Managed Security

Die Human Firewall im Krankenhaus stärken

09. März 2023

Managed User Awareness für Krankenhäuser

Phishing-Anfälligkeit mit einer starken Sicherheitskultur und Security-Awareness kontinuierlich senken

Krankenhauspersonal ist für Angreifer besonders interessant, da häufig unter Zeitdruck und weniger sensibilisiert für Phishing und Social Engineering. Besteht in einigen Bereichen außerdem Mitarbeiterfluktuation, so kann eine IT-Abteilung mit den Security-Awareness-Schulungen nicht hinterher kommen und den Phishing-Schutz regelmäßig erneuern. Dabei reicht eine kleine Unaufmerksamkeit, ein Klick in einer Phishing-Mail, ein ergattertes Passwort, um Patientendaten zu exfiltrieren oder mittels Ransomware Daten zu verschlüsseln und das Krankenhaus erpressbar zu machen. Die Schäden und Folgen können für den Datenschutz, die Verfügbarkeit der medizinischen Daten und die Patientensicherheit verheerend sein.

Es heißt nicht zufällig im #B3S Standard (Kapitel 5.3) dazu:

„Alle Mitarbeiter MÜSSEN regelmäßig zur aktiven Umsetzung und Notwendigkeit der Informationssicherheit sensibilisiert und geschult werden“

Dabei lassen sich im B3S mindestens 8 von 14 Bedrohungsszenarien mit dem Faktor Mensch in Verbindung bringen, wie z.B.:

BED 8 Schadprogramme / Ransom-Ware
BED 11 Social Engineering
BED 12 Identitätsmissbrauch (Phishing, Skimming, Zertifikatsfälschung)
BED 14 E-Mail-Account-Übernahme / Spamming

Während sporadische Security Trainings bereits nach kurzer Zeit ihre Wirkung verlieren, ist Managed User Awareness ein dauerhaft begleitetes Konzept, das mit spezifischen Kampagnen für dauerhaftes Sicherheitsbewusstsein sorgt. So kann die IT-Abteilung proaktiv Phishing verhindern. Es kombiniert die Krankenhausexpertise von März mit einer marktführenden Softwarelösung für Phishing-Kampagnen und Trainingsinhalte. Die Security-Awareness-Experten von März setzen in Abstimmung mit der IT-Abteilung spezifische E-Mail-Kampagnen auf, messen die „Phishing-Anfälligkeit“, besprechen Maßnahmen und Schulungspläne. Periodisch werden die Konzepte angepasst, die Schulungen verfeinert und so eine belastbare Sicherheitskultur aufgebaut, die das Krankenhaus mit dem stärksten Schutz ausstattet: Der aufmerksame Mensch, die Human Firewall.

Planung und Einrichtung

Um Benutzergruppen und Schulungsprofile für das Security Awareness Training einzurichten, müssen zunächst die Softwareplattform und die administrativen Zugänge konfiguriert werden. Danach können die Benutzer importiert werden, um die Kampagnen zu starten. Vor Beginn ist es sinnvoll, ein internes Kick-Off zu veranstalten, um alle Beteiligten auf den Prozess und die Effekte der Kampagnen vorzubereiten.

Phishing-Simulation und Training

Die riesige Sammlung an Standardkampagnen für das Phishing wird mit passenden Landingpages ausgeliefert. Das Training kann in bis zu 189 Modulen und 150 Micro Modulen absolviert werden und umfasst auch bis zu 500 Infografiken, Newsletter und aktuelle Informationen. Mit dem Phish-Alert-Button für z.B. Microsoft Outlook können Nutzer aktiv verdächtige E-Mails melden. Die Softwarelösung unterstützt die SSO/SAML-Integration und bietet einen Virtual Risk Officer mit aktivem Vorschlagswesen. Erweiterte Reports können auch für KRITIS-Berichte genutzt werden.

Betrieb und dauerhafte Betreuung

Regelmäßige Auswertungen und Berichte werden quartalsweise umgesetzt und vorgestellt, um den Fortschritt und die Wirksamkeit der Security-Awareness-Kampagnen zu beurteilen. Es gibt die Möglichkeit, bis zu 4 Kampagnen pro Jahr ohne spezifische Zielgruppe durchzuführen. Es gibt auch die Option, bis zu 2 Kampagnen pro Jahr mit spezifischer Zielgruppe durchzuführen, das heißt, Kampagnen, die sich an eine bestimmte Gruppe von Mitarbeitern richten, zum Beispiel an bestimmte Abteilungen und Rollen. Diese Art von Kampagnen kann besonders sinnvoll sein, wenn es um organisationsspezifische Bedrohungen geht.