In letzter Zeit häufen sich weltweit IT-Sicherheits-Vorfälle in Spitälern. Doch stecken dahinter nicht gezielte Angriffe, sondern die Verabsäumung grundlegender Vorbeugemaßnahmen, die auch jedes Unternehmen setzen kann. Aufgrund der verschärften Vorgangsweise und hohen Strafen der Datenschutzbehörden wegen IT-Sicherheits-Versäumnissen wird das Lernen der Lektionen aus diesen Ereignissen für Unternehmen immer wichtiger.
Das Gesundheitssystem, und in diesem allem voran die Spitäler, ist eine der Säulen unserer Gesellschaft, die nicht nur als tragend angesehen wird, sondern auch als essentiell gerade in Krisenfällen. Umso erschreckender ist es, wenn Nachrichten über IT-Sicherheitsvorfälle die Runde machen, die sogar diese Institutionen ausschalten oder zumindest kompromittieren.
Den Anfang machte ein Bericht des Bayrischen Rundfunks und der US-Aufdeckerplattform „Pro Publica“. Die Gesundheitsdaten von Millionen Patienten rund um die Welt waren öffentlich im Internet zugänglich. Doch nicht etwa Hacker waren der Grund für diese Panne, sondern schlichtweg schlecht abgesicherte Server. Dies waren allen voran solche, auf die Röntgen-, MRT- und CT-Bilder von den Untersuchungsgeräten automatisch hochgeladen wurden. Doch auch weitere Server in der Bearbeitungskette, so z.B. in Arztpraxen, wiesen Sicherheitslücken auf. Dieser Vorfall rief in der EU auch die Datenschutzbehörden auf den Plan, da durch das Leck nicht nur irgendwelche, sondern „besondere Kategorien“ personenbezogener Daten (früher „sensible Daten“ genannt) betroffen waren. Dementsprechend ist auch mit der Verhängung hoher Strafen zu rechnen.
Erst vor kurzem kam dann die nächste Hiobsbotschaft: Zumindest 6 Spitäler auf verschiedenen Kontinenten mussten in den Notbetrieb wechseln, nachdem sie von Verschlüsselungsviren befallen wurde. Erneut lagen diesem Vorfall keine gezielten Angriffe zugrunde, sondern die Mitarbeiter in den Spitälern hatten den Befall selbst verursacht, indem sie unbedarft manipulierte Dateianhänge aus massenhaft in alle Welt versandten und zufällig auch an das Spital gerichteten E-Mails öffneten. Eine Gefahr, vor der sich auch Unternehmen immer besser schützen müssen, vor allem da sich das Aufkommen solcher Verschlüsselungsviren in letzter Zeit vervielfacht hat.
Doch welche Vorbeugemaßnahmen können Unternehmen ergreifen, um solche IT-Sicherheits-Vorfälle zu verhindern?
1. Auskunft über die Absicherung verbundener Systeme
Die Absicherung der eigenen Systeme ist essentiell, jedoch in einem Systemverbund nicht ausreichend. Das sagen bereits die grundlegenden IT-Sicherheits-Prinzipen. Und auch wenn die DSGVO Sub- oder Partnerunternehmen verpflichtet, die zum Schutz der (personenbezogenen) Daten ergriffenen technischen und organisatorischen Maßnahmen darzulegen, wird dieser Aspekt in der Praxis oft vernachlässigt. So geben sich viele Unternehmen mit oberflächlichen Beschreibungen zufrieden oder verzichten auf die Analyse und Prüfung der Angemessenheit der beschriebenen Maßnahmen. Ein Fehler, der im Falle eines Vorfalles zu einer empfindlichen Strafe führen kann.
2. Auditierung verbundener Systeme
Auch dies ließe sich aus den Grundlagen der IT-Sicherheit und auch aus der DSGVO ableiten, wird jedoch in der Praxis von vielen Unternehmen vernachlässigt. Ursprünglich sicherzustellen, dass eigene und verbundene Systeme gehörig abgesichert sind, ist wichtig. Doch gehört zu einem ordnungsgemäßen IT-Sicherheits-Konzept auch die regelmäßige Überprüfung der Absicherung und nicht nur der eigenen Systeme. Entsprechende Audit-Klauseln in den Verträgen mit den Sub- oder Partnerunternehmen sowie deren tatsächliche Nutzung sollten daher zum Standard gehören.
3. Sensibilisierung der Mitarbeiter
Jedes IT-Sicherheits-Konzept beinhaltet sowohl technische, als auch organisatorische Maßnahmen. Ebensolche verlangt auch die DSGVO. Nichtsdestotrotz wird in der Praxis vor allem der organisatorische Teil, und dort vor allem die Mitarbeitersensibilisierung vernachlässigt. Um zu verhindern, dass Mitarbeiter die eigenen Systeme durch Spam-Mails und unbedarftem Folgen manipulierter Links oder Öffnen manipulierter Dateien gefährden, ist eine Information oder Schulung ein Anfang, aber nicht ausreichend. Um Mitarbeiter für solche Gefahren tatsächlich zu sensibilisieren, und nicht bloß auf sie hinzuweisen oder sie darüber zu informieren, bedarf es regelmäßiger Übung oder zumindest des regelmäßig In-Erinnerung-Rufens, z.B. unterstützt durch sehr kurze und einfach zu handhabende Leitfäden oder Checklisten. In Unternehmen mit einem aktiven Betriebsrat kann dieser hierbei eine unerwartete und wertevolle Unterstützung sein.
Autor: Mag. Árpád Geréd