Sichere IT in Kliniken

Von den Patientenakten bis zu den Geräten für die Diagnose: Die Versorgung in den Krankenhäusern basiert auf dem Einsatz von Informationstechnologie. Auf die miteinander vernetzten Systeme greifen viele unterschiedliche Nutzerinnen und Nutzer aus den Bereichen Ärzteschaft, Pflege, Therapie oder IT zu. Doch laut des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nehmen digitale Angriffe und Cyberkriminalität zu und auch Einrichtungen der medizinischen Versorgung sind immer wieder von Cyber-Sicherheitsvorfällen betroffen. Mögliche Folgen: das Ausspähen von Daten und die Bedrohung der Patientenversorgung. Hier setzt das neue Forschungsprojekt MedISA (Medical Centre Employee Centered Information Security Awareness) der Hochschule Bonn-Rhein-Sieg (H-BRS) an, das Strategien entwickeln will, um Beschäftigte in medizinischen Versorgungseinrichtungen für IT-Sicherheit und Datenschutz zu sensibilisieren.

Kliniken zählen zu den sogenannten Kritischen Infrastrukturen, deren störungsfreies Funktionieren für die Gesellschaft unverzichtbar ist. Deshalb gibt es dort Sicherheitsstandards, um Bedrohungen aus dem Cyberraum vorzubeugen. In der Praxis ist jedoch bisweilen ein unsachgemäßes Umgang mit der IT-Infrastruktur und ein zu gering ausgeprägtes Informationssicherheitsbewusstsein der Nutzer:innen ein Problem. Zwar sind regelmäßige Schulungen für die Beschäftigten vorgeschrieben – doch welche Methoden praktikabel und am nachhaltigsten sind, ist bislang wissenschaftlich kaum untersucht. Das soll mit MedISA geändert werden. „Die regelmäßige Sensibilisierung und passgenaue Schulung aller Beteiligten ist eine Riesenherausforderung“, sagt Prof. Dr. Luigi Lo Iacono vom Institut für Cyber Security & Privacy (ICSP), der das Projekt an der H-BRS leitet.

Schulungen erfolgen bislang in den Einrichtungen individuell. Präsenzveranstaltungen zum Beispiel seien effektiv, aber schwer umzusetzen, wenn Tausende Mitarbeiterinnen und Mitarbeiter sie durchlaufen müssten, so Lo Iacono. Webbasierte Trainings und Videos wirkten kaum nach. Im Forschungsprojekt MedISA wollen die Forscher:innen nun gemeinsam mit den Universitätskliniken Aachen und Düsseldorf in Workshops passgenaue Maßnahmen entwickeln, um Beschäftigte in Kliniken, Krankenhäusern, Ärzteverbünden oder Gemeinschaftspraxen effektiv für IT-Sicherheit und Datenschutz zu sensibilisieren. Der Ansatz soll hier das sogenannte „Nudging“ sein. Übersetzt bedeutet das so viel wie „anstupsen mit dem Ellbogen“. Fragen wie „muss ich diese Anlage jetzt anklicken?“ oder „muss ich dieses Passwort wirklich herausgeben?“ sollen ganz selbstverständlich in die Arbeitsabläufe integriert werden. Die besten Methoden, um dieses Ziel zu erreichen, sollen nun erarbeitet werden. „Am Ende des Projektes wollen wir einen Maßnahmenkatalog herausgeben“, sagt Lo Iacono.

Das Projekt wird vom Bundesministerium für Gesundheit über drei Jahre mit rund 450.000 Euro gefördert. Assoziierte Partner sind die Universitätskliniken Aachen und Düsseldorf. Weitere medizinische Versorgungseinrichtungen, die an einer Mitarbeit interessiert sind, können sich noch melden.

Zurück