Realitätscheck Krankenhaus: Wie sicher sind unsere Daten?

Geht die Digitalisierung im Gesundheitswesen zu Lasten der Sicherheit? In seinem Gastbeitrag für mednic.de beleuchtet Carsten Kramschneider, Strategic Account Executive Healthcare & Education bei VMware, den aktuellen Stand der digitalen Sicherheit in deutschen Krankenhäusern gibt einen Ausblick auf die Chancen und Risiken.

Gastbeitrag von Carsten Kramschneider

Die Digitalisierung ist die industrielle Revolution des 21. Jahrhunderts. Während in vielen anderen Branchen digitalisierte und automatisierte Prozesse bereits zum Alltag gehören, steht das Gesundheitswesen in Deutschland –  speziell in den Krankenhäusern – noch ganz am Anfang. Doch die Digitalisierung bringt enorme Chancen mit sich, mehr Effizienz, höhere Qualität und nicht zuletzt Kostensenkungen. In der Öffentlichkeit stehen hingegen eher Risiken und Gefahren neuer Technologien im Fokus – Kernpunkt ist der Datenschutz und die Diskussion rund um umfassende Sicherheitsrichtlinien.

Deutsche Krankenhäuser sparen an IT-Investitionen

Deutschland steht heute noch am Anfang dieses Weges. Zwar existiert mit dem E-Health-Gesetz ein Fahrplan mit umfangreichem Maßnahmenkatalog, der in verschiedenen Schritten bis 2019 umgesetzt werden soll. Jedoch verfügen bisher erst zwei von fünf Krankenhäuser in Deutschland  über eine Digitalisierungsstrategie. Große Herausforderungen und Hindernisse bei der Umsetzung stellen die veraltete IT-Infrastruktur sowie die mangelnde Kompatibilität bzw. Interoperabilität der bestehenden IT-Lösungen dar. Der ausschlaggebende Punkt ist jedoch wie so oft das Geld: deutsche Krankenhäuser geben durchschnittlich nur zwischen ein und zwei  Prozent ihres Umsatzanteils für IT  aus. Im Gegensatz zu Deutschland ist vielen anderen Ländern der technologische Fortschritt einiges mehr wert. In den Niederlanden etwa beträgt das IT-Budget von Kliniken im Durchschnitt fünf Prozent des Gesamtbudgets. Ähnliche Zahlen lassen sich auch in den USA verzeichnen. So entsteht in vielen Fällen ein Investitionsstau, der dann den Radikalumbau einer veralteten Infrastruktur massiv erschwert: Nicht nur ein Hemmschuh für die Digitalisierung – gleichzeitig auch ein massives Sicherheitsrisiko.

Missbrauch von Patientendaten ist ein lukratives Geschäft

Sicherheitsvorfälle sind mittlerweile auch im Gesundheitswesen keine Ausnahme mehr: So wurden bereits 64 Prozent der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs. Erst Anfang 2018 sind Hacker in das IT-System einer norwegischen Gesundheitsbehörde eingedrungen und hatten Zugriff auf die Daten von drei Millionen Patienten. Eine weitere große Gefahr besteht darin, dass jegliche medizinische Software – egal ob in einem Herzschrittmacher, einem MRT oder einer mobilen Health-App – gehackt werden kann und Daten missbraucht oder Geräte manipuliert werden können. Im Ernstfall steht das Leben des Patienten auf dem Spiel. Letztendlich geht es stets um das höchste Gut im Gesundheitswesen: die vertraulichen Patientendaten. Diese sind wertvoll und können auf verschiedene Art und Weise missbraucht werden. Identitätsdiebstahl ist dabei besonders lukrativ: Mit den Daten kann man sich Schmerz- oder Schlafmittel verschreiben lassen und diese verkaufen. Ganze Operationen oder umfangreiche Behandlungen können in falschem Namen abgerechnet werden oder eine Krankenversicherung abgeschlossen werden. Entsprechend ist der Schwarzmarktwert solcher Datensätze hoch.

Besonderer Schutz personenbezogener Daten

Grundsätzlich sind die Persönlichkeitsrechte in Deutschland ein hohes zu schützendes Grundrecht, zusätzlich unterliegen die Ärzte der Schweigepflicht. Dies bedeutet, dass Patienten vor einer unzulässigen Verarbeitung und Weitergabe ihrer personenbezogenen Daten, insbesondere über ihren Gesundheitszustand, geschützt werden müssen. So bedarf es der Einwilligung des Patienten, wenn Daten an Dritte weitergegeben werden, beispielsweise vom Krankenhaus an den Hausarzt. Wie so vieles im Krankenhausalltag funktioniert diese über eine Unterschrift auf Papier in mehrfacher Ausführung. Mit der elektronischen Patientenakte, die Teil des E-Health-Gesetzes ist, sollen wichtige Informationen wie Arztbriefe, Daten über die Medikation und ähnliches in Zukunft digital bereitgestellt und auch für den Patienten selbst einsehbar werden. Ein Projekt, das gerade im Notfall, in dem dringend Daten des Patienten zum Beispiel zu Impfungen oder Unverträglichkeiten benötigt werden, großes Potenzial verspricht.

Wie man es auch dreht und wendet: eine Modernisierung der IT- und Rechenzentrumsinfrastruktur ist für Krankenhäuser unerlässlich. Und sie können damit gleich zwei Fliegen mit einer Klappe schlagen: auf der einen Seite die Digitalisierung vorantreiben und deren Potential voll ausschöpfen, auf der anderen Seite höchste Datenschutz-Sicherheitsstandards gewährleisten. Ein Lösungsansatz ist es verkrustete Rechenzentrums-Architekturen aufzubrechen und den Weg für eine Software-definierte Architektur freizumachen, mit der sich Rechenzentrums-Services kostengünstig und einfach konfigurieren sowie flexibel hinzufügen und verwalten lassen. Auch lassen sich mit Virtualisierungstechnologie die elektronische Patientenakte oder computergestützte Verordnungssysteme und der Austausch von Patientendaten mit kalkulierbarem Aufwand bewerkstelligen.

Spezielle Sicherheits-Standards für Kritische Infrastrukturen

Krankenhäuser mit mehr als 30.000 Behandlungsfällen pro Jahr  gehören in Deutschland zu den bedeutsamen Versorgungssystemen unserer Gesellschaft und sind Teil der Kritischen Infrastrukturen (KRITIS). Sind sie von Ausfällen oder Störungen betroffen, kann das dramatische Folgen haben. Daher sind diese Einrichtungen verpflichtet, die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Doch auch die steigende Cyber-Kriminalität und die strengen Datenschutzgesetze innerhalb der EU sollten Grund genug sein für Krankenhäuser, ihr IT-Sicherheitskonzept auf den Prüfstand zu stellen. Das Netzwerk ist eine sensible Stelle für Angriffe auf das Rechenzentrum, daher ist die Mikrosegmentierung des Netzwerkes ein wichtiger Ansatzpunkt. Aufbauend auf der Virtualisierung des Netzwerkes werden Sicherheitsfunktionen von der zugrunde liegenden physischen Hardware entkoppelt und Defizite bei der Sicherheitsbereitstellung von Legacy-Architekturen überwunden. Die Mikrosegmentierung erlaubt dabei ein detailliertes Firewalling und die Durchsetzung von Sicherheitsrichtlinien über alle Workloads des Rechenzentrums hinweg – unabhängig von der Topologie und Komplexität des Netzwerkes. Virtuelle Netzwerk- und Sicherheitssoftware ermöglicht es IT-Teams beispielsweise, medizinische Geräte zu isolieren, auf denen veraltete und dadurch anfällige Betriebssystemversionen laufen. Eine vorausschauende Investition, die das Netzwerk zukunftsfähig macht und mit der wachsenden Bedrohungslandschaft Schritt hält.

Patientendaten sicher auf dem Smartphone nutzen

Doch auch über das Rechenzentrum hinaus muss das Sicherheitskonzept das gesamte Spektrum mobiler Endgeräte abdecken. Denn mobile Geräte wie Smartphones, Laptops und Tablets machen auch vor dem Gesundheitswesen nicht Halt – und sind gerade für Ärzte und Pflegepersonal in einem großen Krankenhausbetrieb von enormem Nutzen. Darüber hinaus profitieren Patienten ebenfalls von schnell verfügbaren Daten und Diagnosen. In einer Notsituation kann sich der behandelnde Arzt beispielsweise irgendwo im Krankenhaus, von zuhause oder unterwegs auf jedem ihm zur Verfügung stehenden Gerät einloggen, die Akte des Patienten aufrufen und die entsprechenden Programme nutzen. So wird wertvolle Zeit gespart, die im Ernstfall Leben rettet.

Jedoch muss gerade bei den mobilen Endgeräten auf ein weitreichendes Sicherheitskonzept geachtet werden: es besteht das Risiko, dass Mitarbeiter Geräte verlieren oder Geräte gestohlen werden. Dann ist ein Zugriff auf die gespeicherten Daten, E-Mails, Fotos, Kontakt- oder Standortdaten nicht auszuschließen. Außerdem können Angreifer die Geräte manipulieren und unbemerkt zurückgeben, um sich unberechtigten Zugang zu sensiblen Informationen zu verschaffen. Mit einer geeigneten Enterprise Mobility Management-Lösung können verlorene oder gestohlene mobile Endgeräte über Fernzugriff gelöscht werden. Doch nicht nur Ärzte und Pflegekräfte profitieren von mobilen Endgeräten: Krankenhäuser müssen sich zunehmend auf die steigenden Ansprüche ihrer Patienten einstellen, die etwa per E-Mail mit ihrem Arzt kommunizieren und das iPad am Krankenbett nutzen wollen oder eine Terminbestätigung per SMS oder WhatsApp erwarten.

Fazit: Die Digitalisierung kann einhergehend mit der Modernisierung der IT-Infrastruktur dazu beitragen, die Sicherheit zu erhöhen, das Krankenhauspersonal zu entlasten und das Vertrauen der Patienten in die Gesundheitsversorgung zu stärken. So sind 80 Prozent der Krankenhausärzte der Meinung, dass durch die Digitalisierung die ärztliche Arbeit im Krankenhaus verbessert werden kann . Der hohe Anteil bürokratischer Aufgaben könnte sich dadurch erheblich verringern lassen, so dass Ärzte und Pflegekräfte wieder mehr Zeit für die Versorgung der Patienten haben.