Medizinische Daten sind besonders schützenswerte Daten. Deshalb sind sie auch eine beliebte Ausbeute von Cyber-Kriminellen. Sowohl Patienten als auch Arztpraxen können dadurch Schaden erleiden. mediX nordwest – das Ärztenetz der Nordwestschweiz – möchte solche Vorfälle verhindern und hat sich Redguard als Spezialistin für Cyber Security im Gesundheitsbereich geholt. Zusammen haben wir eine Awareness-Kampagne entwickelt, die sich an medizinische Praxisassistenten sowie Praxisinhabende richtet. Lesen Sie, wie wir die Kampagne gestaltet und den Erfolg gemessen haben.

Ärztenetz Nordwestschweiz: Awareness-Kampagne für 42 Arztpraxen

mediX nordwest ist das Ärztenetz von Hausärztinnen sowie medizinischen Praxisassistenten (MPAs) in der Nordwestschweiz. Um sich effizient vor Cyber-Angriffen zu schützen, stärkt mediX nordwest ihre Mitarbeitenden dabei, Angriffe zu erkennen und richtig darauf zu reagieren. Sie hat Redguard als Partnerin ausgewählt, da sie eine Spezialistin für Awareness-Kampagnen wollten, die sich in der Gesundheitsbranche gut auskennt.

Zielgruppe der Kampagne

Zielgruppe war das gesamte medizinische Fachpersonal, welches tagtäglich mit sensiblen Informationen konfrontiert ist: medizinische Praxisassistenten sowie Hausärztinnen bzw. Praxisinhabende.

Ziele der Kampagne

• das Informationssicherheitsbewusstsein des medizinischen Personals nachhaltig zu festigen
• praxisorientiertes Sicherheitswissen anschaulich und bedarfsgerecht zu vermitteln
• gezielt das korrekte Sicherheitsverhalten im medizinischen Berufsalltag zu fördern

Eine ausgewogene Awareness-Kampagne

Präsentation und Live Hacking an der Mitgliederveranstaltung

An einer internen Veranstaltung der mediX nordwest durfte Redguard den Praxisinhabenden die geplante Kampagne vorstellen und mittels Live Hacking die nötige Aufmerksamkeit und Neugier gewinnen.

Webinar für Praxisinhabende und medizinische Praxisassistentinnen (MPAs)

Das Webinar diente dem medizinischen Fachpersonal, Wissen auszubauen und ihr Verhalten wo nötig anzupassen. Das Training basierte auf den Minimalanforderungen des IT-Grundschutzes für Praxisinhaberinnen und Praxisinhaber.

Wir schilderten potenzielle Sicherheitsvorfälle, um möglichst praxisnah zu bleiben. Dazu gaben wir Handlungsanweisungen für einen sicheren Umgang mit sensiblen Informationen und ICT-Mitteln.

Praxisinhabende erhielten zudem mögliche Massnahmen, um ihre Verantwortung besser wahrnehmen und Herausforderungen effizienter begegnen zu können.

James begleitete die Kampagne und vermittelte Awareness anschaulich und humorvoll.

Zum Schluss zeigten wir mit einem Live Hacking, wie einfach ein Angriff im realen Leben realisiert werden kann. Dadurch erkannten die Teilnehmenden nochmals eindrücklich, wie wichtig Informationssicherheit ist.

Phishing-Kampagne

Phishing-E-Mails sind eine beliebte Angriffsmethode, um an Daten zu gelangen. In drei Phishing-Wellen simulierten wir einen solchen Angriff, um Hausärzten sowie medizinische Praxisassistentinnen diesbezüglich zu sensibilisieren.

Wenn jemand auf einen Link im Phishing-E-Mail geklickt hat, wurde die Übung von James, unserer Awareness- Figur, aufgelöst. Er zeigte auch gleich, woran man einen Phishing-Angriff erkennt.

James löste die Übung auf, sobald jemand auf einen Link klickte.

Die Auswertung erfolgte pro Arztpraxis:

• Gesamtauswertung
• Wie viele Mitarbeitende haben auf den Link in der E-Mail geklickt?
• Wie viele Mitarbeitende haben Daten auf der verlinkten Phishing-Seite eingegeben?
• Vergleich mit den zuvor durchgeführten Phishing-Kampagnen

Voice-Phishing-Kampagne

Manchmal schreiben Angreifer keine E-Mail, sondern rufen an. Sie geben sich zum Beispiel als interne IT- Mitarbeitende aus und versuchen Praxismitarbeitende dazu zu verleiten, über einen Link Schadsoftware runterzuladen.

Redguard wendete die Tricks der Angreiferinnen an und testete, wie sensibilisiert die Praxismitarbeitenden sind. Wir haben mediX nordwest’s 42 Arztpraxen angerufen und sprachen jeweils mit der Person, die zufälligerweise den Anruf beantwortet hat.

Unser Ziel war, Remote-Zugriff auf den Computer der jeweiligen Person zu erhalten. Sobald der Mitarbeitende einen Remote-Zugriff zugelassen hat, wurde eine Simulation eines Verschlüsselungstrojaners abgespielt. Direkt im Anschluss haben wir die angerufene Person aufgeklärt.

Kampagnen-Erfolg

Da die mediX nordwest bereits eine Kampagne durchgeführt hatte, konnten wir die Ergebnisse vergleichen und stellten fest, dass das Sicherheitsbewusstsein nachhaltig gesteigert wurde.

Die Kampagne zeigte den Mitarbeitenden, wie wichtig der Beitrag jedes Einzelnen ist und motivierte sie, aktiv zu werden. Sie erhielten konkrete und alltagstaugliche Möglichkeiten zum Schutz von Informationen. Die Kampagne war kreativ, motivierend und nachvollziehbar.

Die medizinischen Daten sowie die ICT-Umgebung sind nun noch besser geschützt durch sensibilisierte Mitarbeitende. Auf Basis der ermittelten Resultate können weitere Awareness-Kampagnen geplant werden, um das Sicherheitsbewusstsein beizubehalten.

Awareness-Kampagne: So einzigartig wie Sie

Sie möchten Ihre Mitarbeitenden mit einer Awareness-Kampagne sensibilisieren? Entscheiden Sie zusammen mit unseren Spezialisten, welche Elemente für Ihr Team am meisten Erfolg versprechen, wie zum Beispiel:

• Live Hackings
• E-Mail-Phishings, Voice-Phishings, Physischer Zutritt
• Präsenz- oder Online-Trainings - E-Learnings inkl. Quiz
• Security-Workshops
• Security Videos
• Security-Taschenbüchlein, Newsletter, Flyer, Checklisten
• Poster, Bildschirmschoner
• Live Size-Aufsteller nach Wunsch (z. B. Awareness-Coach James) - usw.

Wir beraten Sie gerne unverbindlich, um eine auf Sie zugeschnittene Awareness-Kampagne zu kreieren.