Cybersicherheit befasst sich mit dem Schutz von Systemen, Netzwerken und Daten vor digitalen Bedrohungen. Denn mit der zunehmenden Digitalisierung steigt die Gefahr von Cyberattacken. Diese können für Kliniken, Mitarbeitende und Privatpersonen schwerwiegende Folgen haben.
Folgende Szenarien verdeutlichen die Gefahren von Cyberangriffen: Ein Krankenhaus wird Ziel eines Hackerangriffs, interne und externe Kommunikationswege werden gestört, E-Mails, elektronische Faxe, Telefone funktionieren nicht mehr, die Kommunikation kommt zum Erliegen, der Zugriff auf Patienten- und Verwaltungsdaten sowie IT-Systeme ist eingeschränkt, elektronische Patientenakten sind nicht mehr abrufbar, die elektronische Dokumentation ist nicht mehr möglich. Oder: Störsender manipulieren die Alarmierungsfunktion einer Integrierten Leitstelle für Feuerwehr und Rettungsdienst. Oder: Medizinische Geräte werden durch Dritte manipuliert, Patienten werden geschädigt. Auch Angriffe auf Liefer- und Versorgungsketten bringen das Gesundheitswesen zum Erliegen, wenn wichtige Medikamente, Medizinprodukte oder andere Güter und Dienstleistungen ausfallen.
Organisationen werden tagtäglich angegriffen
Diese ganzen Szenarien sind realistisch, denn sie sind tatsächlich so eingetreten. Deutsche Unternehmen, Behörden und Organisationen werden tagtäglich angegriffen. Dabei geht es nicht immer nur um Geld und Erpressung. Staatliche Akteure können mit solchen Angriffen die Resilienz der Bevölkerung testen, zum Beispiel für den Fall eines Angriffs auf ein Verteidigungsbündnis. Manchmal sind es auch entlassene Mitarbeitende, unzufriedene Patienten oder militante Bevölkerungsgruppen, die sich am System rächen.
Cybersicherheit ist ein weit gefasster Begriff im virtuellen Raum aller auf Datenebene vernetzter IT-Systeme. Abhängig von der Definition umfasst er Technologien sowie Dienste, Strategien, Praktiken und Richtlinien, die Menschen, Daten und Infrastruktur vor Cyberangriffen schützen. Er ist weitergehend als der Begriff IT-Sicherheit. Cybersicherheit umfasst alle Maßnahmen zum Schutz von Computersystemen, Netzwerken und Daten vor unberechtigtem Zugriff, unerlaubter Datenübertragung, Datenverlust, Diebstahl oder Manipulation. Zudem muss gewährleistet sein, dass Systeme und Daten jederzeit verfügbar sind, wenn sie benötigt werden. Daher umfasst Cybersicherheit nicht nur Technologien, sondern auch Prozesse und Praktiken, um Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) von Informationen (CIA-Triade) zu gewährleisten.
Viele Aspekte des Lebens sind heute miteinander vernetzt: von Wissen, Kommunikation und Unterhaltung über Arbeit und Bildung bis hin zu Finanztransaktionen und medizinischen Dienstleistungen. Das macht verwundbar. Der wirtschaftliche Schaden, der einem Unternehmen durch Cyberangriffe entstehen kann, ist enorm. Betriebsunterbrechungen, aber auch Regressforderungen bei Datenverlust oder Schäden durch Manipulationen bis hin zum Verlust geistigen Eigentums führen im Einzelfall nicht nur zu finanziellem Verlust. Sie können auch den Ruf eines Unternehmens ruinieren. Geschäftsführer und leitende Angestellte sollten sich dieses Risikos bewusst sein, denn auch sie können für Fehler in ihrem Verantwortungsbereich haftbar gemacht werden. Zur Sorgfalt gehört die Pflicht, entsprechende Vorkehrungen zu treffen.
Es gibt viele Methoden, in Systeme einzudringen
Behörden müssen nicht nur mit Angriffen auf kritische Infrastrukturen rechnen, auch kleine und mittlere Unternehmen sind potenzielle Ziele von Cyberangriffen, mit zum Teil dramatischen Folgen für die öffentliche Sicherheit und das Vertrauen in diese. Auch für Einzelpersonen kann ein Cyberangriff verheerende Folgen haben: Identitätsdiebstahl, Finanzbetrug oder der Verlust persönlicher Daten sind nur einige.
Die Bedrohungen sind vielfältig. Alte und neue Methoden und Techniken ermöglichen es, Sicherheitsmaßnahmen zu umgehen und in Systeme einzudringen. Dazu gehören:
- Viren, Würmer, Trojaner und Ransomware als Schadsoftware (Malware),
- gefälschte Nachrichten zum Abgreifen von Informationen (Phishing),
- Überlastung der IT (Denial-of-Service [DoS]),
- Angriffe auf die Kommunikation zwischen zwei Parteien (Man-in-the-Middle),
- langfristige Angriffe durch Abgreifen von Informationen im Netzwerk (Advanced Persistent Threats),
- das Abgreifen von Informationen der Mitarbeitenden durch soziale Interaktion (Social Engineering).
Strategien, Cybersicherheit zu verbessern
Neben technologischen Lösungen sind vor allem organisatorische Maßnahmen wie Sicherheitsrichtlinien, Schulungen und Notfallpläne sowie eine gezielte Sensibilisierung der Mitarbeitenden wirksame Schutzmaßnahmen. Dabei sind auch Systemausfälle und Redundanzen zu berücksichtigen. Eindeutige Zuständigkeiten, Befehlsketten und sichere Kommunikationswege im Ernstfall, das Bewusstsein für die rechtlichen Auswirkungen sowie vertragliche Regelungen stärken die Organisation. Regelmäßige Schulungen ermöglichen es den Mitarbeitenden, neue Bedrohungen zu erkennen und angemessen zu reagieren.
Die rasante Entwicklung von Technologien wie Künstliche Intelligenz, Internet of Things (IoT) oder Quantentechnologie bietet nicht nur neue Schutzmöglichkeiten, sondern auch neue Angriffsflächen und -mittel für Kriminelle. Diesen gilt es zu begegnen, indem man Sicherheitsmaßnahmen kontinuierlich anpasst.
Immer einen Schritt voraus sein
Strengere Vorschriften und Gesetze allein werden der Bedrohung nicht entgegenwirken. Dennoch sollten Unternehmen und Behörden sich stets über die aktuellen gesetzlichen Entwicklungen, einschließlich der europäischen Verordnungen auf dem Laufenden halten.
Zu lange hat sich die Bevölkerung auf funktionierende Systeme verlassen. Daher ist neben staatlichen und kommunalen Stellen sowie Unternehmen auch die Gesellschaft gefordert, sich auf Ausfälle vorzubereiten. Die Herausforderung ist, immer einen Schritt voraus zu sein. Alle benötigen ein umfassendes Verständnis möglicher Bedrohungen und Schutzmaßnahmen. Die Bedeutung dieser Aufgabe wird in den nächsten Jahren zunehmen.
Dtsch Arztebl 2024; 121(19): [2]
Das Autorenteam
Dr. Andreas Staufer, Fachanwalt für IT-Recht, Fachanwalt für Medizinrecht
Kristin Kirsch, LL.M. Legal Tech, Rechtsanwältin
Staufer Kirsch GmbH
80336 München
