3 Fragen an Prof. Dr. Thomas Jäschke
Prof. Dr. Thomas Jäschke ist Institutsleiter des ISDSG. Der Medizin- und Wirtschaftsinformatiker ist als externer Datenschutz- und Informationssicherheitsbeauftragter tätig und lehrt an der FOM Hochschule für Oekonomie & Management. Im Interview beantwortet er 3 Fragen über Hacker-Angriffe, Gefährdungspotenziale von gängigen Angriffsmethoden und wie sich Krankenhäuser schützen sollten gibt Empfehlungen zur Erhöhung der IT-Sicherheit.
Wie beurteilen Sie grundsätzlich Hacker-Angriffe auf Krankenhäuser?
Wir machen die Erfahrungen, dass es mehr Angriffe gibt, als wir denken. Das Gesundheitswesen ist, aufgrund der Arbeit mit besonderen personenbezogenen Daten, für Angreifer von großer Bedeutung. Hinzu kommt, dass das Gesundheitswesen ein vergleichsweise geringes Budget fürI T-Sicherheit hat. Zusätzlich ist das Berufsbild des Informationssicherheitsbeauftragten, im Vergleich zum Datenschutzbeauftragten, nicht gesetzlich vorgeschrieben. Die Summe dieser Felder erhöhen natürlich noch das Potenzial für Hacker-Angriffe.
Wie hoch ist das Gefährdungspotenzial durch Phishing-Mails?
Phishing-Mails gehören mit zu den gängigsten Angriffsmethoden und haben darüber hinaus noch eine relativ gute Erfolgsaussicht. Die Feinheiten dieser Angriffsmethode, wie Absenderadressen, die bekannten Personen, sehr nahe kommen und eine gut ausformulierte Sprache sind nur zwei der Punkte, die es immer schwieriger machen sie zu erkennen. Zudem muss man beachten, dass nicht nur die Techniken der Angreifer immer komplexer werden, sondern auch unsere eigenen Systeme mit denen wir jeden Tag arbeiten. So gibt es kaum noch Endanwender, die neben ihrer regulären Arbeit, über ein so umfangreiches IT-Know-how verfügen, dass Sie beurteilen könnten, welche schwerwiegenden Auswirkungen ein falscher Klick haben kann. Mit gut gemachten Phishing-Mails haben Angreifer eine gute Chance, dass irgendjemand den Anhang der Mail oder den aufgeführten Link ausführt – und das kann fatale Folgen haben.
Wie sollten sich Kliniken schützen?
Eine 100%iger Schutz ist nicht möglich. Dafür ist die Marktentwicklung zu schnelllebig. Aber insbesondere deshalb ist es von enormer Bedeutung, die eigene IT-Sicherheits-Struktur einer kritischen Prüfung zu unterziehen. Und das ist nicht nur Aufgabe der jeweiligen IT-Abteilungen, sondern ist auch eine Angelegenheit mit der die Geschäftsführung sich auseinander setzen sollte. Zum einen können die IT-Verantwortlichen nicht ohne die jeweiligen Mittel für eine Erhöhung des Sicherheitsniveaus sorgen. Dazu benötigen sie die Rückendeckung der Geschäftsführung. Zum anderen gilt es das Thema Awareness top-down in der Unternehmenskultur zu verankern. Hierzu gehört auch eine regelmäßige Aufklärung und Sensibilisierung aller Mitarbeiter zu diesem Thema.
