Freitagmorgen im Eupener Krankenhaus. Die Datenschutzbeauftragte Ellen Lecrenier sitzt in ihrem Büro im zweiten Stock vor dem PC. Auf dem Bildschirm zu sehen: lauter Mails von Microsoft, LinkedIn oder Primark – Phishing-Mails vom Feinsten. Dabei handelt es sich um gefälschte E-Mails von scheinbar vertrauenswürdigen Absendern mit dem Ziel, Passwörter, Bankdaten oder Identitäten zu stehlen. Dahinter stecken Hacker, die sich Zugriff auf Daten des Krankenhauses verschaffen wollen. Heute oft aus geopolitischen Gründen, in der Vergangenheit eher, um schnelles Geld zu machen.
"In Belgien wurden mehrere Krankenhäuser auch angegriffen und haben auch zum Teil hohe Erpressungsgelder bezahlt, um einfach nur wieder arbeiten zu können", sagt Ellen Lecrenier. Das Eupener Krankenhaus wird praktisch durchgehend mit solchen Versuchen attackiert. In den meisten Fällen fängt der Mailserver diese Angriffe jedoch frühzeitig ab, sodass es bislang zu keinem Zwischenfall gekommen ist.
Dennoch muss das Krankenhaus seine Mitarbeiter regelmäßig schulen. Dazu versendet Ellen über die Web-Applikation MetaCompliance regelmäßig Phishing-Mails an die Belegschaft. "Das ist dann hier ein E-Mail-Training. Hier kann man sich etwas aussuchen, zum Beispiel Microsoft 365. Das ist ein Programm, das wir benutzen. Und das sieht hier tatsächlich recht echt aus. 'Unsere Systeme zeigen, dass Ihr Passwort die Normen nicht erfüllt, dann bitte hier jetzt mal anklicken.' Und wenn Sie da anklicken, was passiert dann? Also wenn es die richtigen Hacker sind, dann sind sie schon mal zur Hälfte gephisht."
Seit anderthalb Jahren verschickt Ellen diese Mails monatlich. Das Ergebnis: 97 der knapp 700 Mitarbeiterinnen und Mitarbeiter sind auf die Simulation hereingefallen und haben den Link angeklickt. In den vergangenen Monaten haben sich die Zahlen verbessert – immer weniger klicken auf die Links, während es gleichzeitig immer schwieriger wird, Phishing-Mails zu erkennen. "Jetzt sieht das manchmal schon täuschend ähnlich aus und dann muss man doch wirklich sehr aufpassen. Habe ich diese E-Mail erwartet? Wie sieht der Absender aus? Aber auch das können die inzwischen ganz gut nachahmen."
Eine, die sich bislang nicht hat täuschen lassen, ist Ekaterina Furtseva. Sie sitzt im fünften Stock unter dem Dach des Hospitals vor ihrem PC. Auch die heutige Fake-Phishing-Mail bereitet ihr keine Probleme: Sie entdeckt direkt einen Fehler und vertraut der Mail nicht. Sicherheitshalber leitet sie die Nachricht an eine spezielle E-Mail-Adresse weiter, unter der alle Spam-Mails gesammelt werden. Sie fühlt sich in der Lage, echte von gefälschten Mails gut zu unterscheiden. "Der IT-Support informiert uns gut und sagt uns, worauf wir aufpassen sollen. Dass wir nicht die verschiedenen Links in den Mails anklicken sollen. Wir sind gut unterstützt in diesem Moment. Und bis jetzt hat alles gut geklappt."
Sollte ein Mitarbeiter dennoch einmal auf den Link der Fake-Phishing-Mail klicken, passiert nichts Schlimmes. Es folgt kein Virus, sondern eine Rückmeldung darüber, was man falsch gemacht hat. Auf diese Weise überlegt man beim nächsten Mal zweimal, bevor man im Eupener Krankenhaus eine E-Mail öffnet.
Robin Emonts
