IT-Sicherheit schafft die Vertrauensbasis für E-Health-Lösungen

Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Neue Digitallösungen wie die elektronische Patientenakte (ePA), das E-Rezept, die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) oder der digitale Impfpass ersetzen zunehmend ihre analogen Pendants. Das Smartphone entwickelt sich zum zentralen Gesundheits-Hub als Schnittstelle zu ÄrztInnen, Krankenkassen und Kliniken. Diese weitreichende Transformation ermöglicht immense Effizienzsteigerungen: Kritische Gesundheitsdaten liegen jederzeit vor, überflüssige Mehrfachdiagnosen und Untersuchungen bei einem Praxis- oder Klinikwechsel erübrigen sich.

Grundvoraussetzungen für die Akzeptanz aufseiten der AnwenderInnen und somit den Erfolg der neuen E-Health-Lösungen sind neben konkreten Mehrwerten vor allem das Vertrauen in die Technologie. Letzteres will das Bundesgesundheitsministerium (BMG) durch strikte Datenschutzvorgaben stärken. Der Schutz kritischer Patientendaten zählt zu den obersten Prinzipien aller medizinischen Digitallösungen und erfordert IT-Sicherheit auf höchstem Niveau. Aus diesem Grund koppelt das Krankenhaus-Zukunftsgesetz (KHZG) die Fördermittel für Kliniken an Investitionen in IT-Sicherheit.

Mögliche Folgen von Cyberattacken auf E-Health-Lösungen und Telematik:

• Verzögerte Übertragung kritischer Notfalldaten

• Erschwerte Medikation in Notfallsituationen

• Überflüssige Mehrfachuntersuchungen

• Verzögerte Behandlung

• Kein Zugriff der PatientInnen auf ihre eigenen Gesundheitsdaten

• Strafzahlungen bei Datenschutzverletzungen & Datenabfluss

E-Health-Lösungen wie die ePA oder der digitale Impfpass sind für die Nutzung durch Millionen BürgerInnen konzipiert. Die zugehörigen Online-Portale und Schnittstellen müssen selbst bei hoher Auslastung sowie unvorhersehbaren Traffic-Spitzen fehlerfrei arbeiten. Ohne flexible Skalierbarkeit und Überlastungsschutz droht ein Ausfall der kritischen Dienste, wie bei einigen Impfportalen zu beobachten war, die dem immensen Nutzeransturm zwischenzeitlich nicht mehr standhielten.

Außerdem sind IT-Infrastrukturen zunehmend durch externe Angriffe gefährdet. Seit Beginn der Corona-Pandemie stehen das Gesundheitswesen sowie andere kritische Sektoren vermehrt unter Beschuss. Das belegen sowohl Mitigationsdaten von Myra Security als auch Untersuchungen von Interpol, dem Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Allianz stuft Cybervorfälle in ihrem aktuellen Risk Barometer sogar als das größte Risiko für das Gesundheitswesen ein, zusammen mit pandemischen Ausbrüchen.

Datenschutzhürden bei der Dienstleisterwahl

Für Gesundheitsdaten und somit auch E-Health-Lösungen gelten besonders hohe Anforderungen an Datenschutz und IT-Sicherheit. Das spiegelt sich in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) und den zunehmend anspruchsvoller ausfallenden regulatorischen Vorgaben des BMG und der gematik wider. E-Health-Betreiber, Kliniken und ÄrztInnen müssen sich daher intensiver mit der internen Datenarchitektur sowie mit Compliance-Themen befassen.

Als effiziente Alternative zum aufwendigen Inhouse-Betrieb bietet sich das Outsourcing der IT-Sicherheit an. Managed Service Provider übernehmen auf Wunsch Implementierung, Wartung und Betrieb aller erforderlichen Sicherheitslösungen. Dadurch entfallen zusätzliche Aufwendungen für Software, Hardware und Fachpersonal. Allerdings muss der Service Provider gut gewählt sein. Kooperationen mit US-Anbietern stehen seit dem Aussetzen des Privacy-Shield-Abkommens für den transatlantischen Datentransfer auf wackeligen Füßen, da die rechtliche Grundlage fehlt und Datenschutzbestimmungen aufgrund der konträren Positionierung von EU- und US-Recht nur schwer umzusetzen sind. Durch die Wahl lokaler Anbieter, die der hiesigen Rechtsprechung unterliegen und höchste Datenschutzanforderungen erfüllen, lassen sich diese Hürden meistern.