Im Gesundheitswesen fehle es an einer durchgängigen Hygiene, sagt Mick Coady, Field CTO bei Elisity Cybersecurity und früher für die Cybersicherheit von Krankenhäusern verantwortlich. Er führt das auf eine Mischung aus Kultur und Benutzerfreundlichkeit zurück. Viele Mediziner gingen die Sache nachlässig an: “Sie wollen sich die Mühe nicht machen, und es gibt auch eine gewisse Überheblichkeit, die mit ihrem Status einhergeht”, so Coady gegenüber Dark Reading. Die typische Ausrede laute, man werde dadurch ausgebremst – “und das wegen eines sechsstelligen Passworts?”

Ärzte sollten den Empfehlungen der Sicherheitsverantwortlichen zumindest aufgeschlossen gegenüberstehen, da sie sonst “ein Einfallstor für Risiken öffnen”, mahnt Coady.

Auch in der Fertigung ist das Identitätsmanagement eine erhebliche Herausforderung. Anlagenbediener teilten unzählige Zugangskennungen, um die Produktion aufrechtzuerhalten, erklärt Lisa Caldwell, die bei Marsh den Bereich Fertigung und Automobilindustrie für die USA leitet. Sie schildert eine Situation aus jüngster Zeit in einem Werk: “Jemand sagt: ‘Hey, du loggst dich gerade als ich ein, ich komme nicht rein.’ Das liegt daran, dass unsere Denkweise eine andere ist.”

Bediener hätten eine Produktions- und keine Sicherheitsdenkweise, was “eine große Lücke schafft”, so Caldwell. Ein Werksleiter erkenne den Sinn eines schwer zu knackenden Passworts nicht, solange die Linie reibungslos läuft.

Mit zunehmender Vernetzung der Systeme werde bessere Passworthygiene wichtiger, da sonst Risiken in der Lieferkette entstehen könnten – gerade in Fertigungsprozessen. Caldwell beobachtet, dass die operative Technik (OT) die Angriffsfläche vergrößert. Werke setzen verstärkt auf Automatisierung und neue Wege, um Effizienz, Transparenz und Leistung zu steigern. Diese Modernisierungen seien wichtig, könnten aber mit ein Grund dafür sein, dass die Fertigung ein so beliebtes Ransomware-Ziel bleibt. “Als ich in der Fabrik anfing, war das eine ziemlich isolierte Welt”, erinnert sie sich. Die operative Technik habe sich damals innerhalb der vier Wände des Werks abgespielt.

Der Einsatz von Altsystemen auf Fabrikböden wie auf Krankenhausfluren erschwert eine starke Passworthygiene, weil veraltete oder abgekündigte Software ohne moderne Authentifizierungsverfahren genutzt wird. Paradoxerweise bleiben diese Systeme gerade deshalb im Einsatz, weil ihre Funktionen zu wichtig sind, um sie für ein Upgrade abzuschalten. “Der Grund, warum wir jahrzehntealte Technik haben, ist, dass wir Konsistenz anstreben und sie dann voll ausnutzen. Wir mögen keinerlei Ausfallzeiten”, sagt Caldwell. In einem Werk, in dem sie einst tätig war und das es noch gibt, laufe teils noch dieselbe Technik, die sie damals installiert habe.

Ähnlich denke man im Gesundheitswesen: Tempo und Beständigkeit zählen, und Verzögerungen können die Sicherheit von Bedienern wie Patienten gefährden.

Als konkreten Ansatz nennt Caldwell eine bessere Überwachung verdächtiger Anmeldevorgänge. Zwar kämen immer mehr Überwachungswerkzeuge auf den Markt, doch viele Hersteller nutzten sie nicht. Produktivität werde ständig überwacht, der unbefugte Zugriff auf Anlagen jedoch kaum. “Wir überwachen es nicht mit dieser Denkweise und haben nicht die Historie, um zu erkennen, dass etwas Seltsames passiert, und es schnell zu stoppen”, sagt sie.

Coady plädiert dafür, die Gefahren mangelnder Passworthygiene ausführlich zu erklären und Betroffene gezielt zu fragen, ob sie das Risiko wirklich eingehen wollen. Ärzte hätten in den vergangenen zehn Jahren große Fortschritte gemacht – “aber wenn man wieder auf gar kein Passwort umstellen würde, würden sie das sofort tun.”