Aktuelles, Branche - geschrieben von am Sonntag, August 9, 2020 19:34 - noch keine Kommentare

Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings

Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

[datensicherheit.de, 09.08.2020] Phishing gehört offensichtlich zu den erfolgreichsten Cyber-Attacken. „Es ist schon länger bekannt, dass sich auch Cyber-Kriminelle an die aktuelle Situation angepasst haben und ihre Angriffe auf Unternehmen ständig verfeinern, um zu ihrem Ziel zu gelangen“, betont Tim Berghoff, „Security Evangelist“ bei G DATA, in seiner aktuellen Stellungnahme. Laut einer kürzlich veröffentlichten Meldung von Interpol sähen sich nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt. Diese basierten oft auf einem Mangel an Informationen und einem gesteigerten Informationsbedarf in Bezug auf Themen rund um die „Corona“-Thematik. Dem entgegen stehe das zu Beginn der Krise von einigen Hacker-Gruppen gegebene Versprechen, während der „Pandemie“ explizit keine Krankenhäuser anzugreifen.

g-data-tim-berghoff

Foto: G Data

Tim Berghoff: Viele Vorfälle, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangt…

Kritischen Infrastruktur im Visier: Opfer von Ransomware- und Phishing-Kampagnen

Angriffe dieser Art indes seien nicht neu: „Schon häufiger waren Organisationen, die zur Kritischen Infrastruktur gehören, Opfer von Ransomware- und Phishing-Kampagnen.“
So habe es Anfang 2016 der erfolgreiche Ransomware-Angriff auf das Lukas-Krankenhaus in Neuss zu großer medialer Aufmerksamkeit gebracht, in dessen Folge dessen Arbeitsabläufe in vielen Bereichen behindert worden seien. „Es dürften viele weitere Fälle dieser Art existieren, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangte“, so Berghoff.

Phishing und andere Cyber-Angriffe: Nur eine Frage der Zeit

Daher empfiehlt er: „IT-Verantwortliche im Health-Sektor sollten die derzeitige Bedrohungslage vor Augen haben und Gegenmaßnahmen ergreifen.“ Hierunter fällt demnach etwa eine effektive Antivirus-Software, die es zu jeder Zeit auf dem aktuellsten Stand zu halten gelte. „Auch Lösungen zum E-Mail-Schutz, die eingehende Mails auf verdächtige, beziehungsweise schädliche Anhänge und Links untersuchen, stellten sich bereits in der Vergangenheit als wichtige Komponente für die IT-Sicherheit dar.“
Zwar habe sich hierbei schon eine Menge getan, aber ein Aspekt, der oft genug vernachlässigt werde, sei, „dass die Frage nicht lautet, ob es einen erfolgreichen Angriff geben wird, sondern wann das passieren wird“. Oberstes Ziel sei nicht die Verhinderung von Angriffen mit aller Macht, sondern die Erhaltung der eigenen Handlungsfähigkeit im Falle eines erfolgreichen Angriffs, unterstreicht Berghoff.

Mitarbeiter über E-Mail-Anhänge und Phishing-Webseiten aufklären!

Der wichtigste Faktor allerdings, den es bei der Stärkung der IT-Sicherheit zu beachten gelte, sei der Mitarbeiter. Rein technische Lösungen hätten naturgemäß dort ihre Grenzen, „wo es um menschliche Verhaltensweisen des Mitarbeiters geht“:
Ist dieser ausreichend geschult und über die Gefahren schadhafter E-Mail-Anhänge und Phishing-Webseiten aufgeklärt, könnten viele Sicherheitsvorfälle schon im Ansatz verhindert werden. Es gelte, ein Bewusstsein für die potenziellen Folgen unbedachter Klicks oder Eingaben zu schaffen, ohne Mitarbeiter dabei einzuschüchtern.

Phishing rechtzeitig erkennen: Wissen um sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen!

Einen ersten Schritt könnten etwa Leitfäden darstellen, welche „die gängigsten Angriffsformate beschreiben und Tipps geben, wie man unseriöse Webseiten und Mails erkennt“. Den zweiten Schritt sollten „Security Awareness Trainings“ bilden, welche „das Wissen um den sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen“.
Darüber hinaus schulten einige Awareness-Anbieter Mitarbeiter in anderen wichtigen Praktiken, welche nicht nur die Sicherheit des Unternehmens gewährleisteten, sondern auch den reibungslosen Betrieb. Berghoff: „Hierunter fällt etwa die Durchführung regelmäßiger Backups, um bei Datenverlusten schnell wieder die Arbeit aufnehmen zu können.“

Ausführliche Schulung der Mitarbeiter senkt Gefahrenpotenzial von Phishing- und anderen Cyber-Angriffen

Der Aufbau einer „Security Awareness“ dürfe kein einmaliges Ereignis sein, vielmehr handele es sich um einen kontinuierlichen Prozess. Verantwortliche sollten sich deshalb für einen Anbieter entscheiden, „der nicht nur Tagesschulungen, sondern Online-Kurse mit Sofort-Feedback bereithält“.
Berghoffs Fazit: „Sind Mitarbeiter im Gesundheitswesen erst einmal ausführlich geschult, stellen auch immer raffiniertere Cyber-Angriffe eine geringere Gefahr dar und der Betrieb kann sich auch in schwierigen Zeiten seinem eigentlichen Ziel widmen – dem Wohl des Patienten.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2020
Cyber-Protection: Krankenhäuser müssen ihre IT schützen / Massive Sicherheitslücken dominieren die IT-Infrastruktur im Gesundheitssektor

datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

datensicherheit.de, 24.02.2020
BlueKeep: Schwachstelle bereitet Krankenhäusern Ungemach / Im Mai 2019 stellten Sicherheitsforscher fest, dass sie „aktiv ausgenutzt“ wird

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser / Jochen Koehler kommentiert jüngsten Vorfall in Rheinland-Pfalz und im Saarland

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln / Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON

KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 09.03.2019
Sicherheitslücken: Ultraschallgeräte als Einfallstore in Krankenhäusern / Verlust und zur Weitergabe personenbezogener Daten drohen



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung