IT-Sicherheit und Datenschutz im Sozialbereich – eine kurze Rundschau

Digitale Erpressung ist im Vormarsch. Hacker schleusen per Mailanhang ein Programm ein, das ganze Computer unbenutzbar macht – ausser man zahlt Lösegeld. 2017 waren bereits 23‘000 aller Schweizer KMU Opfer solcher Hackerattacken. Mit den richtigen Massnahmen kann der mögliche Schaden enorm reduziert werden. Wir zeigen Ihnen, wie Sie dabei vorgehen können.

Ein Hackerangriff mit einem präparierten Bewerbungsmail ist mittlerweile ein Klassiker unter den digitalen Angriffen. Diese Mails enthalten naturgemäss Anhänge und schöpfen weniger Verdacht.

Bei einer Geiselnahme der Daten schleust eine sogenannte Ransomware durch Mailanhänge versteckte Programme ein, welche ganze Computer unbenutzbar machen, es sei denn, es wird ein Lösegeld bezahlt. Diese digitale Räuberei ist zu einem rasant wachsenden Milliardengeschäft, zu einer «Industrie» geworden. 2016 erpressten die Hacker gemäss FBI bereits eine Milliarde Dollar - bei jährlichen Zunahmen bis zum Faktor drei.

Dies ist möglich, weil die Sicherheitsmassnahmen bei IT-Systemen immer etwas hinterherhinken. Es ist beinahe unmöglich, mit den vielen rasanten Entwicklungen mitzugehen und die Systeme aktuell zu halten. Aber mit den richtigen Massnahmen kann der mögliche Schaden enorm reduziert werden.

Der grösste Schaden durch Ransomware ist aber nicht das Lösegeld, sondern die Kosten für die Ausfallzeit des ganzen Betriebs (knapp eine Woche) und die Abwehr- und Reparaturarbeiten, um wieder mit einem «sauberen System» arbeiten zu können. Solche Attacken führen zudem zu einem kaum abschätzbaren Vertrauensverlust bei Kooperationspartnern.

Weil die sensiblen Daten im Sozial- und Gesundheitsbereich eine grosse Bedeutung haben, ist das Erpressungspotenzial im Sozialbereich gross. Doch es gibt unkomplizierte Möglichkeiten, die IT-Sicherheit und den Datenschutz zu verbessern. Ein erstes Sicherheitskonzept ist keine Hexerei – wir bieten hier einen Kurzcheck dazu. Dieser schafft schnell Orientierung und Übersicht über Risiken und zeigt mögliche nächste Schritte auf. Der Test dauert nur wenige Minuten.

Welche Risiken gilt es im Auge zu behalten?

  1. Die Digitalisierung birgt Risiken: rechtlich, bei der Glaubwürdigkeit, technisch und finanziell. IT-Sicherheit wird ein existenzielles Thema. Und: Niemand kann das Risiko noch alleine im Griff behalten, ohne externe Hilfe und Kooperation geht es nicht mehr.
  2. Die Hackerangriffe werden technisch und organisatorisch immer raffinierter und komplexer. Hier hilft nur ein guter externer Dienstleister für Schutz- und Abwehrmassnahmen.
  3. Beim Datenschutz nehmen die rechtlichen Anforderungen an Organisationen zu: Im Mai 2018 trat die neue europäische Datenschutzverordnung (DSGVO) in Kraft, die auch viele Schweizer Institutionen betrifft. Voraussichtlich 2019 wird auch ein neues Schweizer Datenschutzgesetz eingeführt, leider mit Differenzen zum europäischen Modell. Das neue Gesetz bietet die Chance, mit guter Transparenz an Glaubwürdigkeit zu gewinnen. Die Kehrseite: Datenschutzverletzungen müssen gemeldet werden und eine fahrlässige Datenhandhabung kann teils schmerzhaft bestraft werden.
  4. Institutionen im Sozialbereich haben eine grosse Verantwortung durch die vertraulichen und sehr schützenswerten Daten. Ohne das Vertrauen der KlientInnen in unseren sorgfältigen Umgang und ohne die vertraulichen persönlichen Daten aus den Arbeitsbeziehungen ist gute soziale Arbeit nicht möglich. Umgekehrt können verlorene sensible Daten das Leben von KlientInnen auch real beeinträchtigen. Dies, wenn durch undurchsichtige Datenverknüpfungen ihre Bonität negativ eingestuft wird.
  5. Noch wichtiger ist, das hohe Vertrauen in staatliche Dienstleistungen wie die soziale Sicherheit zu schützen und sogar zu stärken. Täglich verunsichern uns Meldungen über Datenmissbräuche von Firmen oder Hackerattacken. Machen wir einen Unterschied und lösen unsere digitalen Hausaufgaben mit der nötigen Sorgfalt und Entschiedenheit.

Dieses einfache Schema ist weder vollständig noch wird es einer konkreten Situation gerecht. Aber es kann die wichtigsten Fragen zur IT-Sicherheit der Institution schnell beantworten und damit das weitere Vorgehen vorgeben. Denn das grösste Risiko ist, nichts zu tun.

Es ist nicht schwierig, die einzelnen Themenbereiche in der ersten Phase anzugehen. Führungsfragen wie «wer ist zuständig, was können wir selbst lösen, wo brauchen wir Hilfe?» sind unschwer zu klären und entscheiden. Wichtig ist, dass jemand den Überblick schafft und behält, sich dann auf einzelne Teilaufgaben fokussiert und für die Umsetzung sorgen kann.

Selbstverständlich sind in den Detailthemen und für die Realisierung von Lösungen externes Knowhow und Ressourcen nötig. Als Plattform für relevantes Wissen im Sozialbereich unterstützt sozialinfo.ch seine Mitglieder auch im Digitalisierungsbereich. Gerne triagieren wir Anfragen zu Datenschutz und IT-Sicherheit an ausgewiesene FachexpertInnen und Dienstleister. Melden Sie sich!

Hier geht’s zum Kurz-Check IT-Sicherheit und Datenschutz 

Christian Schweizer: christian.schweizersozialinfoch 

Verantwortlicher für Digitalisierungsprojekte sozialinfo.ch