Kompetenzorientierte und stellenspezifische IT-Sicherheit für MitarbeiterInnen in Krankenhäusern (KISK)

Motivation

Die zunehmende Digitalisierung im Gesundheitswesen verspricht vielfältige Verbesserungen in der Versorgungsqualität von Bürgerinnen und Bürgern. Die Nutzung digitaler Systeme birgt jedoch auch zunehmende Gefahren, die die Sicherheit von Patientinnen und Patienten, Daten und Prozessen innerhalb eines Krankenhauses direkt beeinträchtigen können. Zahlreiche Fälle von professionellen Cyberangriffen in der Vergangenheit verdeutlichen die Verwundbarkeit der Informationstechnik (IT) deutscher Krankenhäuser. So hatten IT-Sicherheitsvorfälle neben Verlusten sensibler Daten und Erpressungsversuchen bereits die Schließung von Notaufnahmen und Intensivstationen mit schwerwiegenden Konsequenzen für Patientinnen und Patienten zur Folge.

Cyberangriffe auf IT-Systeme werden oft durch menschliche Fehler begünstigt, beispielsweise durch das unbewusste Öffnen von Schadsoftware. Die gezielte Sensibilisierung von Mitarbeitenden vor etwaigen Angriffen auf die IT-Sicherheit ist daher von besonderer Bedeutung. Leider hat sich gezeigt, dass aktuell existierende Maßnahmen zur Steigerung des IT-Sicherheitsbewusstseins meist einem „One-Size-Fits-All“-Ansatz folgen und nur eine geringe Effektivität aufweisen und lediglich eine kurzfristige Wirkung entfalten. Die Herausforderung des Vorhabens „Kompetenzorientierte und stellenspezifische IT-Sicherheit für MitarbeiterInnen in Krankenhäusern (KISK)“ liegt daher bei der Entwicklung von Trainings zur Schulung kontextueller IT-Sicherheitskompetenzen bei Krankenhaus-Mitarbeitenden.

Ziele und Vorgehen

Das Ziel von KISK ist die Entwicklung und Validierung von kompetenzorientierten Maßnahmen zur Steigerung des IT-Sicherheitsbewusstseins für Mitarbeitende in Krankenhäusern. Die Orientierung an den Kompetenzen der Mitarbeitenden unter Verwendung etablierter Ansätze aus der beruflichen Bildungsforschung soll den Aufbau passgenauer IT-Sicherheitskompetenzen ermöglichen und das IT-Sicherheitsbewusstsein von Mitarbeitenden nachhaltig verbessern.

KISK ist in vier Arbeitspakete gegliedert. Zunächst wird der Soll-Bedarf an notwendigen IT-Sicherheitskompetenzen stellenspezifisch aufgezeigt. Anschließend werden Kompetenzmessinstrumente für die jeweiligen stellenspezifischen Soll-Bedarfe erarbeitet, anhand derer der Ist-Zustand der IT-Sicherheitskompetenzen der Mitarbeitenden an den Partnerkliniken erfasst wird. Aufbauend darauf sollen kompetenzorientierte IT-Sicherheitstrainings erstellt und evaluiert werden. Im abschließenden Arbeitspaket sollen zielgerichtete Kampagnen-Pläne entwickelt und die Projektergebnisse in stellenspezifische IT-Sicherheitsbewusstsein -Toolkits überführt werden, sodass Krankenhäuser selbstständig Trainings- und Awareness-Kampagnen umsetzen können.

Perspektiven für die Praxis

Es ist zu erwarten, dass Cyberangriffe, insbesondere auf Krankenhäuser und Forschungseinrichtungen, in Zukunft weiter zunehmen werden. Durch eine kompetenzorientierte und stellenspezifische Gestaltung von IT-Sicherheits-Trainings soll die Steigerung des Sicherheitsbewusstseins der Mitarbeitenden in Krankenhäusern nachhaltig erreicht und somit die IT-Sicherheit in Krankenhäusern gestärkt werden. Daraus folgt, dass Cyberangriffe besser abgewehrt werden können und somit der Verlust von sensiblen Daten verhindert wird. Zudem sinkt dadurch die Anfälligkeit für Erpressungen, wodurch die Versorgungssicherheit der Bevölkerung gesichert werden kann.