HAFTUNGSAUSSCHLUSS: Dieser Artikel ist älter als ein Jahr und möglicherweise nicht mit den neuesten Ereignissen oder neu verfügbaren Informationen auf dem neuesten Stand.
Carsten Kramschneider, Teamleiter Healthcare & Education VMware Deutschland
Der Gesundheitssektor ist einer der Bereiche, in denen Digitalisierung sich für jeden Einzelnen positiv auswirken kann. Umso wichtiger ist es dabei, die notwendigen Sicherheitsvorkehrungen in der IT zu treffen. VMware kooperiert seit Jahren mit zahlreichen Krankenhäusern und Krankenkassen als Brückenbauer für eine gesicherte Infrastruktur.
Big Data, Künstliche Intelligenz, zahlreiche Sensoren in IoT-Wearables – das sind die Elemente, die in Zukunft im Gesundheitswesen eine Vielzahl von Anwendungen ermöglichen werden. Doch all das findet nur die Akzeptanz der Patienten, wenn ein Höchstmaß an IT-Sicherheit und Privatsphäre gewährleistet werden kann – und wenn der Patient zweifelsfrei die Hoheit über seine Daten behält. Für VMware ist der IT-Security-Ansatz bereits in der Grundkonzeption einer IT-Infrastruktur verankert. Wir verstehen darunter mehr als den Betrieb einer Firewall mit den aktuellen Anti-Malware-Tools und den dazugehörigen Signaturen, wie es in vielen sicherheitsrelevanten Umfeldern immer noch üblich ist.
Das beginnt mit der Ende-zu-Ende-Verschlüsselung bei der Datenablage im Speicher. Diese sorgt dafür, dass es zweitrangig ist, auf welchem Server oder in welcher Cloud die Daten liegen. Dabei erfolgt die Datenverteilung über gemanagte Netzwerke, wobei VMware mit Hilfe von Netzwerksegmentierung die Sicherheit im Kontext der Daten gewährleistet. Die Daten landen schließlich auf einem von VMware gemanagten Endgerät, so dass wir eine hundertprozentig abgesicherte Strecke haben.
Netzwerksegmentierung von VMware sichert Patientendaten ab
Es gibt in Deutschland einige Krankenhäuser, die diese Netzwerksegmentierung bereits heute betreiben. Dabei wird das Netzwerk in verschiedene Schutzklassen unterteilt: Neben den besonders schützenswerten Patientendaten, die von außen nicht zugänglich sind, stehen weitere Schutzklassen mit mittlerem Schutzbedarf zur Verfügung, etwa für Verwaltungsdaten oder Abrechnungen. Darüber hinaus gibt es Segmente, die nicht besonders schützenswert sind, etwa das Entertainment-System in den Patientenzimmern – und nicht zuletzt ein spezielles Segment für Medizin-IT-Geräte. Denn die medizinischen IT-Geräte kommunizieren bereits heute mit externen Wartungsservern der Hersteller, auf die die Krankenhäuser in der Regel keinen Zugriff haben. Würde ein solches Medizingerät angegriffen, kann sich so der Angreifer nur in dem festgelegten Segment bewegen. Die Folge daraus ist weiterhin der optimale Schutz für die übrigen Ressourcen.
Vernünftigerweise gehören zumindest die größeren Krankenhäuser und andere Einheiten im Gesundheitswesen zu den vom Gesetzgeber und den Regulierungsbehörden definierten kritischen Infrastrukturen, die wir in diesem Beitrag über Healthcare-IT beschreiben. Die KRITIS Direktive sieht in seiner aktuellen Fassung allerdings vor, dass nur Krankenhäuser mit über 30.000 stationären Fällen als besonders schützenswert angesehen werden. Diese Einteilung ist jedoch wenig schlüssig – zum einen, weil sich der Patient oftmals nicht aussuchen kann, in welchem Krankenhaus er behandelt wird und zum anderen, weil eine reine Fallzahl ja wenig darüber aussagt, wie schützenswert die hier verarbeiteten Daten sind. Die politische Debatte wird in den kommenden Jahren geführt werden müssen, wir halten aber grundsätzlich sämtliche Krankenhaus-IT-Infrastrukturen für schützenswert. Im Interesse aller Kliniken sollte es zu den Mindestanforderungen gehören, die Sicherheit der Patientendaten unter allen Umständen zu gewährleisten.
Datenschutz im Sinne des Patienten muss an erster Stelle stehen
Denn es gibt für den Patienten und seine Daten zwei mögliche Horrorszenarien: einerseits Hackerangriffe, bei denen privateste Daten über gesundheitliche Werte und Befunde in unbefugte Hände geraten können und andererseits Ransomware-Attacken, bei denen Dateien von Dritten verschlüsselt und nur gegen Lösegeld wieder freigegeben werden. Das betrifft übrigens nicht nur Diagnose- und Gesundheitsdaten in den Krankenhäusern, sondern auch die Gesundheitskarte und elektronische Patientenakten, über die wir seit vielen Jahren sprechen.
Hier haben die Patienten das berechtigte Interesse an Privatsphäre und Datenhoheit. Immerhin: Beim Datenschutz hat die DSGVO ein für den Patienten vernünftiges und in jeder Hinsicht ausreichend strenges Grundgerüst geschaffen. Allgemeiner Konsens sollte sein, dass die Patientendaten dem Patienten gehören. Doch er muss auch darüber Gewalt haben, welchem Arzt, welcher Apotheke, welchem Krankenhaus und nicht zuletzt welcher Krankenkasse er bestimmte Informationen zur Verfügung stellen will. Die Frage wird also eher sein, wie der Patient seine Rechte sinnvoll ausüben kann.
VMware arbeitet als Brückenbauer für gesicherte Infrastrukturen seit Jahren mit den Stakeholdern und der Politik zusammen. Neben den Krankenhäusern, Ärzten und Gesundheitszentren sind das vor allem auch die Kostenträger. Nicht zuletzt sind hier aber auch die Hersteller der medizinischen Softwaresysteme mit ins Boot zu holen, etwa von Praxis- und Krankenhaus-Informationssystemen oder Apps, die beim Patienten mit Hilfe von Wearables Gesundheitsdaten erheben. In diesem Zusammenhang müssen auch die Hersteller von Healthcare-Equipment Mindestanforderungen in puncto Sicherheit erfüllen. Das gilt für die gesamte Leistungskette vom Patienten bis zum Kostenträger, also unabhängig davon, wo die Patientendaten entstehen. Eine wichtige Aufgabe ist dabei auch der Datenaustausch zwischen den medizinischen Systemen, wobei eine Vielzahl von inkompatiblen Silo-Lösungen verhindert werden muss.
Datenhoheit als Grundvoraussetzung für Akzeptanz
Erst dann können wir den Patienten und der Gesellschaft glaubhaft vermitteln, dass das, was mit ihren Daten passiert, ausschließlich zu ihrem Vorteil erfolgt und in ihrer Hand liegt – Stichwort Datenhoheit. Doch datengetriebene Healthcare-Services werden nur unter dieser Bedingung gesellschaftliche Akzeptanz finden, Skandale und Datenlecks können wir uns hier ebenso wenig leisten wie ein Unsicherheitsgefühl seitens des Patienten.
Dass eine solche sichere IT-Infrastruktur Geld kostet, versteht sich von selbst. Doch die Investitionen können, ähnlich wie eine Versicherung, im Ernstfall sehr viel Geld sparen – mal abgesehen von den Folgen, wenn beispielsweise ein Krankenhaus über Tage aufgrund einer Ransomware-Attacke nicht arbeitsfähig ist. Dennoch wird die Politik hier auch Lösungsansätze für Investitionen in die IT-Infrastruktur im Gesundheitswesen liefern müssen und konkret Budgets bereitstellen müssen. Diese sollten speziell für Investitionen in sichere IT-Infrastrukturen bestimmt sein.
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn & Youtube
Kategorie: Neuigkeiten & Highlights
Schlagwörter: healthcare, IT Security