
Arbeitssicherheit : Cybersecurity: Gegen Gefahr im Netz
An Kindertagesstätten denken wahrscheinlich nur wenige, wenn es um mögliche Ziele von Hackerangriffen geht. Doch mit einer steigenden Zahl von Geräten, die mit dem Internet verbunden sind, steigen auch in der Kita die Risiken. So lässt sich dann durch eine Schwachstelle etwa die Höchsttemperatur der neuen Wassertherme online umstellen – und Kinder verbrühen sich beim Händewaschen.
Ähnliches gilt aber auch in Einrichtungen, die deutlich stärker in Fragen der Cybersecurity im Fokus stehen als Kitas. In Krankenhäusern sind zum Beispiel die Klimaanlagen und Aufzüge zunehmend mit dem Internet verbunden. „Während IT-Systeme wie Router und Server viel Beachtung bekommen, wird an diesen Stellen die Gefahr leicht übersehen“, sagt Jonas Stein, Leiter des Prüflabors für Industrial Security beim Institut für Arbeitsschutz der DGUV (IFA).
Der Einsatz neuer Technik in Kliniken birgt ebenfalls Risiken. Denn auch Bettenmobile oder andere selbstfahrende Roboter sind laut Werkseinstellung oft online. „Über das Internet können sie gehackt werden und dann Unfälle verursachen, wenn sie beispielweise mit Angestellten zusammenstoßen“, so Stein.
Securitymanagement aufbauen
Unternehmen und Einrichtungen sollten im eigenen Haus den Schutz vor Hacking verstärken und sich zugleich auf Notfälle durch Sicherheitslücken vorbereiten. „Der wichtigste Schritt ist, ein Security-Management aufzubauen“, sagt Stein. Dazu gehöre es, die Verantwortung im Falle von Cybersecurity-Notfällen zu regeln, damit es eine klare Ansprechperson gebe. Außerdem sei es sinnvoll, Strukturen eines Krisenstabs aufzubauen und Prozesse für den Notfall aufzusetzen. Der Experte rät zudem, einen Notfallkontakt nach einem internationalen Standard auf der Unternehmenswebsite zu hinterlegen, damit diese Person über größere Risiken informiert werden kann, bevor es zu Notfällen kommt.
IT-Sicherheit stärken
Kontaktinfos für IT-Sicherheitsmeldungen:
Ein kurzes Video fasst die zu ergreifenden Schritte zusammen, um im Unternehmen einen Notfallkontakt security.txt (RFC 9116) einzurichten.
IT-Schutz in Kommunen:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit den kommunalen Spitzenverbänden eine Publikation erarbeitet, die Verwaltungen den Einstieg in die Informationssicherheit erleichtert.
Gesetzliche Regelungen:
Die Vorgaben in Sachen Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen fasst die Technische Regel für Betriebssicherheit (TRBS 1115 Teil 1) zusammen.
Dazu gehört es, im Schema eines „Was tun, wenn …“ aufzuschreiben, welche Maßnahmen zum Beispiel in Gang gesetzt werden, wenn der Aufzug gehackt wurde. „Es werden nicht alle möglichen Situationen in so einem Playbook erfasst. Aber die wichtigsten Szenarien durchzuspielen, bildet eine gute Grundlage für künftige Vorkommnisse, denn viele Maßnahmen lassen sich auf andere Fälle übertragen“, so Stein. Führungskräfte können sich anhand dieser Playbooks ebenfalls auf den Ernstfall vorbereiten, weil damit ungeklärte Verantwortlichkeiten sichtbar werden und sich verlässlich regeln lassen.
Verschlüsselung und Schulungen
Weitere Schutzmaßnahmen sollten analog zu dem aus der Gefährdungsbeurteilung bekannten TOP-Prinzip aufgestellt werden. E-Mails elektronisch zu signieren und möglichst verschlüsselt zu senden, zählt beispielsweise zu den technischen Lösungen. Zu den organisatorischen Maßnahmen gehört es, Beschäftigte zu schulen, damit sie über Sicherheitsrisiken informiert sind und wissen, was in einem Notfall zu tun ist. „Führungskräfte sollten ihre Mitarbeitenden außerdem einbinden und ein offenes Ohr für ihre Ideen haben“, sagt Stein. Hilfreich kann es auch sein, Tools wie Passwortmanager einzusetzen. Wichtig ist, dass sich alle im Team trauen dürfen, Schwachstellen am System oder eigene Unsicherheiten anzusprechen und Fehler zu melden. „Dafür braucht es eine gute Fehlerkultur, in der Fehler nicht bestraft, sondern dafür genutzt werden, aus ihnen zu lernen“, so der IT-Experte.
Eine gute Richtschnur für Maßnahmen bietet das sogenannte minimale Rechteprinzip. Es definiert in der IT, dass nur Personen und Programme Zugriff auf Daten bekommen, die sie auch wirklich brauchen. Nach diesem Prinzip kann es zudem sinnvoll sein, Maschinen vom Netz zu nehmen, weil sie auch ohne Internetverbindung funktionieren. Denn welche Kindertagesstätte muss schon die Wassertherme aus der Ferne steuern können?