Die Digitalisierung von Arztpraxen kommt hierzulande nur langsam voran. Das liegt vielfach an Sicherheitsbedenken. Doch wie gefährlich ist es eigentlich, sensible Praxisdaten in der Cloud zu speichern? Mednic.de sprach mit dem IT-Spezialisten Robert Freudenreich, CTO der Secomba GmbH, über die Chancen der Cloud-Nutzung für Arztpraxen.
mednic.de: Alle niedergelassenen Ärzte in Deutschland müssen sich aktuell mit dem Thema Digitalisierung auseinandersetzen. Welchen Stellenwert hat in diesem Zusammenhang eine Cloud-Lösung?
Freudenreich: Die Cloud ist ein zentraler Bestandteil von Digitalisierungsprozessen, da sie Datenspeicherung und Backups zentralisiert und dadurch enorm vereinfacht. Eigentlich ist es ganz simpel: Wer seine Daten in der Cloud speichert, muss sie nicht mehr auf dem eigenen Server in der Arztpraxis sichern und Sicherheitsbackups auf Festplatten speichern. Große Firmen übernehmen das und machen die Daten für die Nutzer verfügbar. Die Cloud-Anbieter sind auf den Schutz dieser Daten spezialisiert und man muss nicht befürchten, dass Daten in der Cloud jemals verloren gehen. Das einzige Problem ist, dass die Anbieter bei den gängigen Cloud-Speichern aufgrund des technischen Setups theoretisch auf die Daten zugreifen könnten. Das ist mit der DSGVO (EU Datenschutz-Grundverordnung) nicht vereinbar und da kommt unsere Verschlüsselungslösung Boxcryptor ins Spiel. Denn mit unserer Software ist es möglich, die Daten automatisch zu verschlüsseln, bevor sie in die Cloud geladen werden. Auf den Geräten in der Praxis kann man wie gewohnt mit den Daten arbeiten, aber sobald sie in der Cloud abgespeichert werden, werden sie automatisch so verschlüsselt, dass niemand die Daten lesen oder etwas damit anfangen kann.
mednic.de: Wem bringt eine Cloud-Lösung die meisten Vorteile: Den Ärzten, dem Praxispersonal oder den Patienten?
Freudenreich: Eine sicher verschlüsselte Cloud-Lösung nützt allen. Ärzte müssen sich nicht mehr um Server und Updates und solche Dinge kümmern. Backups auf Festplatten sind auch nicht mehr nötig. Zudem ist eine verschlüsselte Cloud-Lösung meist billiger, als eigene Server zu betreiben und zu warten. Für das Praxispersonal ändert sich nur der Speicherort. Doch ein weiterer Vorteil der Cloud ist: Man kann auf die Daten von unendlich vielen Geräten zugreifen, auch von mobilen Geräten, von unterwegs, egal wo man ist. Das vereinfacht sicher auch Abläufe, falls sich der Arbeitsalltag nicht immer nur in der Praxis abspielt. Die Patienten profitieren natürlich davon, dass ihre sensiblen Gesundheitsdaten gut geschützt sind.
mednic.de: Aktuell stehen mangelhaft abgesicherte Konnektoren für die TI in den Schlagzeilen. Sehen Sie die IT-Sicherheit für Cloud-Lösungen überhaupt gewährleistet?
Freudenreich: Cloud-Anbieter sind gut darin, Daten „physisch“ zu schützen. Niemand wird es schaffen, in die Serverräume einzudringen und Daten zu stehlen. Die Daten werden mehrfach gespeichert und dadurch vor Katastrophen geschützt. Hochqualifizierte IT-Spezialisten kümmern sich tagtäglich um die Sicherheit der Daten. Diese Expertise kann keine Arztpraxis selbst aufbringen, sie holt sich stattdessen ab und zu Hilfe von einem externen Dienstleister. Und selbst ein Krankenhaus hat oft nur einen, oder ein kleines Team an IT-Spezialisten zur Verfügung.
“Zugriff von Dritten ist ohne eine zusätzliche Verschlüsselungslösung nicht vollständig ausgeschlossen”
Robert Freudenreich, CTO Secomba GmbH
Ein Problem ist aber, dass der unbefugte Zugriff von Dritten ohne eine zusätzliche Verschlüsselungslösung nicht vollständig ausgeschlossen ist. Cloud-Anbieter verschlüsseln Daten zwar auch, aber nicht mit Ende-zu-Ende-Verschlüsselung oder Zero-Knowledge-Verschlüsselung. Der Anbieter und seine Mitarbeiter könnten die Daten theoretisch einsehen oder weitergeben. Die meisten großen Anbieter sind amerikanisch, wodurch die Daten theoretisch in den USA landen können.
Doch Verschlüsselungslösungen wie Boxcryptor ermöglichen es, die Cloud datenschutzkonform zu nutzen, da sie die Daten verschlüsseln, bevor der Anbieter sie überhaupt erhält. Kombiniert man eine der marktführenden Clouds mit einer Zero-Knowledge-Verschlüsselungslösung, ist die Sicherheit der Cloud und der Daten absolut gewährleistet.
mednic.de: Was raten Sie Ärzten, die die Digitalisierung in ihrer Praxis umfassend und zugleich sicher vorantreiben wollen? Was sind typische Fehler und worauf sollten die Praxisbetreiber besonders achten?
Freudenreich: Wichtig ist erst einmal, dass das Thema Datenschutz und Datensicherheit auf der Agenda steht und dass man sich damit aktiv auseinandersetzt. Dann ist schon einmal viel gewonnen. In Bezug auf die Systeme ist Aktualität das A und O in der IT-Sicherheit. Es sollten keine veralteten Systeme wie zum Beispiel Windows 7 genutzt werden und vorhandene Updates sollten immer zügig eingespielt werden. Die neuen Versionen sind nämlich in der Regel nicht nur besser, sondern vor allem auch sicherer. Denn leider gibt es bei Software immer wieder Sicherheitslücken und ein wichtiger Zweck von Updates ist es, diese zu schließen. Bei Cloud-Lösungen sind diese Updates nicht zeitaufwändig und natürlich kostenlos.
Zweitens sollte man sich bewusst machen: Daten selbst auf eigenen Servern zu verwalten (On-Premise) ist nicht per se sicherer, als die Cloud. Denn sobald etwas mit dem Internet verbunden ist, wird es auch angegriffen. Bei On-Premise liegt die Verantwortung für einen sicheren Betrieb in den eigenen Händen, womit viele Arztpraxen überfordert sind. Das ist ja auch verständlich, denn IT gehört natürlich nicht zu den Kernkompetenzen eines Arztes. Es gibt leider viele Fälle, in denen zum Beispiel NAS-Systeme so unsicher eingerichtet wurden, dass die Daten einfach frei im Internet verfügbar waren. Digitalisierung im besten Sinne bedeutet daher meines Erachtens auch, komplexe Aufgaben der IT an Experten abzugeben.
mednic.de: Wirtschaftsminister Peter Altmaier hat vor Kurzem Pläne für europäisches Cloud-Netzwerk „Gaia X“ präsentiert. Was halten Sie davon? Inwiefern könnte das auch für die Digitalisierung des Gesundheitswesens in Deutschland bedeutsam sein?
Freudenreich: Wir stehen diesem Projekt kritisch gegenüber. Denn es gibt bereits sehr gute Lösungen auf dem Markt. Natürlich ist es nicht ideal, dass die großen Clouds alle aus den USA kommen, von riesigen Tech-Firmen wie Microsoft, Amazon und Google. Doch es gibt deutsche Lösungen, die die Cloud sicher machen und die Datenhoheit für den Nutzer herstellen. Wir sehen es eher unrealistisch, dass die Gaia X schnell mit den vorhandenen, technisch ausgereiften Lösungen aufholen kann. Microsoft, Amazon und Google arbeiten seit Jahren daran, die Cloud-Dienste immer besser zu machen. Wir fürchten, dass in diesem Projekt viel Geld vergraben wird und am Ende kein konkurrenzfähiges Produkt herauskommen wird. Wenn die Gaia X nicht so gut funktioniert wie Dropbox, OneDrive und Co., dann wird sie von den Nutzern auch nicht angenommen.
In einem kostenlosen Whitepaper zur Cloud in der Gesundheitsbranche hat das Unternehmen Secomba Informationen über die Nutzung einer sicher verschlüsselten Cloud in der Gesundheitsbranche zusammengestellt. Hier lässt sich das Whitepaper herunterladen.