Digitalisierung im Gesundheitswesen ist ein zweischneidiges Schwert
Wie auch in anderen Bereichen hat das digitale Zeitalter die Datenaufbewahrungs- und Verarbeitungsmöglichkeiten im Gesundheitswesen erweitert. Der zunehmende Umfang der digital erfassten Patientendaten ist jedoch auch Quelle erhöhter Cyberrisiken, mit denen proaktiv umgegangen werden muss
Der Datenschutz bei Schweizer Spitälern, Praxen, Heimen und der Spitex ist ein Dauerthema, besonders nach der Totalrevision des eidgenössischen Datenschutzgesetzes (DSG), wonach Spitäler aufgrund erhöhter Risiken mit strengeren Pflichten konfrontiert sind; dies insbesondere bei der "Privacy by Design" und der Informationssicherheit. Normen und Vorschriften, die zusammen mit internationalen Regelwerken nicht nur die Vertraulichkeit der Patientendaten, sondern auch die Integrität und Verfügbarkeit von medizinischen Daten zu jedem Zeitpunkt vorschreiben.
Das zu einer Zeit, in der Organisationen, die in der Gesundheitsbranche tätig sind, verstärkt auf die Unterstützung durch neue Technologien setzen (Fernsprechstunde, Fernuntersuchung, medizinische Fernüberwachung durch Apps, Fernhilfe und medizinische Regulierung), um einen verbesserten Zugang zur Gesundheitsversorgung zu garantieren. Ein Versprechen, das jedoch erhöhte Cyberrisiken mit sich bringt, denn in der Gesundheitsbranche tätige öffentliche wie private Einrichtungen werden zum bevorzugten Angriffsziel. Sowohl Erpresser (Ransomware), mafiöse Kriminelle (Diebstahl vertraulicher Daten) als auch angehende Hacker (Skript-Kiddies) sind an ihnen interessiert. Nicht nur Patientendaten, sondern auch medizinische Geräte sind aufgrund ihrer Kritikalität zur Zielscheibe geworden. Noch im April dieses Jahres identifizierten zum Beispiel israelische Forscher eine Malware, die auf MRT-Bilder Tumore hinzufügen oder entfernen konnte. Ein weiteres Risiko stellt die Tatsache dar, dass sowohl in Spitälern wie auch in Praxen viel zu oft noch Geräte zum Einsatz kommen, die veraltete Betriebssysteme aufweisen und dadurch extrem gefährdet sind, wie "Wannacry" gezeigt hat. Dabei sollte jedoch eine regelmässige Aktualisierung von Betriebssystemen und Anwendungen garantiert werden, um die Ausnutzung von Sicherheitslücken auszuschliessen.
Lösungen zur Beseitigung von Schwachstellen in Gesundheitseinrichtungen
Die Anfälligkeit Schweizer Spitäler entspringt zudem auch der Notwendigkeit, mit zahlreichen externen medizinischen Fachkräften (andere Einrichtungen, unabhängige Ärzte usw.) zusammenzuarbeiten. Auch die Mobilität des medizinischen Personals nimmt zu. Das Ergebnis: ein immer grösseres Aufkommen an abzusichernder Kommunikation zur Vermeidung von Datenlecks oder Datenverfälschung.
Die Absicherung von Daten, Maschinen und Infrastrukturen im Gesundheitswesen müsste auf das Prinzip der umfassenden Verteidigung unter Einsatz verschiedener Technologien setzen und eine Überlagerung von Sicherheitsebenen vorsehen, die von Anfang bis Ende konsistent sein sollte und keine Arbeitsbereiche und -werkzeuge vernachlässigen dürfte. Bedauerlicherweise sind solche Spitäler keine Seltenheit, die zwar mit sehr beeindruckenden Firewalls und ausgefeilten Sicherheitsinfrastrukturen für den Datenaustausch mit externen Ärzten und Krankenpflegern ausgestattet sind, aber zu schwache Passwörter für das interne WLAN-Netz nutzen oder den internen Datenfluss nicht verschlüsseln.
----------
IT-Sicherheit für Spitäler muss die Arbeitsabläufe berücksichtigen
Uwe Gries, Country Manager DACH von Stormshield, sagt im Interview, wo die grössten IT-Risiken im Gesundheitswesen lauern, und was er einem Arzt oder Spital in puncto Sicherheit raten würde. Interview: Oliver Schneider
Wo liegen heute im Gesundheitswesen die grössten IT-Risiken?
Uwe Gries: Heute sind sämtliche Firmen, unabhängig von ihrer Arbeitsdomäne, dem Risiko von Unterbrechungen der eigenen Aktivitäten durch Cyberangriffe, Spionage, Geräte- und Datenmanipulation, Datendiebstahl und -offenlegung ausgesetzt. Der massgebliche Unterschied zwischen dem Gesundheitswesen und anderen Wirtschaftszweigen liegt in den teilweise lebensgefährdenden Auswirkungen solcher Vorkommnisse. Ganz zu schweigen von den rechtlichen Folgen im Falle einer Datenschutzverletzung.
Wie verändert sich mit der digitalen Transformation der Medizin die Cybersecurity?
Die Digitalisierung der Medizin führt zu keiner Veränderung der Cybersecurity an sich, sondern zur dringenden Notwendigkeit, IT-Sicherheitskonzepte für Spitäler, Praxen und Krankenversicherungen so zu gestalten, dass sie deren Gegebenheiten und Arbeitsabläufe voll und ganz berücksichtigen. Keine leichte Herausforderung angesichts steigender Datenvolumina sowie der vielen unterschiedlichen Geräte und Anwendungen, die im Gesundheitssektor zum Einsatz kommen.
In Spitälern und Arztpraxen ist eine Vielzahl von Spezialgeräten im Einsatz. Wie lassen sich diese sicher machen?
Hier sind Lösungen gefragt, die das Verhalten modernster sowie veralteter oder nicht aktualisierbarer Systeme und Anwendungen auch bei fehlender Internetverbindung analysieren und jede abnormale Systemabfrage (wie im Falle einer Ransomware) in Echtzeit unterbinden können. Die Legitimität des Datenverkehrs zwischen diesen Geräten und anderen Systemen im Netz sollte ebenfalls überwacht werden, um die restliche IT-Infrastruktur gegen sich hausintern ausbreitende Angriffe zu schützen. Da man nicht ausschliessen kann, dass die Bedrohung von innen kommt, sind ausgefeilte Authentifizierungsmechanismen für Mitarbeiter (intern wie extern) und eine geeignete Chiffrierung der Daten von grosser Bedeutung.
Sie schreiben im Artikel von einer "umfassenden Verteidigung". Was meinen Sie damit?
Damit sind Technologien gemeint, die bereichsübergreifend – Netzwerk, Hardware/Systeme, Anwendungen, Daten, Nutzer – gegen IT-Risiken schützen. Geeignete Redundanzmassnahmen und Back-up-Pläne für die gesamte Infrastruktur spielen dabei eine genauso relevante Rolle wie Intrusion-Prevention-Systeme, Sicherheitsanwendungen für Endpoints und Server und Datenverschlüsselung. Eine Vielfalt, die gewahrt werden und keineswegs ein Synonym für Komplexität sein soll: kollaborative Lösungen bieten kompromisslosen Schutz und reduzieren gleichzeitig den Verwaltungsaufwand auf ein Minimum.
Technologie ist das eine, die Menschen das andere. Wie lassen sich Mitarbeitende im Gesundheitswesen für Cybersecurity sensibilisieren?
Da die Zeit des Personals meistens zu knapp bemessen ist, als dass man Trainings durchführen könnte, sollte man die Sensibilisierung der Mitarbeiter mit Massnahmen zur Förderung des Engagements koppeln. Ein Beispiel aus uns bekannten Organisationen: Wer dabei erwischt wird, wie er im Weggang die aktive Sitzung am Bildschirm nicht schliesst oder den Rechner nicht ausschaltet, bringt am nächsten Morgen Schoggi-Gipfeli für die ganze Abteilung.
Wenn Sie einem Spital oder Arzt in puncto Sicherheit einen Rat geben müssten: Wie würde dieser lauten?
Selbst die fortschrittlichsten Technologien sind keine Garantie für absolute Sicherheit. Deshalb gilt es, stets wachsam zu sein: Zu schwache User- oder WLAN-Passwörter, offene Sitzungen am Bildschirm oder an Spezialgeräten, ein falscher Link, eine mit Malware behaftete Mail-Anlage oder die Nutzung eines privaten, möglicherweise infizierten USB-Stick stellen bereits ein Risiko dar.