Medical Centre Employee Centered Information Security Awareness
Von der Patientenakte bis zur Diagnoseausrüstung basiert die Krankenhausversorgung auf dem Einsatz von Informationstechnologie. Wenn Computersysteme ausfallen, kann das dramatische Folgen für die Patienten haben. Insbesondere die Zunahme von Angriffen und Cyberkriminalität stellen eine Bedrohung für die reibungslose medizinische Versorgung dar. Deshalb gibt es Sicherheitsstandards, die Bedrohungen aus dem Cyberspace verhindern sollen. Doch in der Praxis stellen der unsachgemäße Umgang mit der IT-Infrastruktur und das mangelnde Bewusstsein der Nutzer für Informationssicherheit oft ein Problem dar. Hier setzt das Forschungsprojekt MedISA (Medical Centre Employee Centered Information Security Awareness) der Hochschule Bonn-Rhein-Sieg (H-BRS) an. In MedISA werden Strategien entwickelt, um Mitarbeiter in medizinischen Versorgungseinrichtungen für IT-Sicherheit und Datenschutz zu sensibilisieren. Das Projekt wird vom Bundesministerium für Gesundheit (BMG) mit rund 450.000 Euro über drei Jahre gefördert.
Problemstellung
Nach Berichten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nimmt die Cyberkriminalität zu. Auch Einrichtungen des Gesundheitswesens sind immer wieder von Cybersicherheitsvorfällen betroffen. Mögliche Folgen: die Preisgabe von sensiblen Daten und die Gefährdung der Patientenversorgung. Eine besondere Herausforderung für den Schutz vor Cyber-Bedrohungen ist das mangelnde Informationssicherheitsbewusstsein (ISA), fehlendes Fachwissen über mögliche Schäden und eine geringe Risikowahrnehmung bei den Nutzern aus dem medizinischen, pflegerischen, therapeutischen oder IT-Bereich, die auf die vernetzten Systeme zugreifen. Der branchenspezifische Sicherheitsstandard für das Gesundheitswesen fordert daher die verpflichtende Durchführung regelmäßiger IT-Sicherheitsschulungen für Mitarbeiter, um das Bewusstsein zu schärfen und eine ISA zu schaffen. Wie dies im Kontext medizinischer Versorgungseinrichtungen praktikabel und nachhaltig wirksam geschehen kann, ist jedoch wissenschaftlich wenig erforscht. Daher fehlt es an klaren Handlungs- und Umsetzungsempfehlungen sowie an Leitlinien für medizinische Versorgungseinrichtungen zur Befolgung und Umsetzung dieser Anforderung.
Zielsetzung
Das Projekt MedISA untersucht, wie Maßnahmen zur Steigerung der ISA von Beschäftigten in medizinischen Versorgungseinrichtungen zielgruppengerecht gestaltet und gebündelt werden können, um durch eine hohe Nutzerakzeptanz einen hohen und nachhaltigen Wirkungsgrad der ISA-Maßnahmen zu erreichen. Diese Frage wird partizipativ mittels nutzerzentrierter Forschungs- und Entwicklungsmethoden mit den jeweiligen Zielgruppen bearbeitet. Neben dem sinnvollen Einsatz gängiger ISA-Maßnahmen, wie z.B. Präsenz- oder Online-Trainings, werden insbesondere innovative Ansätze für neuartige ISA-Maßnahmen erforscht. Die Maßnahmen sollen minimalinvasiv sein und in die tägliche Arbeit des medizinischen Personals integriert werden, um ISA kontinuierlich zu schärfen.