herr Motzel, sollten Mitarbeiter, die Regeln zur IT-Sicherheit missachten, künftig bestraft werden?

Auf keinen Fall. Uns geht es eher darum, Hemmschwellen abzubauen. Statt Angst vor einer möglichen Bestrafung zu haben, sollen sich die Mitarbeiter an uns wenden, wenn etwas passiert ist oder ihnen etwas komisch vorkommt. Das ist meine wichtigste Bitte: Habt ein gesundes Misstrauen, seid nicht blauäugig – und meldet Euch im Zweifelsfall.

Klappt das?

Glücklicherweise oft. Wir haben auch ein anonymes Meldeportal, doch meist greifen die Kollegen direkt zum Telefon – nach dem Motto „Herbert, kannst Du mal gucken?“. Das ist das beste Lob für unsere Arbeit, denn es beweist, dass diese Kollegen für das Thema sensibilisiert sind. Schon bei dem Emotet-Angriff 2019 sind wir nur deshalb mit einem blauen Auge davongekommen. Weil die Mitarbeiter in der IT angerufen haben, war der Virus bis zu seiner Entdeckung nur eine Woche aktiv. In der Regel kann er sich zwei bis drei Monate ausbreiten – und entsprechend mehr Schaden anrichten.

Trotzdem haben Cyberkriminelle immer wieder Erfolg – mit Phishing-Attacken oder Erpressungssoftware zum Beispiel. Warum geht IT-Awareness nicht in Fleisch und Blut über – wie etwa das Anschnallen im Auto?

Entscheidend ist da wahrscheinlich der Faktor Zeit. Auch das Anschnallen hat sich ja nicht von jetzt auf gleich durchgesetzt. Außerdem ist die Gefährdungslage bei der IT nicht statisch, sondern sie verändert sich ständig – von der Art und der Häufigkeit der Attacken. Und je mehr wir alles vernetzen, desto größer werden die Angriffsflächen. Hacker sind der Cyber-Security immer einen Schritt voraus. Cyber-Kriminalität professionalisiert sich zunehmend, und das macht es so schwer, sich davor zu schützen. Deshalb kann es auch keine 100-prozentige Sicherheit geben.

Wie halten Sie dagegen?

Eine jährliche Onlineschulung zur Informationssicherheit ist für alle Mitarbeiter verpflichtend. Außerdem biete ich jeden Monat Präsenzschulungen an, bei denen alles gefragt und besprochen werden kann. Unser automatischer Bildschirmschoner zeigt „Die 10 goldenen Regeln der Informationssicherheit am Klinikum Fürth“, wir nutzen Erklärvideos vom Bundesamt für Sicherheit in der Informationstechnik, Handouts und Rundmails des Vorstands – alles, damit das Thema so oft wie möglich ins Gespräch kommt. Das wichtigste Ziel ist es, die Beschäftigten zum Teil der Lösung zu machen. Sie sollen im Vorfeld wissen, was zu tun ist, wenn eine bestimmte Situation eintritt – zum Beispiel, wenn jemand am Telefon Informationen über einen Patienten fordert oder wenn sie auf dem Klinikgelände einen mit Schadsoftware präparierten USB-Stick mit der Aufschrift „Gehaltsabrechnungen“ finden.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!