Videosprechstunden, E-Rezepte, Medizin-Apps: die Digitalisierung des Gesundheitswesens schreitet voran. Vernetzte Technologien sollen medizinisches Personal in der Patientenversorgung stärker unterstützen. Das Pandemie-Jahr 2020 hat diesen Trend weiter verstärkt. Doch wie sieht es hier mit dem Thema IT-Sicherheit aus?
Immerhin handeln Krankenhäuser, Krankenkassen, Ärzte und Apotheker schließlich mit „kritischen Kategorien personenbezogener Daten“, die laut Gesetz einen besonderen Schutz genießen. Gleichzeitig sind Gesundheitseinrichtungen auf funktionierende IT-Systeme angewiesen, um Patienten jederzeit umfassend versorgen zu können.
Während die Digitalisierung im deutschen Gesundheitswesen in den vergangenen Jahren eher schleppend voranging, folgt jetzt der große Umbruch: Digitale Dienste und Services sollen binnen weniger Jahre ein selbstverständlicher Teil des Versorgungsalltags werden. Ein wichtiger Schritt stellt die stufenweise Einführung der elektronischen Patientenakte (ePA) ab dem 1. Januar 2021 auf Basis des E-Health-Gesetzes dar, welche Versichertendaten digital bündeln soll.
Ziel ist eine umfassende Vernetzung des deutschen Gesundheitswesens zwischen Ärzten, Apotheken und Patienten. Zahlreiche Arbeitsschritte sollen durch die ePA digitalisiert und vereinfacht werden. Das medizinische Personal soll damit entlastet werden, um sich auf seine Kernaufgabe – die Versorgung und Betreuung von Patienten – konzentrieren zu können.
Gesundheitsbranche als leichtes Ziel für Hacker
Die digitale Vernetzung birgt auch ein nicht zu unterschätzendes Risiko. Denn: Gesundheitseinrichtungen sind gegen Hacker-Angriffe oftmals nicht ausreichend geschützt und Mitarbeit im Umgang mit sensiblen Daten nicht ausreichend geschult. Gründe hierfür sind oft die nahezu schon chronische Unterfinanzierung oder die langjährige Vernachlässigung des Themas Datensicherheit.
Gesundheitsdaten sind für Hacker ein lohnendes Ziel. Finden Cyber-Kriminelle einen Zugang zu diesen Daten, lassen sich damit Patienten, Ärzte oder auch Krankenhäuser sowie Krankenkassen erpressen – oftmals mit sehr hohen finanziellen Forderungen. Ein noch schlimmeres Szenario: Hackern gelingt es, IT-Systeme in Krankenhäusern lahmzulegen, sodass Operationen ausgesetzt oder Patientenaufnahmen gestoppt werden müssen. Ganze Staaten können damit unter Druck gesetzt werden.
Ein Beispiel für die Problematik unzureichend geschützter Gesundheitseinrichtungen zeigt die nach dem Netzwerkwurm benannte „WannaCry“-Attacke im Jahr 2017, die insbesondere in UK große Schäden verursachte. Selbst Teile des britischen National Health Service (NHS) waren betroffen: Fast 80 britische Krankenhäuser mussten Patienten in andere Krankenhäuser verlegen und rund 19.000 Operationen wurden abgesagt.
Mehrere 100 Millionen für die IT-Sicherheit der Gesundheitsbranche
Fest steht: Bei der stetig steigenden Nutzung der Telemedizin sind Gesundheitseinrichtungen gefordert, in Zusammenarbeit mit IT-Security-Anbietern ihre digitale Sicherheit zu stärken. Helfen soll hierbei unter anderem das Krankenhauszukunftsgesetz des Bundes. Dieses sieht vor, dass ab Januar 2021 der Bund drei Milliarden Euro für die Digitalisierung der Gesundheitsbranche bereitstellt. Weitere 1,3 Milliarden Euro steuern die Länder bei.
Ein zentraler Punkt dabei ist, dass Fördermittel für die Digitalisierung an konkrete Maßnahmen geknüpft sind, die die Cyber-Sicherheit der Branche verbessern sollen. Mindestens 15 Prozent jeder beantragten Fördersumme müssen explizit in IT-Sicherheitsprojekte investiert werden. Dies ist einer der Schritte, mit dem der stetig steigenden Bedrohung durch Cyber-Attacken entgegengewirkt werden soll.
Welche Vorgaben sind für Gesundheitseinrichtungen dabei relevant?
- Sicherheit von Daten: Grundsätzlich gilt, dass der Schutz von Daten durch die Datenschutzgrundverordnung (DSGVO) geregelt ist. Sie bedingt verschlüsselte E-Mail-Kommunikation, sobald personenbezogene Daten übermittelt werden, wie es bei Gesundheitsdaten der Fall ist. Der Weg dieser Daten ist zu dokumentieren. Auch zu Patienten ist eine verschlüsselte Kommunikation von Nöten. Patientendaten sind als hochsensible Daten mit Nachweis des unveränderten Eingangs ebenso SGB-konform zu speichern (Integritätsnachweis). Das Patientendaten-Schutz-Gesetz regelt darüber hinaus, dass jeder - egal ob Ärzte, Krankenhäuser oder Apotheken - für den Schutz der Patientendaten verantwortlich ist, die von ihm in der Telematikinfrastuktur bzw. digitalen Gesundheitsanwendung verarbeitet werden.
Hierfür empfehlen sich die Produkte julia mailoffice und emily. Für die sichere Kommunikation bietet julia mailoffice als virtuelle Poststelle einen Komplett-Schutz. Die serverbasierte Lösung zum Ver- und Entschlüsseln von E-Mails sowie zur zentralen Signatur und Signaturprüfung sorgt für erhöhte Sicherheit im E-Mail-Verkehr. emily ist ein Web-basiertes System zur sicheren Dokumentenablage und zum sicheren Dokumentenaustausch. Ebenso ermöglicht emily eine sichere Kommunikation zwischen Partnern per Chat. Diese Lösungen werden bereits von den meisten Krankenkassen, medizinischen Diensten, vielen Kliniken und in einigen Bundesbehörden im Bereich des Gesundheitswesen eingesetzt.
- Sicherheit von IT-Infrastrukturen: Für Kliniken mit mindestens 30.000 vollstationären Fällen pro Jahr gilt die „Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Kliniken müssen entsprechende Nachweise erbringen, dass ihre IT-Sicherheit auf dem aktuellen Stand der Technik ist. Die Anforderungen folgen im Wesentlichen der in der Praxis etablierten, internationalen Norm ISO 27001. Diese sieht zum Schutz vor Hacker-Attacken ganzheitliche Lösungen zur Angriffserkennung vor. Doch auch für kleinere Häuser empfehlen sich diese Vorgaben als Leitfaden für mehr Versorgungssicherheit.
SCUDOS ermöglicht Krankenhäusern einen Schutz der Netzwerkinfrastruktur, in dem es die Transparenz des Netzwerkes maximiert, Sicherheitslücken aufdeckt und so unmittelbare Bedrohungen in Echtzeit verhindert.
Fazit
Die Digitalisierung der Gesundheitsbranche schreitet voran, doch damit steigen auch die Gefahren von Cyberattacken und internen Anwendungsfehlern. Der Gesundheitssektor zählt mit zu den am häufigsten betroffenen Branchen. Für Hacker ist er besonders attraktiv, denn Cyberkriminelle finden hier eine Fülle an sensiblen Patientendaten, die sie lukrativ nutzen können. Gesundheitseinrichtungen sind gefordert, die zwingend notwendige IT-Sicherheit gemäß gesetzlichen Vorgaben auszubauen.