Cyber Security im Gesundheitswesen

Schnell gelesen:

Die aktuellen Datenschutz- und IT-Sicherheitsprojekte im Gesundheitswesen deuten darauf hin: Wir sind auf dem richtigen Weg. Dass der Weg noch lang ist, sieht niemand. Und dass dabei die Sicherheit noch auf sich warten lässt, auch nicht. Dabei ist jeder Beteiligte gefordert, seinen Beitrag zum Schutz und zur Sicherheit der Daten und der IT zu leisten.

Schon seit Jahren arbeiten Politik, Verwaltung, Forschung und Wirtschaft an den Herausforderungen der Digitalisierung im Gesundheitswesen. Auf Bundes- und auf Landesebene entstehen laufend neue Projekte. Z.B. in der Landesinitiative eGesundheit.nrw bündelt das Ministerium für Gesundheit, Emanzipation, Pflege und Alter des Landes Nordrhein-Westfalen Projekte, die Informations- und Kommunikationstechnologien zur Weiterentwicklung des Gesundheitswesens erproben. Gebündelt werden, so der Koordinator ZTG (www.ztg-nrw.de), innovative Projekte, Dienstleistungen und Anwendungen, die mit Hilfe telematischer bzw. telemedizinischer Verfahren die medizinische und gesundheitliche Versorgung sowie die damit verbundene Organisation und Koordination zwischen Leistungserbringern, Kostenträgern sowie Patientinnen und Patienten effizienter gestalten und zu mehr Qualität beitragen.

Eine Schlüsseltechnik ist dabei die elektronische Gesundheitskarte (eGK), die laut der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH gemeinsam mit der Telematikinfrastruktur unter anderem starken Datenschutz und Datensicherheit im Gesundheitswesen verspricht.

Und, im Umgang mit Patientendaten werden, so die Formulierungen auf den Seiten der Landesinitiative eGesundheit.nrw, hohe Anforderungen an den Datenschutz und die IT-Sicherheit gestellt. Aus diesem Grund sind elektronische Heilberufs- und Berufsausweise – neben der eGK – das wichtigste Strukturelement des Sicherheitskonzeptes. Sie authentifizieren die Ausweisinhaber, prüfen ihre Autorisierung und ermöglichen eine qualifizierte rechtsverbindliche Signatur.

Gut so! Weiter so! Schritt für Schritt werden die Grundlagen für die verlässliche Kommunikation zwischen den Beteiligten sowie zur Steigerung von Datenschutz und IT-Sicherheit geschaffen.

Das ist aber nur die halbe Miete. Schaut man derzeit auf die lokalen IT-Infrastrukturen dieser Beteiligten, so kann man das Vertrauen in die IT-Sicherheit verlieren. Haben doch im September 2015 US-amerikanische Sicherheitsforscher 68.000 verwundbare medizinische Geräte (z.B. Infusionsgeräte, Magnetresonanztomographen etc.) gefunden. Dabei fanden sie nach eigenen Angaben Tausende falsch konfigurierte Geräte mit direkten Angriffsvektoren (Schwachstellen). Gut, es sind US-amerikanische Sicherheitsforscher. Es ist jedoch anzunehmen, dass unter den verwundbaren Geräten auch europäische oder deutsche waren oder eine Untersuchung hiesiger Endgeräte zu ähnlichen Ergebnissen gekommen wäre.

Das ist ein deutlicher Beleg dafür, dass bei dem Einsatz von neuen und nützlichen Technologien (zB. durch die fortschreitende Einbindung aller möglichen Endgeräte in das Netz) in den letzten Jahren das Thema Datenschutz und IT-Sicherheit zugunsten immer schnellerer Innovations- und Produktzyklen vernachlässigt wurde. Hauptsache der Nutzen ist sichergestellt! Datenschutz- und IT-Sicherheit? Egal.

Hier auf das Ergebnis der diversen bundes- und landesweiten Projekte zu warten, wäre falsch. Die Geschäftsführer und Vorstände der Kliniken, die Inhaber von (Gemeinschafts-) Praxen, Laboren und Apotheken, etc. sind gefordert, dass deren lokale IT-Infrastruktur ein „angemessenes Maß” an IT-Sicherheit aufweisen sollte.

Dazu sind organisatorische und technische Maßnahmen erforderlich, wie es z.B. das Bundesdatenschutzgesetz fordert oder das IT-Sicherheitsgesetz oder berufsständische Gesetze oder andere. Ein Gesetz sollte dazu aber nicht notwendig sein. Nach Monaten der Berichterstattung über Lücken und Schwachstellen in der IT kann ernsthaft niemand mehr sagen, von nichts gewusst zu haben.

Um das „angemessene Maß” zu identifizieren, muss man eine Positionsbestimmung vornehmen. Und für eine solche Positionsbestimmung gibt es einige sinnvolle Instrumente, die wir deutlich empfehlen!

Mit sogenannten Penetrationstests kann festgestellt werden, wie leicht es Angreifer haben, die eigene IT unter ihre Kontrolle zu bringen – von innen (Zutritt, Zugang, Zugriff zur eigenen IT über verschiedene Angriffsvektoren) und von außen (Knotenpunkte ins öffentliche Netz, Webauftritte, Mobile Devices etc.). Auf Basis der Ergebnisse lassen sich gezielt Maßnahmen einleiten, das Niveau zu heben.
Mit einem Cyber-Security-Check des BSI kann festgestellt werden, wie gut die eigene Organisation auf Angriffe aus dem Cyber-Raum insgesamt gewappnet ist. Ein solcher Check liefert in kurzer Zeit Hinweise auf geeignete Maßnahmen.
Mit der Auseinandersetzung gängiger Frameworks (ISIS12, ISO 27001ff, Cobit, etc.) lässt sich die eigene Organisation auf ein höheres Datenschutz- und IT-Sicherheitsniveau heben. Zertifizierungen zu diesen Frameworks beweisen die „Angemessenheit” auch nach außen.
In Funktionen wie einen IT-Sicherheitsbeauftragten und Datenschutzbeauftragten sowie in Zeit für Schulungen zu investieren, ist heute gut angelegtes Geld.