Cyber-Angriffe stellen für Gesundheitseinrichtungen ein wachsendes Risiko dar. Insbesondere Social-Engineering-Angriffe zielen auf das Verhalten von Mitarbeitenden ab, nicht auf technische Schwachstellen. Da rund 88 % der befragten Mitarbeitenden eines Schweizer Spitals mit sensiblen Patientendaten arbeiten, ist die Bedeutung eines sicheren Verhaltens im Alltag besonders hoch. Ziel dieser Bachelorarbeit war es, das Sicherheitsverhalten im Gesundheitswesen systematisch zu analysieren und praxisnahe Handlungsempfehlungen zur Prävention menschlicher Fehler zu entwickeln.

Die Arbeit basiert auf dem Design-Science-Research-Ansatz. Im Zentrum steht eine empirische Umfrage unter 208 Mitarbeitenden eines Spitals, ergänzt durch eine fundierte Literaturrecherche. Die Analyse erfasst sowohl Wissen über IT-Sicherheitsbegriffe wie Phishing und Social Engineering, als auch das Verhalten in sicherheitskritischen Situationen und die Wahrnehmung bestehender Schulungsangebote.

Die Ergebnisse zeigen deutliche Verbesserungspotenziale: Weniger als die Hälfte der Befragten kennt den Begriff "Social Engineering", obwohl fast alle mit potenziell sicherheitsrelevanten Informationen arbeiten. Zudem zeigen sich Unsicherheiten bei der Anwendung von Sicherheitsrichtlinien und beim Melden verdächtiger Vorfälle. Auf Basis der Analyse wurden 22 konkrete Handlungsempfehlungen entwickelt. Diese umfassen unter anderem die Integration psychologischer Risikofaktoren in Trainings, den gezielten Einsatz von Verhaltenssimulationen sowie die strategische Verankerung der Cybersicherheit auf allen Organisationsebenen. Insgesamt legt die Arbeit nahe, dass technologische Schutzmassnahmen im Gesundheitswesen durch eine starke Sicherheitskultur ergänzt werden müssen. Der Mensch ist dabei nicht nur Risiko, sondern auch Teil der Lösung. Eine kontinuierliche, praxisnahe Sensibilisierung kann wesentlich zur Resilienz gegenüber modernen Cyber-Bedrohungen im Social Enginnering beitragen. Künftige Projekte könnten den Erfolg von Schulungsmassnahmen evaluieren und bestehende Konzepte weiterentwickeln.