E-Health: Weshalb «alles aus einer Hand» kein Qualitätsmerkmal ist

Die elektronische Vernetzung im Gesundheitswesen schreitet voran. E-Health-Anbieter werden mit immer strengeren Anforderungen konfrontiert. Sie müssen sich immer stärker auf die Kernkompetenzen konzentrieren, um den qualitativen und regulatorischen Anforderungen gewachsen zu sein.

Wie können sie Bereiche wie Hosting und Application Management auslagern, ohne dabei die Sicherheit zu schmälern? Aus der Erfahrung mit verschiedenen E-Health-Anbietern zeigen wir, welche Anforderungen in der IT-Zusammenarbeit erfüllt sein müssen.

E-Health-Anbieter:

Datensicherheit klassifizieren, Verfügbarkeit definieren, Katastrophenvorsorge planen

E-Health-Anwendungen sind Bindeglied zwischen verschiedenen Leistungserbringern wie Gesundheitsfachpersonen, Spitälern, Labors und Krankenversicherern sowie deren Kunden beziehungsweise Patienten. Sie müssen sicher und datenschutzkonform sein.

Die Anbieter von E-Health-Anwendungen haben die Aufgabe, Geschäftsprozesse so abzubilden, dass daraus die technischen Anforderungen für die IT abgeleitet werden können. Dazu gehört, Daten zu klassifizieren, die Verfügbarkeit zu definieren und die Katastrophenvorsorge zu planen.

Datenklassifikation: Idealerweise gibt es nur eine Handvoll Klassen. Für jede Klasse muss ein Datenzugriffskonzept existieren. Darin ist festgehalten, wer mit welchen Rechten Zugriff auf die Daten hat. Das gilt sowohl für patientenbe­zogene wie auch für anonymisierte Daten oder Log-ins von Benutzern einer E-Health-Anwendung.

Verfügbarkeit definieren: Sämtliche Anwendungen müssen bezüglich ihrer Verfügbarkeit kategorisiert werden. Dies beinhaltet neben der Servicezeit (7x24 Stunden) auch die maximale Ausfalldauer (etwa 4 Stunden pro Monat). Diese Eckwerte sind wiederum die Grundlage für die Leistungs­vereinbarung zwischen den E-Health-Anbietern und deren Kunden.

Katastrophenvorkehrung: Die Anbieter müssen sich auf verschiedene Katastrophenszenarien vorbereiten. Sowohl für die eigene Geschäftsstelle mit einem möglichen Benutzersupport wie auch für den IT-Betrieb müssen Notfallpläne vorhanden sein, die den Betrieb der Dienstleistungen im ­Katastrophenfall sichern. Dabei ist mindestens festzulegen, für welchen Dienst eine solche Vorsorge zu bestehen hat.

Hoster:

Architekturen designen, Servicemodelle bestimmen

Aus den Anforderungen einer E-Health-Anwendung definiert der Hoster die technischen Lösungen und die Software-Applikations-Architekturen. Die Aufgabe eines Hosters und Partners für den Betrieb der Lösungen besteht darin, mittels Standardvorgehen für jeden Daten- und Applikationstyp die ideale Architektur zu erarbeiten.

Abgesehen von den technischen Möglichkeiten müssen auch kommerzielle Faktoren beachtet werden. Es ist ratsam, nur einen kleinen Katalog von Architektur- und Servicemodellen zu erarbeiten und die Anwendungen einem Typ zuzuordnen. Ein solcher Typ kann «7x24, hochverfügbar und mit Katastrophenvorsorge» lauten oder «Best Effort, ohne Katastrophenvorsorge». Doch nicht nur die Produktion, sondern auch Test- und Abnahmeumgebungen sollten standardisiert werden. Der Hoster bringt jedoch nicht für jede Anwendung das technische Wissen mit. Er muss daher festlegen, welches Know-how durch den E-Health-Anbieter oder Dritte abgedeckt werden muss.

Rollen trennen im IT-Betrieb

Um die technischen und regulatorischen Anforderungen zu erfüllen, müssen die Rollen und Aufgaben im IT-Betrieb klar getrennt sein. Dies hat Auswirkungen bis auf die Lösungsarchitektur: Es empfiehlt sich etwa, den Mechanismus für Benutzer-
Log-ins komplett von Applikationsdaten zu trennen. Die Log-in-Daten können beispielsweise auch in der Verantwortung des Hosters liegen. Die Applikation und deren Daten hingegen werden oft ausserhalb einer E-Health-Anwendung, also etwa durch ein Spital oder einen anderen Gesundheitsdienstleister betrieben. Eine klare Trennung und Zuordnung der Aufgaben erhöht die Sicherheit: Wer den Zugang zu Rechenzentrumsräumen verwaltet, hat selbst keine Möglichkeit, sich auf E-Health-Anwendungen einzuloggen. Wer Firewalls administrieren kann, verfügt über kein Log-in auf E-Health-Anwendungs-Server

Verbriefte Sicherheit: Persönliche Vereinbarungen, ISO 27001

Im Gesundheitswesen bestehen eine Vielzahl von staatlichen und institutionellen Gesetzen und Vorgaben. Deren Umsetzung in praktische Modelle ist aufwendig. Haben Mitarbeiter des Hosters Zugang zu sensiblen Daten, müssen diese eine persönliche Vereinbarung mit deren Arbeitergeber, dem Hoster wie auch dem E-Health-Anbieter unterzeichnen. Der E-Health-Anbieter wiederum muss gegenüber seinen Kunden entsprechende Versprechen abgeben. Doch die Papiere alleine genügen nicht. Dass die IT-Sicherheit im Bewusstsein verankert und im Alltag angewendet wird, stellen Zertifizierungen wie ISO 27001 sicher. Dies gilt natürlich für die gesamte Lieferantenkette, also auch für Softwareentwickler und Rechenzentrumsbetreiber.

Security: die Must-haves

Alle elektronisch gestützten Prozesse und die Vernetzung von Institutionen aus dem Gesundheitsbereich sollten mit bewährten Mechanismen und Technologien geschützt werden. Wichtige Komponenten sind dabei Firewalls. Sie agieren neben dem eigentlichen Netzwerkschutz als DDoS-Schutz (Distributed Denial of Service), als Web-Application-Firewall (WAF) oder SOA-Gateway (Web-Service-Gateway). Ein Anwender im Internet identifiziert sich zuerst an der WAF, bevor er an die eigentliche Anwendung gelangt. Dasselbe gilt für die Maschinen-Maschinen-Kommunikation. Vorgelagerte SOA-Gateways prüfen, ob und welche Anwendungen und Befehle abgesetzt werden dürfen, bevor diese an die zu schützende Anwendung gesendet werden. Verfügen Leistungserbringer über keine solchen technischen Massnahmen, können diese auch durch Dritte wie den E-Health-Anbieter oder den Hoster als Service zur Verfügung gestellt werden.

Der Grundstein für die IT-Sicherheit sind nach wie vor sichere Rechenzentren. Um Katastrophen vorzubeugen, müssen die IT-Systeme auf mindestens zwei Standorte verteilt sein. Sie dienen sich gegenseitig als Back-up-Site, sind aber je mit einer eigenen Netzwerkverbindung ans Internet und mit dem Leistungserbringer verbunden.

Das Patch-Management ist ein weiterer Standardmechanismus: Es muss für die Virtualisierungssoftware, für die Betriebssysteme, für die Standardanwendungen wie Datenbanken oder Webserver und für kundespezifische Software sichergestellt sein. Bis auf die kundenspezifische Entwicklung obliegt das Patch-Management dem Hoster. Für Standardanwendungen wie Datenbanken und Webserver macht er Empfehlungen.

Geregelte Form der Zusammenarbeit

Die Zusammenarbeit zwischen allen Partnern, also dem E-Health-Anbieter, deren Softwarelieferanten sowie dem Hoster bedingt zudem technische und organisatorische Gefässe für die Zusammenarbeit. Ticketing-Systeme helfen Arbeiten koordiniert und unabhängig von einzelnen Personen durchzuführen. Standardisierte Betriebsmeetings wiederum reflektieren die Vergangenheit wie etwa die erreichte Verfügbarkeit der Anwendungen, zeigen aber auch Kapazitätsengpässe frühzeitig auf. Immer stärker in den Fokus rückt das Schwachstellenmanagement. Dieses besteht aus technischen und organisatorischen Massnahmen. So prüfen Hoster etwa sämtliche im Internet sichtbaren IP-Adressen auf bekannte Schwachstellen oder zu verbessernde Konfigurationen. Sie tun dies mindestens monatlich oder sofort nach Bekanntwerden einer Lücke.

E-Health-Anwendungen arbeiten mit sehr sensiblen Daten. Eine klare Trennung von Applikations- und Log-in-Daten und eine strikte Zuordnung der Verantwortungen und Aufgaben im IT-Betrieb erhöhen die Gesamtsicherheit. Darüber hinaus verlangen E-Health-Anwendungen vertragliche Zusicherungen zum Datenschutz sowie der garantierten Leistung von SLA bis zur Katastrophenvorsorge..