Von der Hersteller- zur Anwenderseite
Für die Anwenderseite ergriff Jochen Kaiser aus dem Servicecenter-IT am Klinikum Stuttgart das Wort: Aus der Praxis schilderte er den „Clash of Cultures“ zwischen IT- und Medizintechnik-Abteilungen in Kliniken. Häufig hapere es an den Schnittstellen zwischen IT und Medizintechnik: „Eine rein organisatorische Lösung hilft hier nicht weiter. Vielmehr müssen standardisierte Sicherheitsvorgaben definiert werden“, betonte Kaiser. Herausforderungen ergeben sich dabei durch folgende Rahmenbedingungen:
- Vermehrter Befall mit Schadsoftware
- erhöhte Anforderungen an den Gesundheitssektor als Kritische Infrastruktur (KRITIS)
- Softwareaktualisierungen erscheinen in kürzeren Abständen
- Anteil medizinischer Daten auf Mobilgeräten in Kliniken steigt zunehmend.
Wichtig sei in diesem Zusammenhang, Anwender und Geschäftsführung für die wachsenden Gefahren zu sensibilisieren sowie ein neues Rollenverständnis für Medizingeräte zu entwickeln: „Nicht mehr die Exzellenz in der Diagnostik sollte im Vordergrund stehen, sondern die Gesamtmischung aus Diagnostik, Service, Integration und Schnittstellenkosten beziehungsweise -qualität“, so Kaiser.
Penetrationstests und Incident Response für mehr Sicherheit
Die Bedrohung im Gesundheitssektor werde von den Medien teilweise überspitzt dargestellt, sie sei aber dennoch real, so der IT-Forensiker Martin Wundram. Ihm und seinem Team sei es bei Penetrationstests gelungen, mit wenigen Klicks die Sicherheitsmaßnahmen von Kliniken zu überwinden: „Wir konnten Ärzten, Laboren und Apothekern bei ihrer Arbeit über die Schulter schauen“, berichtete Wundram. Dabei seien die vorhandenen Schwachstellen nicht auf bestimmte Betriebssysteme beschränkt, sondern lassen sich oft auf fehlende Aktualisierungen zurückführen. So fanden die IT-Forensiker in einer Klinik ein Röntgengerät, das über einen Rechner mit einem zehn Jahre alten Linux-System gesteuert wurde und an das Kliniknetzwerk angeschlossen war. Nicht immer resultieren Gefahren aus einer unerlaubten privaten Nutzung des Internets durch die Mitarbeiter: In einem medizinischen Großlabor bestellte ein Mitarbeiter Berufskleidung über die manipulierte Seite eines deutschen Online-Shops und infizierte in der Folge das Netzwerk mit Schadsoftware. „Die zentrale Stellschraube ist häufig Komfort versus Sicherheit“, so Wundram. Seine Empfehlung lautet deshalb, das Netzwerk in durch Firewalls getrennte Teilbereiche aufzuteilen.
Datenschutz und rechtliche Risiken
Im Darknet kostet eine Patientenakte 70 US-Dollar. Bisher wurden in den USA ein Drittel aller Akten gehackt. Das Thema Datenschutz im Gesundheitssektor ist damit aktueller denn je. Dabei stellt sich die Frage, wer welche gesetzlichen Pflichten hat. Laut Dr. Julia Vorländer von Klinkert Rechtsanwälte gibt es darauf eine klare Antwort: Unternehmensleitung und Hersteller sind in der Pflicht. In ihrem Vortrag zeigte sie die verschiedenen gesetzlichen Regelungen auf und hob besonders das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und die ab Mai 2018 geltende EU-Datenschutzgrundverordnung hervor. Aus beiden Gesetzestexten leitet sich eine Reihe von Pflichten sowohl für Hersteller als auch für Betreiber ab. Dazu gehören sowohl Sicherungs- und Meldepflichten sowie Pflichten bei der Produktentwicklung wie „Privacy by Design" und „Privacy by Default".