Projektbeschreibung

Im Projekt deFenSIO werden der Malteser Hilfsdienst e. V. (MHD), die SoCura gGmbH (SoCura) und die Bergische Universität Wuppertal (BUW) gemeinsam effektive Maßnahmen entwickeln und erproben, um Bedrohungen aus dem digitalen Raum gegen Hilfsorganisationen abzuwehren. Im Fokus des Projektes steht der Faktor Mensch und hier insbesondere ehrenamtlich Tätige, deren Informationssicherheits-Awareness wesentlich zum Schutz der eigenen Organisation beiträgt. Wie auch andere klassische Hilfsorganisationen muss sich der Malteser-Verbund dabei mit einer besonderen Herausforderung auseinandersetzen: die gleichzeitige Nutzung ihrer IT-Dienstleistungen und -Infrastrukturen durch ehren- und hauptamtliche Mitarbeitende. Gerade durch die Vielzahl an ehrenamtlichen Mitarbeitenden, mit unterschiedlichen IT-Kompetenzen und Zugriffsmöglichkeiten auf Informationen innerhalb des Malteser-Verbundes, ergeben sich viele potenzielle Angriffsvektoren und Sicherheitslücken, die allein durch technologische Ansätze nicht abgewehrt werden können. Auch die Trennung zwischen Arbeit und Freizeit stellt sich bei ehrenamtlich Arbeitenden anders dar als bei hauptamtlich Beschäftigten. Vor diesem Hintergrund müssen alle Informations- und Qualifikationsmaßnahmen, die im Projekt entwickelt werden, auch an dem Alltag von Ehrenamtlichen gespiegelt werden. Hier wird ein Schwerpunkt der Projektarbeiten gelegt. Beim MHD arbeiten ca. 50.000 ehrenamtlich Beschäftigte, von denen um die 10.000 für den Katastrophenschutz tätig sind. 

 

Im Rahmen des Vorhabens werden neben dem Malteser Hilfsdienst ebenso die unterschiedlichen Strukturen weiterer Hilfsorganisationen (z. B. der assoziierten Partner) berücksichtigt, da sich diese im Aufbau teils erheblich unterscheiden (z. B. zentral vs. föderal). 

Informationssicherheit kann nur ganzheitlich, durch risikomindernde Maßnahmen in den Bereichen Organisation/Prozesse, Personal, Technik und Physische Sicherheit erreicht werden. IT-Systeme und Netzwerke müssen entsprechend auf allen Ebenen, von der Hardware- bis zur Anwendungsschicht, durchgehend vor Ausfall und Missbrauch geschützt werden. Dabei kommen dem Identity- und Access-Management und dem Einsatz kryptografischer Methoden entscheidende Bedeutung zu. Häufig wird jedoch Informationssicherheit noch einseitig als rein technisches Problem wahrgenommen, das durch technische Lösungen in der IT-Abteilung gelöst werden kann. 

Ziel des Vorhabens ist die Erhöhung der Resilienz kritischer Infrastrukturen im Gesundheitssektor am Beispiel des Malteser-Verbundes sowie die Schaffung einer nachhaltigen Sicherheitskultur durch 

• die Entwicklung eines ganzheitlichen Informationssicherheitskonzeptes, das technische, organisatorische und personalentwickelnde Maßnahmen integriert, 

• die Erarbeitung von zielgruppendifferenzierten Schulungsmaßnahmen zur Erhöhung der Awareness gegen Bedrohungen aus dem digitalen Raum (präventiv) sowie der Qualifikation im Umgang mit potenziellen Gefahren, mit Fokus auf die Zielgruppe der ehrenamtlichen Mitarbeiterinnen und Mitarbeiter, 

• die Optimierung von Kommunikationsprozessen zu akuten Bedrohungen, sowohl zur Prävention als auch zur effektiveren Detektion und Reaktion.

• Mit welchen qualifikatorischen und informatorischen Maßnahmen kann die Awareness gegenüber Angriffen aus dem digitalen Raum erhöht werden und  inwieweit müssen Interventionen zielgruppendifferenziert konzipiert sein, um insbesondere auch ehrenamtliche Mitarbeiter*innen erreichen, interessieren und aktivieren zu können? 

• Wie müssen Kommunikations- und Organisationsprozesse in einem ganzheitlichen Konzept integriert sein und wie müssen sie gestaltet sein, um Awareness zu steigern? 

• Wie können und wo müssen technische, organisatorische und personelle Maßnahmen sich ergänzen, überschneiden und zusammenspielen, um Risiken frühzeitig erkennen und entgegnen zu können?  

• Welche Faktoren können dazu beitragen, die Resilienz von kritischen Infrastrukturen nachhaltig zu erhöhen? 

• Wie können Bedrohungen anhand der Korrelation technischer Beobachtungen mit Anwendermeldungen frühzeitig erkannt und eingedämmt werden und wie können Anwender vor digitalen Angriffen und Bedrohungen zeitnah, effektiv und angemessen gewarnt werden? 

Zu Beantwortung dieser Fragen werden Gefahren aus dem digitalen Raum systematisch betrachtet und geeignete Maßnahmen zur Mitigation dieser Risiken entwickelt und implementiert. Dazu werden mehrere Problemebenen adressiert: