Informationssicherheit im USB-Alltag:

Schori: Konkret haben mich die vielen Medienbeiträge bewegt, die sich in den letzten Wochen und Monaten fast täglich mit Cyber-Attacken, Viren-Einschleus-Methoden und stillgelegten OPs in den USA befassen. Und ich habe mich gefragt, wie das bei uns hier im USB ausschaut und inwieweit unsere IT diese Themen auf dem Radar hat.

Liniger: Sie sprechen zu Recht ein ausserordentlich wichtiges Thema an, das zunehmend auch zu Anfragen von Schweizer Medien bei uns führt. Wir am USB können aus Sicherheitsgründen natürlich nicht unsere Konzepte dazu offenlegen. Wir sind aber mit den aktuellen Lösungen gemäss den heutigen technischen Möglichkeiten so gut wie möglich geschützt. Die Massnahmen zur IT-Sicherheit passen wir laufend entsprechend der aktuellen Bedrohungslage an.

Liniger: Prinzipiell besteht unser Handlungsmix aus mehreren Säulen: Zunächst müssen technisch die aktuellsten Abwehrmechanismen im Einsatz sein. Zudem halten wir unsere Systeme auf den aktuellen Patch-Ständen und gewährleisten ein funktionierendes Backup-Restore-Verfahren. Nicht zuletzt lassen wir unsere Systeme, wie andere Unternehmen und Spitäler auch, regelmässig durch «Ethical Hacker» gezielt in sogenannten Penetrationstests auf ihre Sicherheit und vor allem auf mögliche Lücken hin überprüfen.

Schaub: Grundsätzlich muss man unterscheiden zwischen einem gerichteten Angriff mit hoher krimineller Energie Einzelner – das wäre dann der Hacker, der gezielt eine Lücke in unseren Systemen sucht – und einem ungerichteten Angriff, der auf die Masse z.B. der E-Mail-Nutzerinnen und -Nutzer am USB zielt und eher zufällig zum Ziel führt, wie das Beispiel von «WannaCry» vor ein paar Monaten oder die gefälschten Swisscom-Rechnungen.

Liniger: Bei einem gezielten Angriff gibt es fast keine Grenzen. Wenn jemand unbedingt in ein IT-System eindringen möchte, das Wissen und die Tools sowie die Ressourcen (Zeit, Budget) dazu hat, schafft er das. Vergleichbar ist das mit einem Einbruch und der Einbruchsicherung bei Ihnen zu Hause. Wichtig ist es, die Hürden und den Aufwand zu deren Überwindung sehr hoch zu legen, um es potenziellen Eindringlingen möglichst schwer zu machen. Die ersten Hürden werden übrigens bereits durch die Hersteller unserer Geräte gesetzt und in unseren Systemen fortgeführt. Schwachstelle ist dann eher der Mensch, der die Geräte bedient und sich mancher Einfallstore von potenziellen Hacker-Angriffen nicht bewusst ist. In der Analogie zur Sicherheit bei Ihnen zu Hause: das offene Fenster in der Waschküche.

Schaub: Genau aus diesem Grund initiieren wir aus der ICT als weitere Säule der Schutzmassnahmen fast jedes Jahr eine Awareness-Kampagne rund um die Themen Informationssicherheit und Datenschutz, um unsere Kolleginnen und Kollegen zu informieren und vor allem auch zu sensibilisieren, welchen Beitrag sie selbst leisten können.

Schaub: Ja genau. Wir sind auf die Mitarbeit aller angewiesen, um Schutz und Sicherheit unserer IT-Systeme so hoch wie möglich zu halten. Das reicht von der Sorgfalt beim Umgang mit E-Mails und Komplexität von Passwörtern, mobilen Geräten und Online-Verbindungen bis hin zur Verantwortung, die Daten unserer Patientinnen und Patienten bewusst zu schützen resp. Deren Sicherheit nicht zu gefährden. Und um am Beispiel Eigenheim von Herrn Liniger zu bleiben: Ihr Wasser-Boiler ist kaputt – und Sie lassen ja den Techniker zur Reparatur auch nicht einfach so ins Haus, oder?