IT-Sicherheit

Im digitalen Arbeitsalltag lauern zahlreiche Gefahren: Schadsoftware, Datenverluste oder Phishing-Mails können den Betrieb empfindlich stören und sensible Informationen gefährden. IT-Sicherheit geht dabei weit über Technik hinaus: Sie beginnt beim sicheren Passwort und reicht bis zum bewussten Umgang mit mobilen Geräten, E-Mails oder Internetdiensten. Dieses IT-Sicherheitstraining sensibilisiert für Risiken, stärkt die Handlungssicherheit und schützt Patientendaten, Systeme und Mitarbeitende gleichermaßen.

Nach diesem Kapitel ist dir bekannt:

• Warum IT-Sicherheitstrainings in Gesundheitseinrichtungen unverzichtbar sind
• Welche digitalen Bedrohungen auftreten können – von Computerviren über Phishing bis zu Ransomware
• Wie sichere Passwörter aufgebaut sind und welche Fehler es zu vermeiden gilt
• Welche Regeln beim Umgang mit dienstlichen E-Mails beachtet werden müssen
• Welche Risiken beim Surfen im Internet bestehen und wie man sich schützt
• Worauf es bei mobilen Geräten, auf Dienstreisen und im Homeoffice ankommt
• Wie im Fall eines IT-Sicherheitsvorfalls korrekt gehandelt wird und wer zu informieren ist

Cyberangriffe enden nicht im Rechenzentrum – sie reichen bis in das Behandlungszimmer und die Verwaltung und können auch jeden Mitarbeitenden schädigen. Es ist wichtig, sich den Gefahren bewusst zu sein und diese erkennen zu können.

• Schutz sensibler Daten: Vertrauliche Informationen wie Patienten-, Verwaltungs- oder Zugangsdaten bleiben geschützt
• Erkennen von Gefahren: Phishing-Mails, infizierte Anhänge oder gefälschte Webseiten lassen sich schneller erkennen und vermeiden
• Vermeiden von Schäden: Schon ein Klick kann Systeme lahmlegen
• Rechtssicherheit: Datenschutzgesetze und Sicherheitsvorgaben (z.B. DSGVO, IT-Sicherheitsgesetz) werden eher eingehalten
• Sicheres Verhalten im Ernstfall: Bei einem IT-Zwischenfall ist klar, welche Schritte zu tun sind, ohne Zeit zu verlieren
• Alltagsnahe Sensibilisierung: Auch vermeintlich harmlose Dinge (wie USB-Sticks oder private E-Mails) können ein Sicherheitsrisiko darstellen
• Stärkung der digitalen Verantwortung: IT-Sicherheit ist eine gemeinsame Aufgabe für alle Mitarbeitenden
• Betrieb aufrechterhalten: Ausfällen und Störungen kann vorgebeugt werden
• Schutz vor Erpressung und Reputationsverlust: Cyberangriffe können teuer werden und das Vertrauen dauerhaft schädigen

Bei IT-Sicherheit gilt: Ein Unternehmen ist nur so stark wie sein schwächstes Glied! Ein geknacktes Passwort oder ein unbedacht geöffneter infizierter Anhang reichen aus, um Millionenschäden zu verursachen! Schulungen helfen, Risiken frühzeitig zu erkennen!

Diese Bedrohungen können durch Unachtsamkeit auf Dienstcomputern und für IT-Systeme entstehen:

• Computervirus: Schädliches Programm, das sich selbst verbreitet und andere Dateien oder Systeme infizieren und beschädigen kann
• Wurm: Selbstständig agierende Schadsoftware, die sich über Netzwerke verbreitet
• Trojaner: Tarnen sich als nützliche Programme, schleusen aber Schadfunktionen ein
• Phishing: Betrugsversuche per E-Mail oder Website, bei denen Empfänger:innen bzw. Nutzer:innen zur Preisgabe sensibler Daten verleitet werden (z.B. Bankdaten, Zugangsdaten)
• Social Engineering: Menschen werden manipuliert, freiwillig vertrauliche Informationen preiszugeben (z.B. durch Vortäuschung von Autorität)
• Spyware: Überwacht heimlich das Benutzerverhalten, sammelt Daten wie Passwörter oder besuchte Webseiten
• Ransomware: Sperrt das System oder verschlüsselt Daten und verlangt Lösegeld für die Freigabe
• Keylogger: Protokollieren heimlich Tastatureingaben, um z.B. Passwörter oder PINs zu stehlen
• Rootkits: Verstecken Schadsoftware im System und machen sie für Antivirenprogramme schwer erkennbar
• Botnetze: Netzwerk aus infizierten Computern, das zentral gesteuert werden kann
• Drive-by-Downloads: Schadsoftware wird unbemerkt durch den Besuch infizierter Webseiten installiert, auch ohne Klick oder Download
• Zero-Day-Exploit: Ausnutzung bisher unbekannter Sicherheitslücken in Software oder Betriebssystemen
• Man-in-the-Middle-Angriff: Angreifer:in schleust sich unbemerkt in eine Kommunikation ein und liest oder manipuliert Daten
• Adware: Zeigt unerwünschte Werbung an und kann Daten ausspähen
• Fake-Software & Updates: Gefälschte Programme oder Updates, die Schadcode enthalten

Ob Dienstrechner, dienstliche E-Mail-Adresse oder Informationssystem der Einrichtung – es gibt viele digitale Plattformen, die geschützt werden müssen. Ein starker Schutz beginnt mit einem guten Passwort! Ein sicheres Passwort ist sozusagen die erste Verteidigungslinie gegen einen unerlaubten Zugriff auf Daten und Systeme.

Gründe für ein starkes Passwort

• Zugriffsschutz: Ein sicheres Passwort verhindert, dass Unbefugte vor Ort auf Konten und Daten zugreifen können
• Schutz vor Hackerangriffen: Schwache Passwörter lassen sich durch automatisierte Programme leicht aus der Ferne knacken
• Vermeiden von Folgeschäden: Ein geknacktes Passwort kann weitere Systeme, Konten und sogar die ganze Einrichtung gefährden
• Rechtliche Sicherheit: Starke Passwörter helfen dabei, gesetzliche Vorgaben zum Datenschutz einzuhalten
• Verantwortung im Berufsalltag: Besonders im pflegerischen oder medizinischen Bereich ist der Schutz vertraulicher Daten unerlässlich

Merkmale eines starken Passworts

• Länge: Mind. 12 Zeichen (je länger, desto sicherer)
• Komplexität: Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen (z.B. !, %, #, $)
• Unvorhersehbarkeit: Nicht zu erraten oder zu erahnen
• Einzigartigkeit: Eigenes Passwort für jeden Zugang (niemals dasselbe Passwort mehrfach verwenden)
• Keine Wiederholungen/Reihen: Keine Kombinationen wie „123456“ oder „abcdef“

Komplexe Passwörter ausdenken und dann auch noch im Hinterkopf behalten können? Ein individuell formulierter Satz kann dabei als Eselsbrücke helfen: Aus der Morgenroutine „Ich trinke morgens 2 Tassen Kaffee und esse 2 Scheiben Brot!“ wird das sichere Passwort „Itm2TKue2SB!“.

Häufige Fehler beim Umgang mit Passwörtern

• Wiederverwendung: Dasselbe Passwort für mehrere Konten erhöht das Risiko, dass mehrere persönliche Accounts auf einmal geöffnet werden können
• Zu einfache Passwörter: Passwörter wie „Passwort“ oder „Hallo123“ lassen sich in Sekunden knacken
• Persönliche Informationen: Namen, Geburtsdaten, Haustiere oder ähnliche Informationen sind leicht zu erraten oder auszuspähen (v.a. durch Social Media)
• Offene Aufbewahrung: Passwortnotizen am Monitor oder offen herumliegen zu lassen, ist nicht erlaubt
• Autovervollständigung im Browser: Diese Funktion speichert Passwörter oft ungeschützt und ermöglicht den Fremdzugriff auf alle gespeicherten Plattformen durch Dritte
• Keine regelmäßige Passwortänderung: Passwörter, die nie geändert werden, bleiben bei einem Leck über lange Zeit angreifbar
• Weitergabe von Passwörtern: Passwörter dürfen nie mit Kolleg:innen geteilt oder weitergegeben werden

Behandle deine Passwörter wie deine Unterwäsche: Wechsele sie häufig, lass sie nicht herumliegen und teile sie nicht!

E-Mails gehören in allen Gesundheitseinrichtungen zum Alltag. Sie sind praktisch und ermöglichen eine zeitnahe Kommunikation, bergen aber auch viele Risiken. Anhänge mit Computerviren, Phishing oder versehentlich verschickte diskrete Daten können große Schäden anrichten. Deshalb gilt beim Umgang mit dienstlichen E-Mails besondere Vorsicht!

• Dienstliche E-Mail-Adressen nutzen: Es sollte stets die offizielle E-Mail-Adresse der Einrichtung und niemals eine private verwendet werden
• Verschlüsselt versenden: Gesundheitsdaten oder andere vertrauliche Informationen dürfen nur über sichere und ggf. verschlüsselte E-Mail-Verbindungen gesendet werden
• Empfänger:in prüfen: Vor dem Absenden sollte genau kontrolliert werden, ob die E-Mail an die richtige Person versendet wird (besonders bei ähnlichen Namen oder mehreren Empfänger:innen)
• Dateianhänge mit Vorsicht öffnen: Unbekannte oder unerwartete Anhänge können Schadsoftware enthalten
• Keine unbekannten Links anklicken: Phishing-Mails täuschen bekannte Absender:innen vor, um an Zugangsdaten zu kommen
• Signatur und Absender:in prüfen: Bei seltsamen Nachrichten kann ein Blick in die E-Mail-Adresse oder fehlende Signaturen Hinweise auf einen Betrugsversuch geben
• Spam und Phishing melden: Verdächtige E-Mails sollten bei der zuständigen IT-Abteilung gemeldet werden
• Postfach regelmäßig aufräumen: Veraltete oder unnötige E-Mails mit sensiblen Inhalten sollten gelöscht oder sicher archiviert werden
• Automatische Weiterleitungen vermeiden: E-Mails sollten nicht ungeprüft weitergeleitet werden, insb. nicht an private Adressen oder Adressen außerhalb der Einrichtung

Wie erkennt man eine Phishing-Mail?

• Sind Absender- und/oder Firmennamen richtig geschrieben?
• Fallen Rechtschreibfehler auf?
• Ist die Nachricht mit einer Dringlichkeit formuliert?
• Wird man zu einer Aktion aufgefordert, die potenziell eine Sicherheitsgefahr ist?
• Ist es wahrscheinlich, dass man von der Person in dieser Form darum gebeten werden könnte?

Was tun bei Verdacht auf Phishing?

• Absender:in verifizieren: Absender:in über einen alternativen Weg (z.B. Telefon) kontaktieren und Versand der E-Mail bestätigen lassen
• E-Mail an IT melden: IT-Mitarbeiter:innen und Admins können eine digitale Gefahr am besten einschätzen und entsprechend reagieren

Ob für eine schnelle Recherche, Fortbildung oder einen E-Mail-Zugriff über den Browser: Das Internet ist ein fester Bestandteil des Arbeitsalltags. Gleichzeitig birgt der unbedachte Umgang mit Webseiten oder sozialen Netzwerken erhebliche Risiken für den Datenschutz, die IT-Sicherheit und den Ruf der Einrichtung. Diese Punkte sind besonders zu beachten:

• Keine private Nutzung: Programme, Spiele oder Tools aus dem Internet dürfen nicht installiert werden
• Vorsicht bei unbekannten Webseiten: Webseiten mit auffälligen Pop-ups, „Gratis“-Versprechen oder Downloadaufforderungen können Computerviren enthalten
• Keine privaten Log-ins: Der Zugang zu privaten E-Mail-Konten, Online-Shops oder sozialen Netzwerken ist auf Dienstrechnern verboten
• Keine dienstlichen Daten veröffentlichen: Informationen über Patient:innen, Kolleg:innen oder interne Abläufe dürfen niemals in Foren, Chats oder öffentlich zugänglichen Plattformen gepostet werden (auch nicht anonymisiert)
• Keine Aufnahmen mit Smartphones: Internetfähige private Handys dürfen nicht für die Fotodokumentation oder Audioaufnahmen genutzt werden (datenschutzrechtliche Gründe)

Viele Internetseiten werden automatisch durch die hausinterne Firewall oder manuell durch die IT-Mitarbeiter:innen gesperrt, um die Angriffsfläche für Computerviren und Trojaner auf den Dienstrechnern zu minimieren! Gibt es jedoch einen triftigen Grund, dass bestimmten Internetplattformen trotzdem genutzt werden müssen (bspw. bei der Recherche), können diese durch das IT-Team freigeschaltet werden!

Umgang mit sensiblen Daten, Datenträgern und mobilen Geräten

Ob Laptop, USB-Stick, externe Festplatte oder Smartphone – viele Informationen werden heute digital gespeichert und transportiert. Umso wichtiger ist es, im Klinikalltag und unterwegs sorgsam mit diesen Geräten und den darauf gespeicherten Daten umzugehen. Diese Punkte sind besonders zu beachten:

• Zugriffsrechte beschränken: Nur autorisierte Personen dürfen Zugang zu den Geräten und gespeicherten Daten erhalten
• Virenschutz aktiv halten: Geräte müssen regelmäßig aktualisiert werden, damit der Schutz auf dem neuesten Stand bleibt
• Server-Speicher nutzen: Daten sollten nicht dauerhaft lokal oder auf einem USB-Stick, sondern zentral auf einem Klinikserver gespeichert werden
• Sicher transportieren: USB-Sticks, Laptops oder externe Festplatten müssen in schützenden (im besten Fall abschließbaren) Hüllen transportiert werden
• Geräte bei Verlust sofort melden: Der Verlust oder Diebstahl eines USB-Sticks, Laptops oder Handys muss umgehend der IT-Abteilung gemeldet werden, damit Schutzmaßnahmen (z.B. Fernsperrung) eingeleitet werden können
• Nicht privat nutzen: Private Daten, der Besuch privat genutzter Internetseiten (auch Social Media) und persönliche Cloud-Dienste ist auf dienstlichen Endgeräten nicht erlaubt
• Bildschirm sperren: Mobile Geräte sollten bei jedem Verlassen des Arbeitsplatzes gesperrt werden (selbst für wenige Minuten)

Bildschirm sperren? Ein kurzer Tastendruck kann viele Daten schützen. Bei einer Microsoft-Oberfläche nutzt man dafür die Tastenkombination Windows-Taste + L, bei Apple-Produkten Control + Command + Q!

Jeder Computer, jeder Speicherstick und jedes Zubehörteil haben i.d.R. eine Nummer bzw. Beschriftung. Diese sorgt dafür, dass alle Hardware-Teile einem bestimmten Arbeitsbereich oder einer Person zugeordnet werden können. Diese Aufkleber dürfen daher nicht von den Geräten und Utensilien entfernt werden!

Grundregeln bei Dienstreisen, Konferenzen und im Homeoffice

Ein Vortrag bei einer Konferenz? Eine Dienstreise mit dem Zug? Oder ein Dienstlaptop im Homeoffice? Es wird immer wieder Situationen geben, bei denen man die Endgeräte in einer ungeschützten Umgebung aufbauen und nutzen muss. Diese Punkte müssen dabei stets beachtet werden:

• Geräte nicht unbeaufsichtigt lassen: In z.B. Hotels, Konferenzräumen und Cafés dürfen mobile Geräte und Zubehör nie unbeaufsichtigt bleiben (auch nicht „nur kurz“)
• „Shoulder Surfing“ verhindern: Dritte sollten nicht am Bildschirm mitlesen können
• WLAN-Verbindungen überprüfen: Öffentliches WLAN ist oft unsicher
• Keine fremden Datenträger nutzen: Nur vertrauenswürdige USB-Sticks sollten angeschlossen werden
• Verschlüsselung aktivieren: Daten auf mobilen Geräten sollten stets verschlüsselt gespeichert sein
• Datenschutz beachten: Dienstgespräche über Personendaten oder interne Vorgänge sollten nicht in der Öffentlichkeit (bspw. Zugabteil, Hotellobby) geführt werden
• VPN nutzen: Auf Kliniksysteme sollte ausschließlich über eine sichere VPN-Verbindung zugegriffen werden

Mit einer VPN-Verbindung (Virtual Private Network) kann sich mit einem Laptop von außen sicher in das Netzwerk der Arbeitsstelle eingewählt werden! Dabei werden alle übertragenen Daten verschlüsselt, sodass sie vor unbefugtem Zugriff geschützt sind!

Bevor mit der Arbeit begonnen wird, muss stets sichergestellt sein, dass sich über die entsprechende Software in das VPN eingewählt wurde – nur so bleiben alle Datenübertragungen geschützt und vertraulich!

Was ist ein IT-Sicherheitsvorfall?

Ein IT-Sicherheitsvorfall liegt vor, wenn z.B.:

• Eine verdächtige E-Mail oder Datei erhalten wurde
• Sich der Dienstrechner ungewöhnlich verhält
• Ein Datenverlust, eine Manipulation oder ein unerlaubter Zugriff auffällt
• Ein Computervirus, Trojaner oder Spyware entdeckt wurde

Notfallschritte bei einem IT-Sicherheitsvorfall

1. Ruhe bewahren: Überlegtes Handeln, abhängig von der Bedrohung
2. Kein Herumprobieren: Keine eigenen Lösch- oder Reparaturversuche unternehmen
3. Gerät vom Netz trennen: WLAN deaktivieren oder Netzwerkkabel trennen, um eine weitere Verbreitung oder einen Hacker-Fernzugriff zu verhindern
4. IT-Abteilung informieren: So schnell wie möglich melden, am besten mit konkreten Hinweisen (Datum, Uhrzeit, Art des Vorfalls)
5. Verdächtige E-Mails nicht öffnen: Anhänge nicht anklicken, Links nicht aufrufen
6. Gerät eingeschaltet lassen: Bei V.a. Schadsoftware das Gerät nicht ausschalten, da sich die Malware oft erst nach einem Neustart aktiviert (Ausnahme: akuter Schaden durch Malware)
7. Rückmeldung abwarten: Gerät, Software und E-Mail-Postfach erst wieder nutzen, wenn die IT-Beauftragten das Problem gelöst haben

Auch wenn Geräte oder Datenträger gestohlen wurden, gilt das als ein Sicherheitsvorfall, der schnellstmöglich gemeldet werden muss! Die Täter:innen könnten sich Zugriff auf sensible Daten verschaffen!