Aktuelles, Branche - geschrieben von dp am Sonntag, August 9, 2020 19:34 - noch keine Kommentare
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings
Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt
[datensicherheit.de, 09.08.2020] Phishing gehört offensichtlich zu den erfolgreichsten Cyber-Attacken. „Es ist schon länger bekannt, dass sich auch Cyber-Kriminelle an die aktuelle Situation angepasst haben und ihre Angriffe auf Unternehmen ständig verfeinern, um zu ihrem Ziel zu gelangen“, betont Tim Berghoff, „Security Evangelist“ bei G DATA, in seiner aktuellen Stellungnahme. Laut einer kürzlich veröffentlichten Meldung von Interpol sähen sich nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt. Diese basierten oft auf einem Mangel an Informationen und einem gesteigerten Informationsbedarf in Bezug auf Themen rund um die „Corona“-Thematik. Dem entgegen stehe das zu Beginn der Krise von einigen Hacker-Gruppen gegebene Versprechen, während der „Pandemie“ explizit keine Krankenhäuser anzugreifen.
Tim Berghoff: Viele Vorfälle, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangt…
Kritischen Infrastruktur im Visier: Opfer von Ransomware- und Phishing-Kampagnen
Angriffe dieser Art indes seien nicht neu: „Schon häufiger waren Organisationen, die zur Kritischen Infrastruktur gehören, Opfer von Ransomware- und Phishing-Kampagnen.“
So habe es Anfang 2016 der erfolgreiche Ransomware-Angriff auf das Lukas-Krankenhaus in Neuss zu großer medialer Aufmerksamkeit gebracht, in dessen Folge dessen Arbeitsabläufe in vielen Bereichen behindert worden seien. „Es dürften viele weitere Fälle dieser Art existieren, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangte“, so Berghoff.
Phishing und andere Cyber-Angriffe: Nur eine Frage der Zeit
Daher empfiehlt er: „IT-Verantwortliche im Health-Sektor sollten die derzeitige Bedrohungslage vor Augen haben und Gegenmaßnahmen ergreifen.“ Hierunter fällt demnach etwa eine effektive Antivirus-Software, die es zu jeder Zeit auf dem aktuellsten Stand zu halten gelte. „Auch Lösungen zum E-Mail-Schutz, die eingehende Mails auf verdächtige, beziehungsweise schädliche Anhänge und Links untersuchen, stellten sich bereits in der Vergangenheit als wichtige Komponente für die IT-Sicherheit dar.“
Zwar habe sich hierbei schon eine Menge getan, aber ein Aspekt, der oft genug vernachlässigt werde, sei, „dass die Frage nicht lautet, ob es einen erfolgreichen Angriff geben wird, sondern wann das passieren wird“. Oberstes Ziel sei nicht die Verhinderung von Angriffen mit aller Macht, sondern die Erhaltung der eigenen Handlungsfähigkeit im Falle eines erfolgreichen Angriffs, unterstreicht Berghoff.
Mitarbeiter über E-Mail-Anhänge und Phishing-Webseiten aufklären!
Der wichtigste Faktor allerdings, den es bei der Stärkung der IT-Sicherheit zu beachten gelte, sei der Mitarbeiter. Rein technische Lösungen hätten naturgemäß dort ihre Grenzen, „wo es um menschliche Verhaltensweisen des Mitarbeiters geht“:
Ist dieser ausreichend geschult und über die Gefahren schadhafter E-Mail-Anhänge und Phishing-Webseiten aufgeklärt, könnten viele Sicherheitsvorfälle schon im Ansatz verhindert werden. Es gelte, ein Bewusstsein für die potenziellen Folgen unbedachter Klicks oder Eingaben zu schaffen, ohne Mitarbeiter dabei einzuschüchtern.
Phishing rechtzeitig erkennen: Wissen um sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen!
Einen ersten Schritt könnten etwa Leitfäden darstellen, welche „die gängigsten Angriffsformate beschreiben und Tipps geben, wie man unseriöse Webseiten und Mails erkennt“. Den zweiten Schritt sollten „Security Awareness Trainings“ bilden, welche „das Wissen um den sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen“.
Darüber hinaus schulten einige Awareness-Anbieter Mitarbeiter in anderen wichtigen Praktiken, welche nicht nur die Sicherheit des Unternehmens gewährleisteten, sondern auch den reibungslosen Betrieb. Berghoff: „Hierunter fällt etwa die Durchführung regelmäßiger Backups, um bei Datenverlusten schnell wieder die Arbeit aufnehmen zu können.“
Ausführliche Schulung der Mitarbeiter senkt Gefahrenpotenzial von Phishing- und anderen Cyber-Angriffen
Der Aufbau einer „Security Awareness“ dürfe kein einmaliges Ereignis sein, vielmehr handele es sich um einen kontinuierlichen Prozess. Verantwortliche sollten sich deshalb für einen Anbieter entscheiden, „der nicht nur Tagesschulungen, sondern Online-Kurse mit Sofort-Feedback bereithält“.
Berghoffs Fazit: „Sind Mitarbeiter im Gesundheitswesen erst einmal ausführlich geschult, stellen auch immer raffiniertere Cyber-Angriffe eine geringere Gefahr dar und der Betrieb kann sich auch in schwierigen Zeiten seinem eigentlichen Ziel widmen – dem Wohl des Patienten.“
Weitere Informationen zum Thema:
datensicherheit.de, 16.04.2020
Cyber-Protection: Krankenhäuser müssen ihre IT schützen / Massive Sicherheitslücken dominieren die IT-Infrastruktur im Gesundheitssektor
datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden
datensicherheit.de, 24.02.2020
BlueKeep: Schwachstelle bereitet Krankenhäusern Ungemach / Im Mai 2019 stellten Sicherheitsforscher fest, dass sie „aktiv ausgenutzt“ wird
datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser / Jochen Koehler kommentiert jüngsten Vorfall in Rheinland-Pfalz und im Saarland
datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage
datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein
datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln / Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln
datensicherheit.de, 09.03.2019
Sicherheitslücken: Ultraschallgeräte als Einfallstore in Krankenhäusern / Verlust und zur Weitergabe personenbezogener Daten drohen
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren