Cloud-Vorteile nutzen

Die personenbezogenen Daten, etwa von Pflegebedürftigen, sind besonders schützenswert und dürfen keinesfalls an die Öffentlichkeit gelangen. Gerade deshalb haben es manche Cyberkriminelle auch auf Pflegeeinrichtungen oder andere soziale Organisationen abgesehen. Um das Risiko eines Cyberangriffs und dessen potenziell gravierende Folgen zu minimieren, sollten sich soziale Einrichtungen auf den Ernstfall vorbereiten. Präventive Maßnahmen umfassen verschiedene Strategien, die darauf abzielen, das Risiko eines Angriffs so gering wie möglich zu halten. Sollte es trotz aller Vorsichtsmaßnahmen zu einem Cyberangriff kommen, können die Auswirkungen durch eine gut strukturierte und schnell umgesetzte Reaktion erheblich minimiert werden.

Prävention beginnt bei Mitarbeitenden

Ein zentraler Aspekt der Prävention besteht darin, die Mitarbeitenden umfassend zu sensibilisieren. Dies kann durch gezielte Schulungsprogramme und regelmäßige Informationskampagnen erreicht werden, die das Bewusstsein für potenzielle Cyberbedrohungen schärfen. Darüber hinaus sind simulierte Angriffe, wie Phishing-Tests, ein effektives Mittel, um die Reaktionsfähigkeit der Mitarbeitenden zu testen und zu verbessern. Solche Maßnahmen tragen nicht nur dazu bei, das Bewusstsein zu stärken, sondern fördern auch eine Kultur der Wachsamkeit und Verantwortlichkeit im Umgang mit sensiblen Daten. Zudem sollte auf Schuldzuweisungen verzichtet werden, so dass im Falle eines Fehlers nicht der verursachende Mitarbeitende belangt wird, sondern vielmehr alle Mitarbeitenden durch das Learning sensibilisiert werden.

Cloud-Lösungen bieten ­häufig besseren Datenschutz

Aufgrund der Datensicherheit entscheiden sich viele Organisationen für die Auslagerung von Software in die Cloud. Denn bei Cloud-Software werden wichtige Updates automatisch vom Softwarehersteller eingespielt. Der einzelne Kunde, die einzelne Pflegeeinrichtung oder der einzelne Einrichtungsträger muss sich selbst nicht um die Durchführung von Sicherheits­updates kümmern. Bei der Nutzung von Cloud-Software ist außerdem zu beachten, dass diese in der Regel nicht so umfangreich angepasst werden kann wie Software, die selbst betrieben wird. In Projekten wird dies häufig als Chance wahrgenommen, sich an bestehenden Standards zu orientieren und individuelle Anpassungen zu vermeiden.

Bei der Auswahl des Software-Anbieters ist entscheidend, dass der Hersteller mit einem zertifizierten Cloud-Anbieter mit hohen Sicherheitsstandards zusammenarbeitet. Sollte es zu einem Angriff auf die eigene Einrichtung kommen, können zwar die lokalen Computer kompromittiert oder gar verschlüsselt und gesperrt werden, die eigentlichen Daten aber bleiben weiterhin in der Cloud gespeichert und von anderen Geräten aus zugänglich. Diese Maßnahme minimiert das Risiko eines Datenverlusts und reduziert - im Falle eines Angriffs - die Zeit, wieder in einen Normal­betrieb überzugehen.

Wenn Sie als Wohlfahrtsverband keine Cloud-Strategie fokussieren und die Systeme auf eigenen Geräten "on-premises" betreiben, ist es wichtig, alle Systeme kontinuierlich zu aktualisieren und auf dem neuesten Stand zu halten. Dazu gehört auch, regelmäßig eine Datensicherung durchzuführen und die Wiederherstellungsprozesse zu überprüfen.

Prävention heißt auch: auf den schlimmsten Fall vorbereiten

Ein weiterer wichtiger Schritt, um Patienten- oder Klientendaten zu schützen, ist die umfassende Vorbereitung auf den Ernstfall. Interne Notfallübungen, an denen alle relevanten Beteiligten wie die Geschäftsführung, die IT-Abteilung und die Kommunikationsabteilung teilnehmen, bilden dafür die Grundlage. Diese Übungen sollten regelmäßig durchgeführt werden, um sicherzustellen, dass alle Beteiligten ihre Rollen und Verantwortlichkeiten genau kennen. Dabei sollten zentrale Fragen geklärt werden, zum Beispiel: Wo treffen wir uns im Krisenfall? Wie können wir im Notfall sicher untereinander und mit unseren externen Partnern kommunizieren? Wer übernimmt die Rolle der Krisenstabsleitung? Wer ist für die Kommunikation nach außen verantwortlich? Wer hat die Befugnis, Entscheidungen zu treffen? Zusätzlich sollten Szenarien durchgespielt werden, die verschiedene Arten von Cyberangriffen simulieren. Durch diese proaktiven Maßnahmen wird die Organisation besser auf mögliche Bedrohungen vorbereitet und kann im Ernstfall schneller und effektiver reagieren.

Eine sorgfältig ausgearbeitete Kommunikationsstrategie ist von entscheidender Bedeutung. Es ist wichtig, sowohl interne als auch externe Kommunikationswege im Voraus festzulegen und vorzubereiten, um im Ernstfall eine schnelle und effiziente Kommunikation zu gewährleisten. Intern sollten Vorgehensweisen und Verantwortlichkeiten definiert werden, damit alle Mitarbeitenden wissen, an wen welche Informationen auf welchem Weg weitergegeben werden sollen. Auch für die externe Kommunikation braucht es vorbereitete Pläne, um schnell und transparent mit Angehörigen kommunizieren zu können. Schließlich müssen auch die Aufsichtsbehörden möglichst innerhalb von 72 Stunden informiert werden.

Reaktive Maßnahmen nach einem Cyberangriff

Trotz aller Vorsichtsmaßnahmen kann ein Cyber­angriff nicht immer verhindert werden. In einem solchen Fall ist es entscheidend, schnell und koordiniert zu reagieren, um den Schaden so gering wie möglich zu halten. Deshalb sollten sich soziale Organisationen das geplante Vorgehen gut einüben.

◆    Systeme ausschalten und Netzwerk isolieren: Im Falle eines Cyberangriffs muss vor allem schnell gehandelt werden, um den Schaden zu begrenzen. Betroffene Systeme sollten unverzüglich hart ausgeschaltet werden, um den Angriff zu stoppen. Gleichzeitig muss das Netzwerk isoliert werden, um eine weitere Verbreitung des Schadens zu verhindern. Durch das schnelle Ausschalten der betroffenen Systeme und die Isolation des Netzwerks kann verhindert werden, dass der Angriff auf andere Bereiche der IT-Infrastruktur übergreift und größeren Schaden anrichtet.

◆    Externe Fachleute hinzuziehen: Unverzüglich müssen (externe) Fachleute hinzugezogen werden, um eine umfassende Bewertung des Schadens vorzunehmen. Die Expert:innen können den Umfang des Schadens einschätzen und die Ursache des Angriffs ermitteln. Dabei sollten verschiedene Fragen geklärt werden, wie zum Beispiel: Was war der Auslöser? Wie groß ist der Schaden tatsächlich?

◆    Krisenstab informieren und Entscheidungen treffen: Es ist entscheidend, dass der zuvor festgelegte Personenkreis unverzüglich informiert und zusammengebracht wird, um die notwendigen Entscheidungen zu treffen und die erforderlichen Maßnahmen zu koordinieren. Dieser Krisenstab sollte sofort aktiviert werden, um eine schnelle und effektive Reaktion zu gewährleisten.

◆    Datenschutzbehörde informieren: Verantwortliche (beispielsweise Unternehmen und Behörden) müssen laut DSGVO Verletzungen des Schutzes personenbezogener Daten, von denen mehr als nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht, der zuständigen Aufsichtsbehörde unverzüglich melden – möglichst binnen 72 Stunden.

◆    Kommunikation auslösen: Die vorbereitete Kommunikationsstrategie sollte nun aktiviert werden, um intern und extern über den Vorfall zu informieren. Eine klare und transparente Kommunikation hilft, das Vertrauen der Betroffenen zu erhalten und Missverständnisse zu vermeiden.

Durch die Kombination von proaktiven und reaktiven Maßnahmen können Verbände das Risiko eines Cyberangriffs erheblich reduzieren und im Ernstfall schnell und effektiv reagieren. Dies schützt nicht nur die sensi­blen Daten, sondern auch das Vertrauen der Klienten und Mitarbeitenden.

Praxistipp

Mitarbeitende online weiterbilden

Um die Schulung der Mitarbeitenden effizient zu gestalten und sicherzustellen, dass die Inhalte der IT-Sicherheitsschulung jederzeit aktuell und überall abrufbereit sind, kann eine sogenannte Online-Akademie eingeführt werden. Eine solche Plattform ermöglicht es den Mitarbeitenden, flexibel und unabhängig von Zeit und Ort auf die Schulungen zuzugreifen. Darüber hinaus können die Schulungsinhalte durch regelmäßige Updates stets aktuell gehalten werden.