Krankenwagen

IT-Sicherheit im Gesundheitswesen

Durch den zunehmenden Einsatz digitaler Lösungen in Verwaltung, Diagnostik und Behandlung rückt auch das Thema Cybersicherheit im Gesundheitswesen vermehrt ins Rampenlicht. In kaum einer Branche ist der verlässliche Betrieb digitaler Services elementarer als in diesem Sektor. Im Ernstfall hängen Menschenleben davon ab, ob die Technik eine reibungslose Behandlung sicherstellt.

Auf einen Blick

  1. 1. IT-Sicherheit und Datenschutz im Gesundheitswesen: eine Definition
    1. 2. Weshalb E-Health die Bedrohungslage verschärft?
      1. 3. Weshalb sind IT-Sicherheit und Datenschutz im E-Health so schwer umsetzbar?
        1. 4. Wie sind IT-Sicherheit und Datenschutz im Gesundheitswesen gesetzlich geregelt?
          1. 5. IT-Sicherheit und Datenschutz im Gesundheitswesen: Das müssen Sie wissen
            Person arbeitet an einem Laptop

            01

            IT-Sicherheit und Datenschutz im Gesundheitswesen: eine Definition

            Die IT-Sicherheit besitzt im Gesundheitswesen zwei zentrale Rollen: Einerseits müssen kritische Systeme für Verwaltung, Diagnostik und Behandlung verlässlich abgesichert sein. Von ihnen hängt das Wohl der PatientInnen ab. Andererseits trägt IT-Sicherheit wesentlich dazu bei, die hohen Anforderungen an den Datenschutz konkret umzusetzen. Denn wer Daten schützen möchte, kommt um die konsequente Absicherung der Informationen nicht herum.

            Person mit Maske und Stethoskop in der Hand

            02

            Weshalb E-Health die Bedrohungslage verschärft?

            Im Zuge der anhaltenden Digitalisierung von Systemen und Prozessen wächst auch die digitale Angriffsfläche von Laboren, Krankenhäusern und E-Health-Unternehmen vehement. Je mehr digitalisiert wird, desto mehr kann von Cyberkriminellen ins Visier genommen werden. Aktuell bewertet die Allianz Cybervorfälle in ihrem Risk Barometer 2021 als die größte Bedrohung für das Gesundheitswesen. Speziell seit Beginn der Corona-Pandemie haben das Bundeskriminalamt (BKA), Interpol und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen massiven Anstieg von Attacken auf den Gesundheitssektor festgestellt. Neben Kliniken und Laboren waren vor allem die Webseiten und Portale von Institutionen wie dem Robert Koch-Institut oder der EU-Arzneimittelbehörde EMA (European Medicines Agency) im Visier der Angreifer.

            Corona als Brandbeschleuniger

            Darüber hinaus nutzen Cyberkriminelle das anhaltend hohe Interesse an Corona-Informationen für ausgedehnte Spam- und Phishing-Kampagnen. So berichtet das BKA, dass im Kontext der Corona-Pandemie die Anzahl der schädlichen Domains im Zeitraum Februar / März 2020 um 569 Prozent angestiegen ist. Die Cyberkriminellen nutzten demzufolge 16 Prozent der Domains für Phishing-Angriffe, während 84 Prozent zum Hosten von Malware eingesetzt wurden. Aufgrund der verschärften Bedrohungslage erfordert auch die Aufrechterhaltung von IT-Sicherheit im Gesundheitswesen immer größere Anstrengungen.

            Grafik über die Datenschutzverletzungen im Gesundheitswesen: 50% Böswillige Angriffe, 27% menschliche Fehler, 23% Systemausfälle

            03

            Weshalb sind IT-Sicherheit und Datenschutz im E-Health so schwer umsetzbar?

            Damit E-Health-Lösungen in der breiten Öffentlichkeit ankommen und bei ÄrztInnen und PatientInnen gleichermaßen freiwillig Verwendung finden, müssen die Services schnell und komfortabel arbeiten. NutzerInnen sind von Smartphone-Apps eine intuitive Bedienoberfläche gewohnt, die schnell und stabil auf Eingaben reagiert. Dieses Maß an Feinschliff erwarten sie auch von E-Health Services – ungeachtet der sehr viel höheren Compliance-Vorgaben in diesem Sektor. Je höher jedoch der Anspruch an Sicherheit und Datenschutz für die jeweilige Anwendung ausfällt, desto schwieriger fällt die Umsetzung einer schnellen und unkomplizierten Bedienung. Für bestmögliche Ergebnisse ohne Trade-offs sind moderne Technologie und höchste Expertise gefragt.

            Arzt mit einem Handy in der Hand

            Warum sind Online-Portale entscheidend für den Erfolg von E-Health?

            Viele E-Health-Lösungen wie die elektronische Patientenakte (ePA) bieten für AnwenderInnen eine Verwaltungsoberfläche im Internet an. Hier können Gesundheitsdaten eingesehen und Zugriffe für Kliniken und Labore eingerichtet werden. Damit das in der Praxis auch reibungslos funktioniert, ist eine leistungsstarke und ausfallsichere Infrastruktur erforderlich. Insbesondere müssen Attacken von außen abgewehrt werden. Hierzu zählen DDoS-Angriffe, die darauf abzielen die Internetplattform lahmzulegen, oder auch Angriffe von Bots. Cyberkriminelle können mit letzteren Credential-Cracking-Attacken ausführen, um die Anmeldedaten von PatientInnen zu erbeuten. Auf illegalen Marktplätzen im Darknet lassen sich diese Informationen gewinnbringend verkaufen. Mehren sich Probleme und Ausfälle an dieser Schnittstelle von PatientInnen und E-Health kann das Vertrauen in die Technologie dauerhaft Schaden nehmen.

            04

            Wie sind IT-Sicherheit und Datenschutz im Gesundheitswesen gesetzlich geregelt?

            Neue Digitallösungen im E-Health arbeiten mit einer Vielzahl sensibler Datensätze wie Diagnosebefunde, Röntgenbilder oder Laborergebnisse. Diese Informationen unterliegen strengsten Sicherheits- und Datenschutzauflagen. Die Compliance-Richtlinien für den Gesundheitssektor ergeben sich aus der Datenschutz-Grundverordnung (DSGVO), dem Sozialgesetzbuch (SGB) V und X, dem E-Health-Gesetz, dem Digitale-Versorgung-Gesetz (DVG) sowie dem Patientendaten-Schutz-Gesetz (PDSG). Wer mit sensiblen Gesundheitsinformationen arbeitet will, muss deren Integrität und Vertraulichkeit sicherstellen und für ein angemessenes Schutzniveau sorgen.

            Für Labore, Kliniken und Unternehmen, die bei der PatientInnenversorgung gewisse Schwellenwerte überschreiten, gelten zusätzlich die Vorgaben aus dem BSI-Gesetz (BSI-KritisV) und dem IT-Sicherheitsgesetz (IT-SiG). Hierzu zählen etwa Krankenhäuser, die mehr als 30.000 vollstationäre Fälle pro Jahr behandeln. Die Gesetzgebung verpflichtet die Betreiber von solchen KRITIS-Einrichtungen regelmäßig nachzuweisen, dass ihre IT nach dem Stand der Technik abgesichert ist. Die Absicherung muss in allen Fällen bedarfsgerecht und risikoorientiert ausfallen.

            Mitarbeiter in einem Labor

            Welche Strafen drohen bei Vergehen gegen Datenschutz und IT-Sicherheit?

            Kommen infolge von Fahrlässigkeit Patientendaten abhanden oder fallen unzureichend abgesicherte Systeme aufgrund einer Hackerattacke aus, drohen für die Verantwortlichen empfindliche Geld- und sogar Freiheitsstrafen. Das Strafmaß reicht bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweit erzielten Jahresumsatzes – je nachdem, welche Summe höher ausfällt.

            In der Vergangenheit wurden schon mehrfach Bußgelder in Millionenhöhe für Vergehen gegen die DSGVO verhängt. Seit dem Wegfall des Privacy-Shield-Abkommens für den transatlantischen Datentransfer zwischen den USA und der EU sehen die Behörden nochmals genauer hin, wenn es um Versäumnisse beim Datenschutz geht. Vor allem die rechtssichere Zusammenarbeit mit US-amerikanischen Cloud-Dienstleistern stellt nun ein enormes Hindernis dar. Prinzipiell sind Vereinbarungen über Standardvertragsklauseln oder Binding Corporate Rules (BCR) zwar möglich, allerdings sind bei der Umsetzung einige Herausforderungen zu bewältigen. So trägt etwa der Datenexporteur die Verantwortung zur Prüfung des Schutzniveaus. Personenbezogene Daten müssen in einem Drittland wie den USA im Wesentlichen einen gleichwertigen Schutz wie unter der DSGVO genießen. Andernfalls sind Garantien über zusätzliche Sicherheitsmechanismen nach Art. 46 DSGVO zu implementieren.

            05

            IT-Sicherheit und Datenschutz im Gesundheitswesen: Das müssen Sie wissen

            Je mehr die digitale Transformation im Gesundheitswesen voranschreitet, desto wichtiger wird die Absicherung der neu implementierten Systeme und Prozesse. Diese Dienste optimieren die Verwaltung, ermöglichen einen schnellen Austausch wichtiger Behandlungsdaten und verbessern die Zusammenarbeit von ÄrztInnen, Laboren und Apotheken insgesamt. Kommt es hier zu Störungen oder Ausfällen, leidet direkt die medizinische Versorgung der PatientInnen darunter, im Ernstfall stehen sogar Menschenleben auf dem Spiel. Aus diesem Grund hat die konsequente Absicherung oberste Priorität. Daneben ist auch der Datenschutz von zentraler Bedeutung für den Gesundheitssektor. Personenbezogene Daten genießen in der EU durch die DSGVO einen besonderen Schutzstatus. Zusätzlich müssen von der Branche SGB, DVG, PDSG und das E-Health-Gesetz bei der Datenverarbeitung und Informationssicherheit beachtet werden. Verstöße gegen die Vorgaben an Sicherheit und Datenschutz werden mit hohen Bußgeldern geahndet.

            Gleichzeitig sollten E-Health-Lösungen möglichst performant und komfortabel arbeiten, um den beruflichen Alltag des medizinischen Personals zu erleichtern und PatientInnen einen echten Mehrwert zu liefern. Müssen zu große Abstriche aufgrund von Sicherheits- und Datenschutzvorgaben gemacht werden, schwächt das die Akzeptanz und Umsetzungsbereitschaft erheblich. Mit moderner Technologie und der notwendigen Expertise lassen sich aber sehr wohl schnelle, komfortable und sichere E-Health-Lösungen entwickeln. Spezialdienstleister können hier das Gesundheitswesen bei der Umsetzung entscheidend unterstützen. Eine ebensolche Strategie verfolgt die gematik, die im Moment den Aufbau der deutschen Telematikinfrastruktur 2 (TI 2.0) vorantreibt. Als Internet-gestützte Plattform soll TI 2.0 eine zukunftsfähige Basis für E-Health-Services und freie Kommunikation zwischen Diensten und NutzerInnen darstellen. Die gematik arbeitet dabei eng mit Industrie und Service-Dienstleistern zusammen, um eine zügige Weiterentwicklung und Interoperabilität sicherzustellen.

            © Myra Security GmbH 2023, alle Rechte vorbehalten

            Responsible DisclosureGlossarImpressumDatenschutzAGB