Herbert Motzel hat den Horror selbst erlebt. Im Dezember 2019, als ein Mitarbeiter des Klinikums Fürth den Anhang einer Hacker-E-Mail öffnete und so den Trojaner Emotet freisetzte. Der Computervirus hatte den Betrieb stark eingeschränkt und einen Aufnahmestopp verursacht. Motzel leitet die Stabsstelle IT-Sicherheit und IT-Strategie des kommunalen 800-Betten-Hauses, und er versucht alles, um die rund 2800 Beschäftigten für das Thema zu sensibilisieren und Fälle wie diesen künftig zu verhindern.

Motzel hält Vorträge zum Thema, gibt Erfahrungen an andere Kliniken weiter und hat seitdem auch im eigenen Haus einiges verändert. Seine Stabsstelle ist dem Vorstand zugeordnet, und der Abteilungsleiter steht im direkten Austausch mit den Verantwortlichen. Er versteht es, das trockene Thema anschaulich aufzubereiten. Er will es bewusst „hemdsärmelig rüberbringen“ – „fränkisch humorvoll“, wie Motzel sagt. Im kma Gespräch gibt er Einblicke in das schwierige Geschäft mit der IT-Awareness.

Herr Motzel, sollten Mitarbeiter, die Regeln zur IT-Sicherheit missachten, künftig bestraft werden?

Auf keinen Fall. Uns geht es eher darum, Hemmschwellen abzubauen. Statt Angst vor einer möglichen Bestrafung zu haben, sollen sich die Mitarbeiter an uns wenden, wenn etwas passiert ist oder ihnen etwas komisch vorkommt. Das ist meine wichtigste Bitte: Habt ein gesundes Misstrauen, seid nicht blauäugig – und meldet Euch im Zweifelsfall.

Klappt das?

Glücklicherweise oft. Wir haben auch ein anonymes Meldeportal, doch meist greifen die Kollegen direkt zum Telefon – nach dem Motto „Herbert, kannst Du mal gucken?“. Das ist das beste Lob für unsere Arbeit, denn es beweist, dass diese Kollegen für das Thema sensibilisiert sind. Schon bei dem Emotet-Angriff 2019 sind wir nur deshalb mit einem blauen Auge davongekommen. Weil die Mitarbeiter in der IT angerufen haben, war der Virus bis zu seiner Entdeckung nur eine Woche aktiv. In der Regel kann er sich zwei bis drei Monate ausbreiten – und entsprechend mehr Schaden anrichten.

Trotzdem haben Cyberkriminelle immer wieder Erfolg – mit Phishing-Attacken oder Erpressungssoftware zum Beispiel. Warum geht IT-Awareness nicht in Fleisch und Blut über – wie etwa das Anschnallen im Auto?

Entscheidend ist da wahrscheinlich der Faktor Zeit. Auch das Anschnallen hat sich ja nicht von jetzt auf gleich durchgesetzt. Außerdem ist die Gefährdungslage bei der IT nicht statisch, sondern sie verändert sich ständig – von der Art und der Häufigkeit der Attacken. Und je mehr wir alles vernetzen, desto größer werden die Angriffsflächen. Hacker sind der Cyber-Security immer einen Schritt voraus. Cyber-Kriminalität professionalisiert sich zunehmend, und das macht es so schwer, sich davor zu schützen. Deshalb kann es auch keine 100-prozentige Sicherheit geben.

Wie halten Sie dagegen?

Eine jährliche Onlineschulung zur Informationssicherheit ist für alle Mitarbeiter verpflichtend. Außerdem biete ich jeden Monat Präsenzschulungen an, bei denen alles gefragt und besprochen werden kann. Unser automatischer Bildschirmschoner zeigt „Die 10 goldenen Regeln der Informationssicherheit am Klinikum Fürth“, wir nutzen Erklärvideos vom Bundesamt für Sicherheit in der Informationstechnik, Handouts und Rundmails des Vorstands – alles, damit das Thema so oft wie möglich ins Gespräch kommt. Das wichtigste Ziel ist es, die Beschäftigten zum Teil der Lösung zu machen. Sie sollen im Vorfeld wissen, was zu tun ist, wenn eine bestimmte Situation eintritt – zum Beispiel, wenn jemand am Telefon Informationen über einen Patienten fordert oder wenn sie auf dem Klinikgelände einen mit Schadsoftware präparierten USB-Stick mit der Aufschrift „Gehaltsabrechnungen“ finden.

Soweit die Theorie, nur wie schaffen Sie es, dass sich das Thema nicht abnutzt und alle genervt abwinken, wenn im Alltagsstress wieder mal eine Mail von Ihnen aufpoppt?

Die Kunst ist, zielgerichtet und niederschwellig zu agieren. Jeder Mitarbeiter bekommt nur das, was ihn auch betrifft, und das Relevante muss auf einen Blick zu sehen sein. Grundsätzlich versuchen wir so oft wie möglich, einen Bezug zum privaten Bereich zu schaffen und die Kollegen darüber abzuholen. Das kann der Schutz des Online-Bankings sein, eine gefälschte Rechnung, die im E-Mail-Fach landet, oder die regelmäßige Datensicherung der eigenen Festplatte. So bringen wir die Leute zum Nachdenken: Würde ich das zuhause auch so machen? Möchte ich, dass jemand am Telefon solche Informationen über mein eigenes Kind oder meinen Angehörigen herausgibt? Es geht immer darum, ein gesundes Empfinden für IT-Sicherheit zu entwickeln.

Spielen Ihnen da konkrete Angriffe wie der, den Sie 2019 selbst erlebt haben, oder „Horrormeldungen“ wie die von der Cyberattacke auf die Uniklinik Düsseldorf im September 2020 in die Hände? Rüttelt das wach?

Es hilft uns auf jeden Fall – allerdings müssen wir auch aufpassen, dass dadurch nicht der Eindruck entsteht, dass man sich eh nicht schützen kann. 100-prozentige Sicherheit gibt es zwar nie, doch wir wollen die Risiken und Angriffsflächen minimieren. Das alles soll obendrein wirtschaftlich und für die Anwender auch noch handelbar sein.

Geht das wirklich nur mit Zuckerbrot?

Wir versuchen, Lösungen zu bieten, die die Leute überzeugen. Wer erkennt, dass etwas hilft, der macht auch mit. Und je sensibilisierter die Beschäftigten sind, desto weniger müssen wir mit technischen Einschränkungen klotzen. Doch manchmal braucht es eben auch konkrete Forderungen – etwa wenn es um rechtliche Vorgaben geht. Und wenn dann jemand immer wieder die gleichen Probleme hat und auch nach einem Anschreiben und Gesprächen mit dem Chef oder dem nächsthöheren Vorgesetzten kein Lerneffekt erkennbar ist, sollte das schon geahndet werden. Aber grundsätzlich bleibt der Ansatz: Strafe nein – Kontrolle ja.

Das alles klingt ein wenig wie Don Quijotes Kampf gegen die Windmühlen.

Natürlich werden unsere Maßnahmen nicht von allen geliebt – zum Beispiel wenn wir es technisch erzwingen, dass Passwort regelmäßig zu ändern oder wenn der Internet-Zugang durch zwischengeschaltete Datenschleusen etwas unkomfortabler wird. Aber das müssen wir aushalten. Wir müssen die Leute aus ihrer Komfortzone holen und jedem klar machen, welche Verantwortung er für den Schutz und die Behandlung der Patienten trägt. Es gilt, alle zu überzeugen, dass der Nutzen der Sicherheitsmaßnahmen höher ist als der zuweilen damit verbundene Aufwand. Wer die höchste Sicherheit haben will, muss auch maximal mitdenken.