Verbesserung der Cybersicherheitsschulung für medizinisches Personal
Mitarbeiter in vielen Branchen sind mit einer Art jährlicher Schulung zur Cybersicherheit in ihren Unternehmen vertraut, die vom Ansehen von Informationsvideos bis zur Teilnahme an simulierten Phishing-Versuchen reicht.
In stark regulierten Branchen wie dem Finanz- oder Gesundheitswesen können diese Schulungen zwar einen wichtigen Beitrag zur Einhaltung der Vorschriften leisten. Die tatsächliche Erhöhung der Sicherheit des Unternehmens ist jedoch ein anderes Thema.
„Mittlerweile ist man sich darüber im Klaren, dass Sicherheit und Compliance auf Benutzerebene nicht dasselbe sind“, sagt Ryan Witt, Vice President für Branchenlösungen bei Proofpoint . „Beim Schutz von Daten und Institutionen sind Sicherheit und Compliance zwei unterschiedliche Disziplinen.“
Da Gesundheitsorganisationen weiterhin von böswilligen Akteuren ins Visier genommen werden, werden rollenbasierte Cybersicherheitsschulungen für Mitarbeiter – ob im Patientenkontakt oder im Backoffice – immer wichtiger. Rollenspezifische Schulungen können Teammitgliedern helfen, ein besseres Gespür für Wachsamkeit und Kontrolle zu entwickeln, was die Sicherheitslage einer Organisation deutlich verbessert.
Klicken Sie auf das Banner unten, um den aktuellen CDW Cybersecurity Research Report zu lesen.
Einem Proofpoint-Bericht aus dem Jahr 2024 zufolge gaben 71 % der Arbeitnehmer zu, sicherheitsgefährdende Handlungen begangen zu haben , beispielsweise das Anklicken von Links unbekannter Absender oder die Weitergabe von Anmeldeinformationen an eine unbestätigte Quelle.
Warum also nicht einfach den Mitarbeitern sagen, dass sie riskante Handlungen reduzieren sollen? Wahrscheinlich müssen sie solche Risiken im Rahmen ihrer Arbeit eingehen, etwa beim Herunterladen von Lebensläufen für die Personalabteilung, beim Überprüfen von Anmeldeinformationen beim IT-Helpdesk oder beim Zugriff auf medizinische Daten als Forscher.
„Sie machen nichts Falsches“, erklärt Witt. „Aber diese Schulungen müssen sie unterstützen, damit sie ihre Aufgaben erfüllen und trotzdem Sicherheitsvorkehrungen treffen können. Schließlich sind sie diejenigen, die den Löwenanteil der Angriffe abbekommen.“
Ihre Rollen sind außerhalb der Organisation möglicherweise nicht sehr bekannt, aber sie arbeiten möglicherweise auf heikle Weise oder haben Zugriff auf verkäufliche Daten, die sie als Zielpersonen attraktiv machen.
„Wenn Sie eine Gesundheitseinrichtung sind und in Ihrer Organisation irgendeine Art von Forschungskomponente betreiben, sind Sie exponentiell häufiger Angriffen ausgesetzt“, sagt Witt. „Wir haben eindrucksvolle Beispiele dafür gesehen, wie insbesondere staatliche Akteure versuchen, Zugang zu wertvollen Daten zu erhalten, die sie monetarisieren können.“
Unternehmen sollten insbesondere den Helpdesk individuell schulen, da dieser häufiger von böswilligen Akteuren angegriffen wird, fügt Witt hinzu. Häufig erhält der Helpdesk Anfragen zum Zurücksetzen der Authentifizierungsmethoden, beispielsweise weil jemand ein neues Telefon kauft. Wie kann der Helpdesk-Mitarbeiter überprüfen, ob es sich um eine legitime Anfrage aus dem Unternehmen handelt?
„Sie wollen unbedingt helfen, und das ist eine Eigenschaft, die man wirklich als Teil seines Teams sehen möchte, aber ein Bedrohungsakteur kann genau das ausnutzen“, sagt Witt.
Stellen Sie sich beispielsweise einen Helpdesk-Mitarbeiter vor, der die Aufforderung erhält, das Passwort einer Person zu ändern, die behauptet, Onkologe in der Notaufnahme eines Krankenhauses zu sein. Dieser Helpdesk-Mitarbeiter sollte vorsichtig sein, da Onkologen in der Regel nicht in der Notaufnahme arbeiten.
„Dieses Ausbildungsniveau – auf Branchenebene und auf Rollenebene – versuchen wir nun in unseren eigenen Lehrplan zu integrieren“, so Witt. „Jemand, der schon lange in einer Gesundheitsorganisation arbeitet, kann diese Verbindung vielleicht herstellen, aber wie sieht es mit jemandem aus, der neu am Helpdesk oder im Krankenhaus ist? Das muss also Teil der Schulung sein .“
Rollenbasierte Sicherheitsschulungen sollten auch Personen mit öffentlichem Status oder sichtbarem Profil einschließen, wie etwa einen namhaften Orthopäden oder einen Arzt, der häufig in den Medien auftritt.
„Die Kriminellen haben erkannt, dass nicht jede E-Mail-Adresse und jede Person innerhalb einer Organisation gleich behandelt wird oder das gleiche Maß an Anfälligkeit aufweist“, fügt Witt hinzu. „Es gibt bestimmte Personen innerhalb dieser Organisationen und Abteilungen, die ein exponentiell höheres Risiko aufweisen.“
Ryan Witt Vizepräsident für Branchenlösungen, Proofpoint
Anstatt ein umfangreiches jährliches Schulungsmodul zu erstellen, das die Mitarbeiter wahrscheinlich bis zur letzten Minute aufschieben, schlägt Witt vor, häufiger kürzere Schulungen einzuplanen.
„Wir beobachten eine starke Entwicklung hin zu diesen kurzen Trainingseinheiten“, sagt er. „Manchmal finden sie sogar in Echtzeit statt und beziehen sich auf ein aktuelles Cyber-Ereignis. Sie dienen als schnelle Auffrischung und machen die Lektionen deutlich relevanter und leichter umsetzbar.“
Da der Einsatz generativer künstlicher Intelligenz und anderer KI-gestützter Strategien immer alltäglicher wird, müssen auch rollenbasierte Sicherheitsschulungen weiterentwickelt werden, damit die Mitarbeiter bessere Vorkehrungen treffen können.
Deepfake-Videos sind eine Taktik, die Betrüger in letzter Zeit bei ihren Phishing-Versuchen eingesetzt haben . Witt sagt jedoch, er interessiere sich mehr für „Shallowfakes“, also Inhalte, die minimal verändert wurden, damit ein Benutzer denken könnte, das Gesagte sei nicht völlig fehl am Platz oder unpassend.
ZUGEHÖRIG: Maßgeschneiderte SOC-Schulungen verbessern Cyber-Fähigkeiten und ermöglichen so Wachstum.
„Sie erfordern möglicherweise eine eingehendere Betrachtung und Analyse, und es kann notwendig sein, Sandbox-Technologie einzusetzen, um allen eine kleine Pause zu verschaffen und zu sagen: ‚Lasst uns das etwas genauer untersuchen‘“, sagt er.
Trotz des rasanten technologischen Wandels bleibt der Mensch ein entscheidender Faktor für die Cybersicherheit. Das Ausnutzen von Zero-Day-Schwachstellen erfordert ein gewisses Maß an technischem Geschick. Daher ist es für eine cyberkriminelle Organisation viel einfacher, einen ihrer Angreifer mit minimalem Aufwand für einen Phishing-Versuch gegen einen ahnungslosen Mitarbeiter zu bewaffnen.
„Ziel sind Menschen, und deshalb ist man sich in der Branche darüber im Klaren, dass die Schulungen angepasst werden müssen, um diese Risiken zu mindern“, sagt Witt.
Für Gesundheitsorganisationen unterstützt eine verbesserte Cybersicherheitsschulung die effektive Gesundheitsversorgung und beugt Patientenschäden vor. In der Vergangenheit war dies nicht immer der Fall, und es herrschte die Auffassung, dass sich das Erlernen von Sicherheitstools und die Durchführung von Schulungen negativ auf die Arbeitsabläufe auswirkten. Diese Skepsis mag zwar noch bestehen, aber zumindest zeichnet sich ein Kulturwandel ab.
„Ich habe eine völlige Metamorphose erlebt“, sagt Witt. „Wenn Ihre Einrichtung nicht über die richtige Sicherheitslage verfügt und Sie über einen bestimmten Zeitraum keine Patientenversorgung gewährleisten können, werden Sie Ihrer Mission nicht gerecht.“
healthtechmagazine
