Förderung von Vorhaben zur Umsetzung von IT-Security–Awareness-Programmen in Einrichtungen der medizinischen Versorgung

Digitale Angriffe und Cyber-Kriminalität wie der Diebstahl von sensiblen digitalen Daten und Informationen, Sabotage von Informationssystemen oder Social Engineering verur-sachen jährlich einen erheblichen volkswirtschaftlichen Schaden im Milliardenbereich. Laut Lagebericht 2019 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nehmen die Angriffe in ihrem Umfang und ihrer Qualität dramatisch zu. Wie alle Institutionen, die einer digitalen Transformation unterliegen, sind auch Krankenhäuser und andere medizinische Einrichtungen wiederholt Betroffene von IT-Sicherheitsvorfällen, wie Datenverschlüsselung durch Ransomware. Die Folge kann eine Gefährdung sensibler Patientendaten sowie der Versorgung von Patientinnen und Patienten durch moderne digitale Technologien und Anwendungen sein und hat in der Vergangenheit bereits zu temporären Schließungen von Einrichtungen, wie Krankenhäusern geführt.

Einfallstor für Schadsoftware und Ausgangspunkt für IT-sicherheitsrelevante Vorfälle sind häufig der unsachgemäße Umgang mit IT-Infrastruktur und das zu gering ausgeprägte Sicherheitsbewusstsein (Security Awareness) von Mitarbeiterinnen und Mitarbeitern, fehlendes Fachwissen über etwaige Schadenspotenziale sowie eine geringe Risikowahrnehmung. Gezielte Angriffe von außen wie Social-Engineering-Angriffe zielen beispielsweise auf die Leichtgläubigkeit des Nutzenden ab und erfordern eine hohe Komplexität und Güte der Cyber-Sicherheitsmaßnahmen sowie einzuhaltender Sicherheitsvorschriften. Hierfür ist eine Stärkung der IT-Sicherheitskompetenz der Mitarbeiterinnen und Mitarbeiter notwendig. In dem vom BSI anerkannten branchenspezifischen Sicherheitsstandard „medizinische Versorgung“ wird dieser Forderung mit der Verpflichtung zu regelmäßigen IT-Sicherheitsschulungen zur Stärkung des Sicherheitsbewusstseins (Awareness) entsprochen.

Einerseits belegen Studien, dass bereits verhältnismäßig einfache Maßnahmen kurzfristig dazu beitragen, das Sicherheitsniveau eines Informationssystems erheblich zu steigern. Gleichzeitig wird die langfristige Wirkung von Maßnahmen zur Stärkung der IT-Sicherheitskompetenz bislang jedoch nicht systematisch erfasst. Ein Problem für eine langfristige Verhaltensänderung von Mitarbeiterinnen und Mitarbeitern besteht durch die sogenannte Security Fatigue, welche eine unzureichende Motivation des Personals bezüglich IT-Sicherheit beschreibt. IT-Security-Awareness-Maßnahmen können nur dann langfristig Erfolg haben, wenn es gelingt, Mitarbeiterinnen und Mitarbeiter für IT-Security-Awareness zu interessieren und eine Änderung in der Einstellung des Personals zu erreichen. Für die Beurteilung des Erfolgs von Maßnahmen sind die Effektivität, Effizienz und ihre Umsetzbarkeit im Einklang mit organisatorischen und infrastrukturellen Anforderungen sowie Arbeitsabläufen zu berücksichtigen.

Das Bundesministerium für Gesundheit (BMG) beabsichtigt daher, Projekte zu fördern, die für den Gesundheitsbereich geeignete Maßnahmen zur effizienten, effektiven und nachhaltigen Steigerung der IT-Security-Awareness identifizieren, modellhaft erproben und evaluieren.

Die Fördermaßnahme ist Teil der Umsetzung des Rahmenplans Ressortforschung des Bundesgesundheitsministeriums und adressiert das darin formulierten Handlungsfeld „Digitalisierung“.

Kontakt

Dr. Fabian Gondorf
Innovationen für die Krankheitsbekämpfung
Gesundheit
Tel.: +49 2228 3821 2466
E-Mail: Fabian.Gondorf@dlr.de

Dr. Mario Paterno
Epidemiologie, Versorgungsforschung
Gesundheit
Tel.: +49 228 3821 2377
E-Mail: Mario.Paterno@dlr.de