Die Universitätsklinika Freiburg, Heidelberg, Tübingen und Ulm kooperieren im Rahmen der Informationssicherheit bereits seit mehreren Jahren. Gefördert durch das Land Baden-Württemberg haben sie nun eine breite Sensibilisierungskampagne für die Mitarbeitenden ins Leben gerufen. Auf diesem Wege sollen die bereits erzielten Fortschritte in der Wahrnehmung und im Umgang mit sensiblen Daten gefestigt und vorangetrieben werden.
Was sind Social Engineering und Phishing?
Das Bundesamt für Sicherheit in der Informationstechnik definiert Social Engineering so:
„Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.“
Phishing ist die bekannteste Form des Social Engineering. Der Begriff ist englisch und bezeichnet das „Fischen nach Passwörtern“. Beim Phishing versuchen Kriminelle mithilfe sehr echt wirkender E-Mails, Menschen auf gefälschte Zielseiten zu lotsen, wo sie Passwörter oder persönliche Daten eingeben sollen, die dann abgegriffen werden.
Quelle: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html, 30.3.2022
Regel Nr. 1
Kein unbedachter Umgang mit E-Mails
Ein großer Teil der Mitarbeiterinnen und Mitarbeiter in unserer Organisation bekommt täglich E-Mails.
Doch in der elektronischen Postsendung können gefährliche Inhalte mitgesendet werden. Im privaten Bereich sind einige von uns vielleicht sogar schon kriminellen Phishing-Mails auf den Leim gegangen und haben dabei Geld oder persönliche Daten verloren. Auch kommt es immer wieder vor, dass Hacker so in Computernetzwerke eindringen.
Das muss aber nicht sein. Wir können dabei helfen, Daten und Informationen unseres Klinikums zu schützen.
Daher gilt die Regel, dass Absender und Empfänger der E-Mails immer genauestens geprüft werden müssen. Sind sie bekannt und vertrauenswürdig, können auch Anhänge problemlos geöffnet werden.
Wird man in einer E-Mail dazu aufgefordert, Informationen oder Passwörter preiszugeben, soll man auf einen Link klicken oder einen Anhang herunterladen, so ist Vorsicht geboten. Denn es kann sich dabei um Phishing mit betrügerischer Absicht handeln.
Patientendaten sollten grundsätzlich nicht per E-Mail verschickt werden. Denn E-Mails bieten keinen Schutz gegen unangebrachte Zugriffe von außen.
Auch sollten E-Mails nicht automatisiert an ein externes elektronisches Postfach weitergeleitet werden. Denn wir wissen nicht, wie sicher dieses Postfach ist und haben es auch nicht unter Kontrolle.
Werden diese Verhaltensregeln beachtet, bleiben die Daten unserer Patientinnen und Patienten und die Informationen unseres Klinikums sicher.