Kompetenzorientierte und stellenspezifische IT-Sicherheit für MitarbeiterInnen in Krankenhäusern (KISK)

Ressortforschung im Handlungsfeld „Digitalisierung“, Förderschwerpunkt „Förderung von Vorhaben zur Umsetzung von IT-Security–Awareness-Programmen in Einrichtungen der medizinischen Versorgung“

Ärztin begutachtet Befunde auf einem Tablet-PC

Motivation

Die zunehmende Digitalisierung im Gesundheitswesen verspricht vielfältige Verbesserungen in der Versorgungsqualität von Bürgerinnen und Bürgern. Die Nutzung digitaler Systeme birgt jedoch auch zunehmende Gefahren, die die Sicherheit von Patientinnen und Patienten, Daten und Prozessen innerhalb eines Krankenhauses direkt beeinträchtigen können. Zahlreiche Fälle von professionellen Cyberangriffen in der Vergangenheit verdeutlichen die Verwundbarkeit der Informationstechnik (IT) deutscher Krankenhäuser. So hatten IT-Sicherheitsvorfälle neben Verlusten sensibler Daten und Erpressungsversuchen bereits die Schließung von Notaufnahmen und Intensivstationen mit schwerwiegenden Konsequenzen für Patientinnen und Patienten zur Folge.

Cyberangriffe auf IT-Systeme werden oft durch menschliche Fehler begünstigt, beispielsweise durch das unbewusste Öffnen von Schadsoftware. Die gezielte Sensibilisierung von Mitarbeitenden vor etwaigen Angriffen auf die IT-Sicherheit ist daher von besonderer Bedeutung. Leider hat sich gezeigt, dass aktuell existierende Maßnahmen zur Steigerung des IT-Sicherheitsbewusstseins meist einem „One-Size-Fits-All“-Ansatz folgen und nur eine geringe Effektivität aufweisen und lediglich eine kurzfristige Wirkung entfalten. Die Herausforderung des Vorhabens „Kompetenzorientierte und stellenspezifische IT-Sicherheit für MitarbeiterInnen in Krankenhäusern (KISK)“ liegt daher bei der Entwicklung von Trainings zur Schulung kontextueller IT-Sicherheitskompetenzen bei Krankenhaus-Mitarbeitenden.

Ziele und Vorgehen

Das Ziel von KISK ist die Entwicklung und Validierung von kompetenzorientierten Maßnahmen zur Steigerung des IT-Sicherheitsbewusstseins für Mitarbeitende in Krankenhäusern. Die Orientierung an den Kompetenzen der Mitarbeitenden unter Verwendung etablierter Ansätze aus der beruflichen Bildungsforschung soll den Aufbau passgenauer IT-Sicherheitskompetenzen ermöglichen und das IT-Sicherheitsbewusstsein von Mitarbeitenden nachhaltig verbessern.

KISK ist in vier Arbeitspakete gegliedert. Zunächst wird der Soll-Bedarf an notwendigen IT-Sicherheitskompetenzen stellenspezifisch aufgezeigt. Anschließend werden Kompetenzmessinstrumente für die jeweiligen stellenspezifischen Soll-Bedarfe erarbeitet, anhand derer der Ist-Zustand der IT-Sicherheitskompetenzen der Mitarbeitenden an den Partnerkliniken erfasst wird. Aufbauend darauf sollen kompetenzorientierte IT-Sicherheitstrainings erstellt und evaluiert werden. Im abschließenden Arbeitspaket sollen zielgerichtete Kampagnen-Pläne entwickelt und die Projektergebnisse in stellenspezifische IT-Sicherheitsbewusstsein -Toolkits überführt werden, sodass Krankenhäuser selbstständig Trainings- und Awareness-Kampagnen umsetzen können.

Perspektiven für die Praxis

Es ist zu erwarten, dass Cyberangriffe, insbesondere auf Krankenhäuser und Forschungseinrichtungen, in Zukunft weiter zunehmen werden. Durch eine kompetenzorientierte und stellenspezifische Gestaltung von IT-Sicherheits-Trainings soll die Steigerung des Sicherheitsbewusstseins der Mitarbeitenden in Krankenhäusern nachhaltig erreicht und somit die IT-Sicherheit in Krankenhäusern gestärkt werden. Daraus folgt, dass Cyberangriffe besser abgewehrt werden können und somit der Verlust von sensiblen Daten verhindert wird. Zudem sinkt dadurch die Anfälligkeit für Erpressungen, wodurch die Versorgungssicherheit der Bevölkerung gesichert werden kann.

Fakten zum Projekt

Projektleitung

Prof. Dr. Simon Trang
Georg-August-Universität Göttingen,
Department für Betriebswirtschaftslehre,
Juniorprofessur für Informationssicherheit und Compliance
Goßlarstraße 5-7
37073 Göttingen

Projektlaufzeit

01.12.2021 bis 31.11.2024

Projektbeteiligte

  • Prof. Dr. Manuel Trenz, Georg-August-Universität Göttingen, Department für Betriebswirtschaftslehre, Professur für Interorganisationale Informationssysteme
  • Dr. Holger Beck, Universitätsmedizin Göttingen, Arbeitsgruppe Informationssicherheit, Informationssicherheitsbeauftragter
  • Prof. Dr. Julia Warwas, Universität Hohenheim, Institut für Bildung, Arbeit und Gesellschaft, Professur für Wirtschaftspädagogik, insb. Theorie und Didaktik beruflicher Bildung

Das Projekt ist Teil des Förderschwerpunkts „Förderung von Vorhaben zur Umsetzung von IT-Security–Awareness-Programmen in Einrichtungen der medizinischen Versorgung“.

Ansprechperson

Dr. Fabian Gondorf
DLR Projektträger
projekttraeger-bmg(at)dlr.de​​​​​​​

Stand: 11. Januar 2021

Hinweis
Sehr geehrte Damen und Herren, Sie nutzen leider eine Browser-Version, die nicht länger vom Bundesgesundheitsministerium unterstützt wird. Um das Angebot und alle Funktionen in vollem Umpfang nutzen zu können, aktualisieren Sie bitte ihren Browser auf die letzte Version von Chrome, Firefox, Safari oder Edge. Aus Sicherheitsgründen wird der Internet Explorer nicht unterstützt.