Medical Centre Employee Centered Information Security Awareness (MedISA)

Motivation

Laut Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nehmen digitale Angriffe und Cyberkriminalität im digitalen Zeitalter rapide zu. Auch Einrichtungen der medizinischen Versorgung sind immer wieder von Cyber-Sicherheitsvorfällen betroffen. Mögliche Folgen können u. a. das Ausspähen von sensiblen Daten und die Bedrohung der Patientenversorgung sein. Cyberkriminelle setzen dabei verstärkt auf Angriffe, die ein fahrlässiges Verhalten der Angestellten ausnutzen oder dieses provozieren. Beispielsweise erhalten Mitarbeitende gefälschte Emails, die Links enthalten, welche beim Anklicken unmittelbar Schadsoftware herunterladen. Deshalb muss insbesondere das Personal medizinischer Einrichtungen in IT-Sicherheitskonzepte miteinbezogen werden. Allerdings haben Mitarbeiterinnen und Mitarbeiter aus den Bereichen der Ärzteschaft, Pflege, Therapie und IT zu oft ein zu gering ausgeprägtes Informationssicherheitsbewusstsein (engl.: „Information Security Awareness“, ISA), fehlendes Wissen über Schadenspotentiale oder eine zu geringe Risikowahrnehmung. Um diesen Problemen entgegenzuwirken, werden in der Regel verpflichtende und regelmäßige IT-Sicherheitsschulungen angeboten, die für IT-Sicherheit sensibilisieren und eine Awareness schaffen. In bereichsspezifischen Sicherheitsvorgaben wird die regelmäßige Sensibilisierung aller Mitarbeiterinnen und Mitarbeiter von medizinischen Versorgungseinrichtungen sogar gefordert, da diese zu den kritischen Infrastrukturen zählen. Allerdings sind die Effekte der Schulungen häufig gering und nur zeitlich begrenzt. In dem Projekt MedISA sollen daher klare Handlungs- und Umsetzungsempfehlungen sowie Leitlinien erstellt werden, an denen sich medizinische Versorgungseinrichtungen orientieren, um das IT-Sicherheitsbewusstsein nachhaltig zu stärken und das Risiko von Cyberangriffen zu reduzieren.

Ziele und Vorgehen

Das Forschungsprojekt MedISA hat zum Ziel, neue Strategien für die Erhöhung des IT-Sicherheitsbewusstseins zu entwickeln. Um eine hohe Akzeptanz der Maßnahmen zu erreichen, sollen die Maßnahmen partizipativ mit dem Personal assoziierter Versorgungseinrichtungen entwickelt und ausgestaltet werden. Zudem sollen nicht nur gängige Maßnahmen, wie Präsenz- und Online-Schulungen zum Einsatz kommen, sondern insbesondere innovative Ansätze entwickelt werden. Dafür wird untersucht, wie die Verwendung sogenannter Nudges („Schubser“) in ISA-Maßnahmen einfließen kann, um im Arbeitsumfeld genutzt zu werden. In MedISA werden Nudges eingesetzt, um Mitarbeiterinnen und Mitarbeiter in eine bestimmte Richtung zu "schubsen": Wenn z.B. eine sicherheits- oder privatheitsrelevante Entscheidung getroffen werden muss, versucht ein "Schubser", die Handlung in einer Weise zu beeinflussen, die der Sicherheit und dem Datenschutz zugutekommt. Diese "Schubser" sollten in die IT- oder Kommunikationssysteme eingebaut werden, um IT-sicheres Verhalten wahrscheinlicher und potenziell riskantes Verhalten unwahrscheinlicher zu machen. Bei der privaten Nutzung von Medien haben sich Nudges bereits erfolgreich für einen sichereren und privatsphärefördernden Umgang mit IT-Systemen bewährt.

Perspektiven für die Praxis

Die Maßnahmen – und speziell auch die Nudges – sollen minimalinvasiv in die Arbeitsumgebung und den Arbeitsalltag der Pflegekräfte und Ärzteschaft integriert werden und so die ISA fortwährend schärfen. Dies soll den Schutz vor Cyber-Sicherheitsvorfällen in Einrichtungen der medizinischen Versorgung erhöhen. Von dieser erhöhten Sicherheit könnten u.a. auch Patientinnen und Patienten profitieren, durch eine verbesserte Versorgung und den sicheren Umgang mit ihren vertraulichen Daten.