Vernetztes Krankenhaus und E-Gesundheit: Daten, ein zweischneidiges Schwert


Wie auch in anderen Bereichen hat das digitale Zeitalter die Möglichkeiten im Klinikumfeld erweitert. Die zunehmende Menge an Gesundheitsdaten ist jedoch auch Quelle erhöhter Cyberrisiken, mit denen proaktiv umgegangen werden muss.

Seit dem 25. Mai 2018, mit dem Inkrafttreten der DSGVO (Datenschutz-Grundverordnung), wird die Problematik „Gesundheitsdaten“ zum ersten Mal klar definiert. Die französische Verordnung vom Januar 2016 zur Speicherung persönlicher Gesundheitsdaten legte die Datenspeicherungsanforderungen für die Anbieter, nicht jedoch für die Daten selbst fest. Diese entsprechen seitdem den „früheren, aktuellen und zukünftigen Daten hinsichtlich der körperlichen oder geistigen Gesundheit einer natürlichen Person (einschließlich der Erbringung von Gesundheitsdienstleistungen), die Informationen über den Gesundheitszustand dieser Person preisgeben". So werden auch personenbezogene Daten, wie sie beispielsweise von Armbändern und anderen vernetzten Objekten gesammelt werden, von dieser breit gefassten Definition erfasst.

Die Versprechen des vernetzten Krankenhauses

Diese neue Situation entsteht zu einer Zeit, in der das Krankenhaus im Zuge der Überalterung der Bevölkerung mehr denn je zu einem einladenden, zugänglichen und angenehmen Ort werden muss. Um dies zu erreichen, setzt man verstärkt auf die Unterstützung durch die neuen Technologien.

Das digitale Zeitalter bietet auch erweiterte Möglichkeiten für die Telemedizin (Tele-Sprechstunde, Tele-Untersuchung, medizinische Fernüberwachung, Fernhilfe und medizinische Regulierung), die einen verbesserten Versorgungszugang und eine bessere Versorgungsqualität verspricht. Ein Hebel zur Lösung eines strukturellen Problems der Medizin in Frankreich: Versorgungswüsten. Am 13. Februar 2018 gab die Regierung bekannt, unter anderem ein E-Gesundheitsprojekt ins Leben rufen zu wollen, das darauf abzielt, den Online-Zugang zu verbessern, ärztliche Verschreibungen zu entmaterialisieren und den Informationsaustausch der Angehörigen der Gesundheitsberufe untereinander zu vereinfachen.

Anstieg der Cyberangriffe im Gesundheitsbereich

Die Digitalisierung bringt jedoch auch erhöhte Cyberrisiken mit sich. Dem Bericht McAfee Labs Threats Report vom Dezember 2017 zufolge verzeichnete der Gesundheitsbereich, der neben öffentlichen Einrichtungen zu den beiden Zielen gehört, die am häufigsten angegriffenen werden, im Vergleich zu allen anderen Bereichen den größten Anstieg von Cyberangriffen (+ 35 % an Ransomware, + 24 % Mac-Schadsoftware). Ein weiterer Akteur auf dem Gebiet der Cybersicherheit behauptete sogar, die Zahl liege für das Jahr 2017 bei durchschnittlich 32 000 Angriffen pro Gesundheitsunternehmen. Sollte das Gesundheitswesen etwa eine bevorzugtes Angriffsziel sein?

Tatsächlich sind Gesundheitsdaten für den reibungslosen Ablauf in Krankenhäusern unentbehrlich: Den Zugang zu diesen Daten zu verlieren, würde für einige Ärzte einer Arbeit mit verbundenen Augen gleichkommen. Darüber hinaus sind medizinische Geräte aufgrund ihrer Kritikalität für Cyberkriminelle besonders interessant: Fallen diese Geräte nach einem Angriff aus, kann das katastrophale Folgen haben.

Dennoch ist das Sicherheitsniveau aufgrund eingeschränkter Mittel oft nicht ausreichend. Wiederholt auftretende Sicherheitsprobleme (integrierte hartkodierte Passwörter*, Remotecodeausführung usw.) deuten jedoch auch darauf hin, dass es in einigen Krankenhäusern an entsprechenden Kenntnissen mangelt oder dass das Risiko unterschätzt wird. Dadurch haben es Cyberkriminelle leichter, finanziell von Angriffen auf den Gesundheitsbereich zu profitieren. Besonders weil sich die Strategien von Cyberkriminellen laufend ändern und von klassischer Ransomware bis zur Ausführung dateiloser Malware mithilfe der PowerShell-Software-Suite von Microsoft reichen.

Gesundheitseinrichtungen, die aufgrund zu geringer Mittel unzureichend gesichert und dennoch kritisch sind, stellen eine leichte Beute dar", bestätigt Robert Wakim, Offer Manager des Geschäftsbereichs Industrie bei Stormshield. „Sowohl Erpresser (Ransomware), mafiöse Kriminelle (Diebstahl vertraulicher Daten als auch angehende Hacker (Skript-Kiddies) sind an ihnen interessiert. Es ist höchste Zeit, dass der Staat den Einrichtungen mehr Mittel zur Verfügung stellt, damit sie stärker in die Sicherheit personenbezogener Daten investieren können. Das ist es, was für uns Patienten am wichtigsten ist.

Mit der DSGVO treten Krankenhauseinrichtungen in eine neue Phase ein

Dadurch dass Angehörige der Gesundheitsberufe nur über geringe Mittel verfügen, verwenden sie häufig kostenlose Tools, die nativ nur wenig Datensicherheit bieten, wie z. B. Dropbox. Hinzu kommt, dass sie sich in Sachen Datensicherheit nur wenig auskennen“, erklärt Jocelyn Krystlik, Business Unit Manager bei Stormshield.

Durch die Einführung der DSGVO müssen die IT-Abteilungen von Krankenhäusern jedoch dafür sorgen, sich schnell auf den neuesten Stand zu bringen. „Es sollten sowohl einfache Maßnahmen ergriffen werden, wie das automatische Schließen von Sitzungen, als auch aufwendigere, wie die Verschlüsselung von Festplatten und Daten oder der Schutz vernetzter medizinischer Geräte wie Scanner mithilfe von Firewalls“, empfiehlt Jocelyn Krystlik.

Es sollte zur festen Gewohnheit werden, Betriebssysteme und Anwendungen zu aktualisieren. Dieser Punkt ist umso kritischer, als dass im Klinikumfeld immer noch Geräte eingesetzt werden, die auf veralteten Betriebssystemen laufen und so extrem gefährdet sind, wie der Hackerangriff WannaCry gezeigt hat.

Lösungen zur Beseitigung von Schwachstellen in Gesundheitseinrichtungen

Die Anfälligkeit der Krankenhäuser entsteht jedoch auch aus der Notwendigkeit heraus, mit zahlreichen externen medizinischen Fachkräften (andere Einrichtungen, unabhängige Ärzte usw.) zusammenzuarbeiten. All diese Schnittstellen für den Datenaustausch stellen IT-Risiken dar. Sicherheit ist daher ein Thema, das an all diesen Stellen in Angriff genommen werden muss. Nur so können sichere Dienste für die Zusammenarbeit angeboten und das richtige Maß an Schutz von Dritten gewährleistet werden.

Die französische Datenschutzbehörde CNIL (Commission nationale de l'informatique et des libertés) hat ihrerseits eine Reihe von Empfehlungen herausgegeben, die eine an Gesundheitseinrichtungen gerichtete Methode in sechs Schritten enthält:

  • einen Datenverarbeitungspiloten entwickeln
  • eigene Formen der Verarbeitung persönlicher Daten kartieren
  • Maßnahmen nach Priorität ordnen
  • Risiken steuern
  • interne Abläufe organisieren
  • die Einhaltung der Regelungen dokumentieren und aktuell halten

Um die oft strukturellen Schwachstellen von Gesundheitseinrichtungen zu beseitigen, bietet die Blockchain-Technologie weitere Möglichkeiten: die Aufbewahrung und den Transfer der großen Datenmengen, die von den Gesundheitseinrichtungen verwaltet werden müssen. Eine kürzlich veröffentlichte Studie von IBM ergab, dass 16 % der Verantwortlichen im Gesundheitsbereich planen, diese Technologie 2017 einzusetzen, und dass 56 % den Einsatz derartiger Lösungen bis zum Jahr 2020 vorsehen. Nun gilt es nur noch, die gesamte medizinische Versorgungskette, von der Verwaltung bis zu den Ärzten, davon zu überzeugen!

 

* integrierte hartkodierte Passwörter bezeichnet die Praxis, unverschlüsselte (im Klartext geschriebene) Passwörter und andere geheime Daten (z. B. private Schlüssel) direkt in den Quellcode zu schreiben.

Teilen auf

Um die Verfügbarkeit der medizinischen Geräte zu gewährleisten, bietet die Stormshield Network Security Lösung die Möglichkeit, diese kritischen Systeme vom Bürokommunikations- und Informationssystem zu isolieren und so deren Integrität zu bewahren.
Um selbst veraltete Arbeitsplatzrechner abzusichern, überwacht und blockiert unsere Lösung Stormshield Endpoint Security in Echtzeit auffällige und sogar unbekannte Verhaltensweisen von Programmen und Software.

Über den Autor

mm
Victor Poitevin
Digital Manager, Stormshield

Victor ist Digital Manager bei Stormshield. Er gehört zur Marketingdirektion und hat die Aufgabe, die Sichtbarkeit der Gruppe im Web zu verbessern. Websites, soziale Netzwerke, Blogs – das gesamte Ökosystem von Stormshield wird dafür herangezogen. Um die anderen digitalen Ambitionen der Gruppe umzusetzen, stützt er sich auf verschiedene Erfahrungen in einigen großen französischen und internationalen Konzernen sowie bei einer Publikationsagentur.