IT-Sicherheit im Gesundheitswesen

31. Januar 2021 | Allgeier CyRis

Videosprechstunden, E-Rezepte, Medizin-Apps: die Digitalisierung des Gesundheitswesens schreitet voran. Vernetzte Technologien sollen medizinisches Personal in der Patientenversorgung stärker unterstützen. Das Pandemie-Jahr 2020 hat diesen Trend weiter verstärkt. Doch wie sieht es hier mit dem Thema IT-Sicherheit aus?

Immerhin handeln Krankenhäuser, Krankenkassen, Ärzte und Apotheker schließlich mit „kritischen Kategorien personenbezogener Daten“, die laut Gesetz einen besonderen Schutz genießen. Gleichzeitig sind Gesundheitseinrichtungen auf funktionierende IT-Systeme angewiesen, um Patienten jederzeit umfassend versorgen zu können.

Während die Digitalisierung im deutschen Gesundheitswesen in den vergangenen Jahren eher schleppend voranging, folgt jetzt der große Umbruch: Digitale Dienste und Services sollen binnen weniger Jahre ein selbstverständlicher Teil des Versorgungsalltags werden. Ein wichtiger Schritt stellt die stufenweise Einführung der elektronischen Patientenakte (ePA) ab dem 1. Januar 2021 auf Basis des E-Health-Gesetzes dar, welche Versichertendaten digital bündeln soll.

Ziel ist eine umfassende Vernetzung des deutschen Gesundheitswesens zwischen Ärzten, Apotheken und Patienten. Zahlreiche Arbeitsschritte sollen durch die ePA digitalisiert und vereinfacht werden. Das medizinische Personal soll damit entlastet werden, um sich auf seine Kernaufgabe – die Versorgung und Betreuung von Patienten – konzentrieren zu können.

Gesundheitsbranche als leichtes Ziel für Hacker

Die digitale Vernetzung birgt auch ein nicht zu unterschätzendes Risiko. Denn: Gesundheitseinrichtungen sind gegen Hacker-Angriffe oftmals nicht ausreichend geschützt und Mitarbeit im Umgang mit sensiblen Daten nicht ausreichend geschult. Gründe hierfür sind oft die nahezu schon chronische Unterfinanzierung oder die langjährige Vernachlässigung des Themas Datensicherheit.

Gesundheitsdaten sind für Hacker ein lohnendes Ziel. Finden Cyber-Kriminelle einen Zugang zu diesen Daten, lassen sich damit Patienten, Ärzte oder auch Krankenhäuser sowie Krankenkassen erpressen – oftmals mit sehr hohen finanziellen Forderungen. Ein noch schlimmeres Szenario: Hackern gelingt es, IT-Systeme in Krankenhäusern lahmzulegen, sodass Operationen ausgesetzt oder Patientenaufnahmen gestoppt werden müssen. Ganze Staaten können damit unter Druck gesetzt werden.

Ein Beispiel für die Problematik unzureichend geschützter Gesundheitseinrichtungen zeigt die nach dem Netzwerkwurm benannte „WannaCry“-Attacke im Jahr 2017, die insbesondere in UK große Schäden verursachte. Selbst Teile des britischen National Health Service (NHS) waren betroffen: Fast 80 britische Krankenhäuser mussten Patienten in andere Krankenhäuser verlegen und rund 19.000 Operationen wurden abgesagt.

Mehrere 100 Millionen für die IT-Sicherheit der Gesundheitsbranche

Fest steht: Bei der stetig steigenden Nutzung der Telemedizin sind Gesundheitseinrichtungen gefordert, in Zusammenarbeit mit IT-Security-Anbietern ihre digitale Sicherheit zu stärken. Helfen soll hierbei unter anderem das Krankenhauszukunftsgesetz des Bundes. Dieses sieht vor, dass ab Januar 2021 der Bund drei Milliarden Euro für die Digitalisierung der Gesundheitsbranche bereitstellt. Weitere 1,3 Milliarden Euro steuern die Länder bei.

Ein zentraler Punkt dabei ist, dass Fördermittel für die Digitalisierung an konkrete Maßnahmen geknüpft sind, die die Cyber-Sicherheit der Branche verbessern sollen. Mindestens 15 Prozent jeder beantragten Fördersumme müssen explizit in IT-Sicherheitsprojekte investiert werden. Dies ist einer der Schritte, mit dem der stetig steigenden Bedrohung durch Cyber-Attacken entgegengewirkt werden soll.

Welche Vorgaben sind für Gesundheitseinrichtungen dabei relevant?

Sicherheit von Daten: Grundsätzlich gilt, dass der Schutz von Daten durch die Datenschutzgrundverordnung (DSGVO) geregelt ist. Sie bedingt verschlüsselte E-Mail-Kommunikation, sobald personenbezogene Daten übermittelt werden, wie es bei Gesundheitsdaten der Fall ist. Der Weg dieser Daten ist zu dokumentieren. Auch zu Patienten ist eine verschlüsselte Kommunikation von Nöten. Patientendaten sind als hochsensible Daten mit Nachweis des unveränderten Eingangs ebenso SGB-konform zu speichern (Integritätsnachweis). Das Patientendaten-Schutz-Gesetz regelt darüber hinaus, dass jeder - egal ob Ärzte, Krankenhäuser oder Apotheken - für den Schutz der Patientendaten verantwortlich ist, die von ihm in der Telematikinfrastuktur bzw. digitalen Gesundheitsanwendung verarbeitet werden.

Hierfür empfehlen sich die Produkte julia mailoffice und emily. Für die sichere Kommunikation bietet julia mailoffice als virtuelle Poststelle einen Komplett-Schutz. Die serverbasierte Lösung zum Ver- und Entschlüsseln von E-Mails sowie zur zentralen Signatur und Signaturprüfung sorgt für erhöhte Sicherheit im E-Mail-Verkehr. emily ist ein Web-basiertes System zur sicheren Dokumentenablage und zum sicheren Dokumentenaustausch. Ebenso ermöglicht emily eine sichere Kommunikation zwischen Partnern per Chat. Diese Lösungen werden bereits von den meisten Krankenkassen, medizinischen Diensten, vielen Kliniken und in einigen Bundesbehörden im Bereich des Gesundheitswesen eingesetzt.
Sicherheit von IT-Infrastrukturen: Für Kliniken mit mindestens 30.000 vollstationären Fällen pro Jahr gilt die „Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Kliniken müssen entsprechende Nachweise erbringen, dass ihre IT-Sicherheit auf dem aktuellen Stand der Technik ist. Die Anforderungen folgen im Wesentlichen der in der Praxis etablierten, internationalen Norm ISO 27001. Diese sieht zum Schutz vor Hacker-Attacken ganzheitliche Lösungen zur Angriffserkennung vor. Doch auch für kleinere Häuser empfehlen sich diese Vorgaben als Leitfaden für mehr Versorgungssicherheit.

SCUDOS ermöglicht Krankenhäusern einen Schutz der Netzwerkinfrastruktur, in dem es die Transparenz des Netzwerkes maximiert, Sicherheitslücken aufdeckt und so unmittelbare Bedrohungen in Echtzeit verhindert.

Fazit

Die Digitalisierung der Gesundheitsbranche schreitet voran, doch damit steigen auch die Gefahren von Cyberattacken und internen Anwendungsfehlern. Der Gesundheitssektor zählt mit zu den am häufigsten betroffenen Branchen. Für Hacker ist er besonders attraktiv, denn Cyberkriminelle finden hier eine Fülle an sensiblen Patientendaten, die sie lukrativ nutzen können. Gesundheitseinrichtungen sind gefordert, die zwingend notwendige IT-Sicherheit gemäß gesetzlichen Vorgaben auszubauen.

Artikel teilen:

CYBERSECURITY-WISSEN DIREKT IN IHR POSTFACH!

WERDEN SIE ZUM CYBERSECURITY INSIDER

CYBERSECURITY INSIGHTS HIER ABONNIEREN ✔

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Cookie Consent	mysign_cookiebanner	HTTP	Wird benötigt um die vom Nutzer ausgewählten Cookie Präferenzen zu speichern.	1 Jahr
Google	test_cookie	HTTP	Verwendet, um zu überprüfen, ob der Browser des Benutzers Cookies unterstützt.	1 Tag
www.allgeier-cyris.de	JSESSIONID	HTTP	Behält die Zustände des Benutzers bei allen Seitenanfragen bei.	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_ga	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	2 Jahre
Google	_gat	HTTP	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken	1 Tag
Google	_gid	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	1 Tag
LinkedIn	lang	HTTP	Speichert die vom Benutzer ausgewählte Sprachversion einer Webseite	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_gcl_au	HTTP	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet, die ihre Dienste nutzen.	3 Monate
Google	pagead/landing	Pixel	Sammelt Daten zum Besucherverhalten auf mehreren Webseiten, um relevantere Werbung zu präsentieren - Dies ermöglicht es der Webseite auch, die Anzahl der Anzeige der gleichen Werbung zu begrenzen.	Session