Wie auch in anderen Bereichen hat das digitale Zeitalter die Möglichkeiten im Klinikumfeld erweitert. Die zunehmende Menge an Gesundheitsdaten ist jedoch auch Quelle erhöhter Cyberrisiken, mit denen proaktiv umgegangen werden muss.
Seit dem 25. Mai 2018, mit dem Inkrafttreten der DSGVO (Datenschutz-Grundverordnung), wird die Problematik „Gesundheitsdaten“ zum ersten Mal klar definiert. Die französische Verordnung vom Januar 2016 zur Speicherung persönlicher Gesundheitsdaten legte die Datenspeicherungsanforderungen für die Anbieter, nicht jedoch für die Daten selbst fest. Diese entsprechen seitdem den „früheren, aktuellen und zukünftigen Daten hinsichtlich der körperlichen oder geistigen Gesundheit einer natürlichen Person (einschließlich der Erbringung von Gesundheitsdienstleistungen), die Informationen über den Gesundheitszustand dieser Person preisgeben". So werden auch personenbezogene Daten, wie sie beispielsweise von Armbändern und anderen vernetzten Objekten gesammelt werden, von dieser breit gefassten Definition erfasst.
Die Versprechen des vernetzten Krankenhauses
Diese neue Situation entsteht zu einer Zeit, in der das Krankenhaus im Zuge der Überalterung der Bevölkerung mehr denn je zu einem einladenden, zugänglichen und angenehmen Ort werden muss. Um dies zu erreichen, setzt man verstärkt auf die Unterstützung durch die neuen Technologien.
Das digitale Zeitalter bietet auch erweiterte Möglichkeiten für die Telemedizin (Tele-Sprechstunde, Tele-Untersuchung, medizinische Fernüberwachung, Fernhilfe und medizinische Regulierung), die einen verbesserten Versorgungszugang und eine bessere Versorgungsqualität verspricht. Ein Hebel zur Lösung eines strukturellen Problems der Medizin in Frankreich: Versorgungswüsten. Am 13. Februar 2018 gab die Regierung bekannt, unter anderem ein E-Gesundheitsprojekt ins Leben rufen zu wollen, das darauf abzielt, den Online-Zugang zu verbessern, ärztliche Verschreibungen zu entmaterialisieren und den Informationsaustausch der Angehörigen der Gesundheitsberufe untereinander zu vereinfachen.
Anstieg der Cyberangriffe im Gesundheitsbereich
Die Digitalisierung bringt jedoch auch erhöhte Cyberrisiken mit sich. Dem Bericht McAfee Labs Threats Report vom Dezember 2017 zufolge verzeichnete der Gesundheitsbereich, der neben öffentlichen Einrichtungen zu den beiden Zielen gehört, die am häufigsten angegriffenen werden, im Vergleich zu allen anderen Bereichen den größten Anstieg von Cyberangriffen (+ 35 % an Ransomware, + 24 % Mac-Schadsoftware). Ein weiterer Akteur auf dem Gebiet der Cybersicherheit behauptete sogar, die Zahl liege für das Jahr 2017 bei durchschnittlich 32 000 Angriffen pro Gesundheitsunternehmen. Sollte das Gesundheitswesen etwa eine bevorzugtes Angriffsziel sein?
Tatsächlich sind Gesundheitsdaten für den reibungslosen Ablauf in Krankenhäusern unentbehrlich: Den Zugang zu diesen Daten zu verlieren, würde für einige Ärzte einer Arbeit mit verbundenen Augen gleichkommen. Darüber hinaus sind medizinische Geräte aufgrund ihrer Kritikalität für Cyberkriminelle besonders interessant: Fallen diese Geräte nach einem Angriff aus, kann das katastrophale Folgen haben.
Dennoch ist das Sicherheitsniveau aufgrund eingeschränkter Mittel oft nicht ausreichend. Wiederholt auftretende Sicherheitsprobleme (integrierte hartkodierte Passwörter*, Remotecodeausführung usw.) deuten jedoch auch darauf hin, dass es in einigen Krankenhäusern an entsprechenden Kenntnissen mangelt oder dass das Risiko unterschätzt wird. Dadurch haben es Cyberkriminelle leichter, finanziell von Angriffen auf den Gesundheitsbereich zu profitieren. Besonders weil sich die Strategien von Cyberkriminellen laufend ändern und von klassischer Ransomware bis zur Ausführung dateiloser Malware mithilfe der PowerShell-Software-Suite von Microsoft reichen.
„Gesundheitseinrichtungen, die aufgrund zu geringer Mittel unzureichend gesichert und dennoch kritisch sind, stellen eine leichte Beute dar", bestätigt Robert Wakim, Offer Manager des Geschäftsbereichs Industrie bei Stormshield. „Sowohl Erpresser (Ransomware), mafiöse Kriminelle (Diebstahl vertraulicher Daten als auch angehende Hacker (Skript-Kiddies) sind an ihnen interessiert. Es ist höchste Zeit, dass der Staat den Einrichtungen mehr Mittel zur Verfügung stellt, damit sie stärker in die Sicherheit personenbezogener Daten investieren können. Das ist es, was für uns Patienten am wichtigsten ist.“
Mit der DSGVO treten Krankenhauseinrichtungen in eine neue Phase ein
„Dadurch dass Angehörige der Gesundheitsberufe nur über geringe Mittel verfügen, verwenden sie häufig kostenlose Tools, die nativ nur wenig Datensicherheit bieten, wie z. B. Dropbox. Hinzu kommt, dass sie sich in Sachen Datensicherheit nur wenig auskennen“, erklärt Jocelyn Krystlik, Business Unit Manager bei Stormshield.
Durch die Einführung der DSGVO müssen die IT-Abteilungen von Krankenhäusern jedoch dafür sorgen, sich schnell auf den neuesten Stand zu bringen. „Es sollten sowohl einfache Maßnahmen ergriffen werden, wie das automatische Schließen von Sitzungen, als auch aufwendigere, wie die Verschlüsselung von Festplatten und Daten oder der Schutz vernetzter medizinischer Geräte wie Scanner mithilfe von Firewalls“, empfiehlt Jocelyn Krystlik.
Es sollte zur festen Gewohnheit werden, Betriebssysteme und Anwendungen zu aktualisieren. Dieser Punkt ist umso kritischer, als dass im Klinikumfeld immer noch Geräte eingesetzt werden, die auf veralteten Betriebssystemen laufen und so extrem gefährdet sind, wie der Hackerangriff WannaCry gezeigt hat.
Lösungen zur Beseitigung von Schwachstellen in Gesundheitseinrichtungen
Die Anfälligkeit der Krankenhäuser entsteht jedoch auch aus der Notwendigkeit heraus, mit zahlreichen externen medizinischen Fachkräften (andere Einrichtungen, unabhängige Ärzte usw.) zusammenzuarbeiten. All diese Schnittstellen für den Datenaustausch stellen IT-Risiken dar. Sicherheit ist daher ein Thema, das an all diesen Stellen in Angriff genommen werden muss. Nur so können sichere Dienste für die Zusammenarbeit angeboten und das richtige Maß an Schutz von Dritten gewährleistet werden.
Die französische Datenschutzbehörde CNIL (Commission nationale de l'informatique et des libertés) hat ihrerseits eine Reihe von Empfehlungen herausgegeben, die eine an Gesundheitseinrichtungen gerichtete Methode in sechs Schritten enthält:
- einen Datenverarbeitungspiloten entwickeln
- eigene Formen der Verarbeitung persönlicher Daten kartieren
- Maßnahmen nach Priorität ordnen
- Risiken steuern
- interne Abläufe organisieren
- die Einhaltung der Regelungen dokumentieren und aktuell halten
Um die oft strukturellen Schwachstellen von Gesundheitseinrichtungen zu beseitigen, bietet die Blockchain-Technologie weitere Möglichkeiten: die Aufbewahrung und den Transfer der großen Datenmengen, die von den Gesundheitseinrichtungen verwaltet werden müssen. Eine kürzlich veröffentlichte Studie von IBM ergab, dass 16 % der Verantwortlichen im Gesundheitsbereich planen, diese Technologie 2017 einzusetzen, und dass 56 % den Einsatz derartiger Lösungen bis zum Jahr 2020 vorsehen. Nun gilt es nur noch, die gesamte medizinische Versorgungskette, von der Verwaltung bis zu den Ärzten, davon zu überzeugen!
* integrierte hartkodierte Passwörter bezeichnet die Praxis, unverschlüsselte (im Klartext geschriebene) Passwörter und andere geheime Daten (z. B. private Schlüssel) direkt in den Quellcode zu schreiben.