Weiße Cloud auf Tablett
Sergey Nivens / stock.adobe.com
05.08.2019 Fachinformation 791 0

Gesundheits-Cloud und Cybersecurity: Was müssen Sie beachten?

Cloud Computing hat viele Vorteile und erfreut sich mittlerweile großer Beliebtheit. Anbieter von Gesundheits-Clouds, zum Beispiel Krankenhäuser oder Hersteller von vernetzten Medizinprodukten, profitieren, wenn sie Gesundheitsdaten dezentral speichern. Aber Gesundheitsdaten sind keine „normalen“ Daten und sind besonders schützenswert. Anbieter von Gesundheits-Clouds müssen sich der damit verbundenen Risiken bewusst sein. Cybersecurity spielt hier eine herausragende Rolle. In diesem Beitrag erörtern wir, worauf Sie bei einer sicheren Gesundheits-Cloud achten sollten und welche gesetzlichen Anforderungen zu beachten sind.

Die Bedrohungen aus dem Netz nehmen zu

Nachrichten von gehackten Kliniknetzwerken oder kompromittierten Medizingeräten erreichen uns kontinuierlich.

Erst vor kurzem hat es in Deutschland 14 Krankenhäuser und Altenpflegeeinrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland gleichzeitig erwischt. Eine Malware hat das gesamte Verbund-Netzwerk der Häuser befallen und hat Server und Datenbanken verschlüsselt. Die Patientenversorgung war nicht betroffen, aber es mussten wieder Bleistifte und Papier herausgeholt werden, um die Behandlung zu dokumentieren.

Auch die Medizintechnik-Branche bleibt nicht verschont. Jüngstes Beispiel ist der US amerikanische Hersteller Medtronic, der Patienten jetzt anbietet, betroffene Insulinpumpen zurückzunehmen. Bereits vor mehr als 2 Jahren hatten Hacker Medtronic darauf aufmerksam gemacht, dass sie die Insulinpumpen über Funk angreifen konnten. Medtronic hat u. a. den Funkverkehr der Pumpen nicht verschlüsselt und es Angreifern auf diese Weise leicht gemacht. Eine Fehldosierung von Insulin kann zu lebensbedrohlichen Zuständen führen.

Was ist eine Gesundheits-Cloud?

Eine Cloud ermöglicht es, dass Daten nicht nur lokal, d. h. auf dem aktuellen Rechner abgerufen werden können, sondern von verschiedenen Stellen über verschiedene Geräte zugänglich sind. Dazu werden mehrere Server verwendet, sodass keine Abhängigkeit von einem einzelnen Server besteht. Diese Vorteile nutzen viele Privatanwender schon mit bekannten Cloud-Diensten wie Dropbox, OneDrive, iCloud oder Google Drive.

Auch Patienten, Arztpraxen oder Krankenhäuser möchten nicht auf die Vorteile der Unabhängigkeit und Verfügbarkeit verzichten. Gesundheits-Clouds kommen hier immer häufiger zum Einsatz. Aufgrund von Anforderungen an Datenschutz und Cybersecurity sollten jedoch insbesondere Gesundheitseinrichtungen und Medizintechnikhersteller sehr genau prüfen, in welcher Cloud sie die Gesundheitsdaten speichern.

Gesundheitseinrichtungen nutzen daher häufig eigene oder gemietete Server für ihre Gesundheits-Cloud. Für Patienten gibt es spezialisierte Anbieter, die es ermöglichen, private Gesundheitsdaten zu speichern. Ein unabhängiger Dienst für Privatanwender ist etwa die Gesundheits-Cloud des Hasso-Plattner-Instituts.

Was ist Cybersecurity? (Definition)

Cybersecurity - oder umfassender ausgedrückt - Informationssicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik (BSI). Cybersecurity ist zu einer großen Herausforderung für Unternehmen geworden. Das liegt u. a. daran, dass die Bedrohungslage global und schnelllebig ist. Es ist aufwändig, schnell genug und angemessen auf Bedrohungen zu reagieren und ausreichende Maßnahmen zu ergreifen. Hinzu kommt, dass es selbst ohne Budgetrestriktionen schwierig ist, Fachleute zu gewinnen oder fortzubilden und sichere Prozesse sowie Tools aufzusetzen. Hinzu kommen Gesetze, Normen, Datenschutzbestimmungen und Dokumentationspflichten, die es zu berücksichtigen gilt.

So verbessern Sie Ihre Cybersecurity

Die Beispiele zeigen: Die Bedrohungen sind real und die Risiken für alle Beteiligten erheblich. Wie können also Cybersecurity in einer vernetzten IT-Umgebung im Allgemeinen und in einer Gesundheits-Cloud im Speziellen gewährleistet und auf diese Weise Risiken minimiert werden?

Vor allem ist es wichtig, Cybersecurity durch Regeln und Prozesse konsequent zu befördern. Entscheidend sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Die folgenden 16 Empfehlungen unterstützen bei Aufbau und Betrieb einer sicheren Gesundheits-Cloud.

Kontakt

Florian Schlögel

01. Verantwortung für Cybersecurity

Für jeden Managementprozess gilt: das Unternehmen muss Verantwortlichkeiten klar benennen. Andernfalls besteht die Gefahr, dass beteiligte Mitarbeiter notwendige Entscheidungen verschleppen. Die Verantwortung beginnt bei der höchsten Management-Ebene eines Unternehmens. Sie muss sich zu Informationssicherheit verpflichten, Informationssicherheit aktiv vorleben und von der gesamten Belegschaft einfordern.

Im Unternehmen gibt es unterschiedliche Akteure, die mit Informationssicherheit zu tun haben. Daher ist es wichtig, einen Informationssicherheitsbeauftragten als Hauptverantwortlichen zu bestimmen. Unternehmen sollten darauf achten, widersprüchliche Verantwortlichkeiten nicht bei nur einem Mitarbeiter oder in nur einer Abteilung anzusiedeln, um Interessenkonflikte zu vermeiden.

02. IT-Richtlinie

Eine IT-Richtlinie regelt die Nutzung der Unternehmens-IT. Das betrifft zunächst die Frage, wer welche Hard- und Software wie nutzt. Dazu kommen aber noch alle weiteren Aspekte, z. B. wer wie mit welchen Daten umgeht, wer externer IT-Dienstleister wie einbindet oder wie Mitarbeiter die Unternehmens-IT privat nutzen können.

Eine IT-Richtlinie ist von großer Wichtigkeit und legt den Grundstein für Cybersecurity. Da sie Informationsgrundlage für die Mitarbeiter ist, sollte sie schriftlich niedergelegt, verständlich verfasst und einfach verfügbar sein.

03. Sensibilisierung für Cybersecurity

Die Mitarbeiter und Mitarbeiterinnen eines Unternehmens leben Informationssicherheit nur dann, wenn sie die Sinnhaftigkeit der dahinterliegenden Prozesse und Regeln verstehen. Ansonsten besteht die Gefahr, dass die Mitarbeiter nur lästige Pflichten und Mehraufwand wahrnehmen und versuchen, Regeln zu umgehen.

Daher ist es wichtig, dass ein Unternehmen seine Belegschaft auf IT Risiken aufmerksam macht und für Informationssicherheit sensibilisiert. Das Unternehmen sollte die Belegschaft vor allem konsequent über aktuelle Maßnahmen oder Änderungen zur Informationssicherheit informieren.

04. Zugang zur IT-Infrastruktur

Ein Mitarbeiter, der seine Aufgabe überwiegend ohne die Nutzung der Unternehmens-IT erfüllen kann, benötigt keine umfassende Zugangsberechtigung zu unterschiedlichen Systemen und Anwendungen. Hieraus würde ein vermeidbares Sicherheitsrisiko resultieren.

Es ist daher wichtig, dass Zugangsberechtigungen so erteilt und organisiert werden, dass sie die jeweilige Funktion eines Mitarbeiters maßgeschneidert unterstützen. Jeder Mitarbeiter benötigt demzufolge Zugang zur IT-Infrastruktur ausschließlich in der Form, die er für eine jeweilige Aufgabe benötigt.

05. Administrator-Zugänge

Administratoren spielen eine besondere Rolle für die Unternehmens-IT. Sie benötigen für Ihre Aufgaben umfangreiche Zugangsberechtigungen.

Um die damit verbundenen Sicherheitsrisiken so gering wie möglich zu halten, ist es erforderlich, Administratorenrechte konsequent nur an Administratoren zu vergeben. Zudem sollte das Unternehmen die Vergabe der Administratorenrechte nachhalten und regelmäßig prüfen, ob diese im Einzelfall noch erforderlich sind.

06. Passwortrichtlinie

Passwörter sind omnipräsent und wesentlicher Bestandteil des Zugangs-Managements von IT-Systemen und Anwendungen. Das Unternehmen sollte daher durch eine Passwortrichtlinie dafür sorgen, dass alle Nutzer und Nutzerinnen der IT-Infrastruktur sichere Passwörter verwenden.

Allerdings reichen Passwortstärke und Änderungshäufigkeit als Variablen allein nicht aus. Passwörter müssen auch benutzbar sein und deren Änderungsfrequenz von den Mitarbeitern akzeptiert werden.

07. Aufstellung aller IT-Komponenten und Schutzkonzept

Ein geeignetes Schutzkonzept sichert die Unternehmens-IT ab und bereitet auf einen Sicherheitsvorfall vor. Tritt ein Sicherheitsvorfall ein, kann das Unternehmen schnell und planerisch Gegenmaßnahmen einleiten. Dazu ist es unerlässlich zu wissen, welche Komponenten wo vorhanden sind und welche spezifischen Konfigurationsmerkmale bestehen.

08. Mobile Geräte

Mobile Geräte sind mittlerweile Teil fast jeder IT-Infrastruktur. Der Nutzer erwartet, dass auch komplexe Aufgaben mobil, sicher und komfortabel erledigt werden können.

Doch mit der Nutzung einer mobilen IT-Infrastruktur gehen zahlreiche Fragen einher: wer darf welche Daten mobil ablegen? Sind die Daten vor unberechtigtem Datenzugriff ausreichend geschützt? Was passiert bei Verlust eines mobilen Gerätes? In welchem Umfang darf ein Fernzugriff auf mobile Geräte erfolgen?

Jedes Unternehmen sollte daher den Umgang mit mobilen Geräten explizit regeln und die damit verbundenen Sicherheitsrisiken minimieren.

09. Schutzmaßnahmen

Die Schnittstelle der Unternehmens-IT zum Internet stellt naturgemäß ein erhebliches Risiko dar. Sie ist besonders schutzwürdig. Um den Zugriff auf das Unternehmensnetzwerk zu unterbinden, kommen zum Beispiel Firewalls oder Proxy Server zum Einsatz.

Die Installation dieser Schutzmaßnahmen allein reicht allerdings noch nicht aus. Sie müssen auch richtig konfiguriert sein. So schützt eine Firewall auch nicht vor Sicherheitslücken in den verwendeten Webbrowsern. Hier sind regelmäßige Sicherheits-Updates von großer Bedeutung.

10. Datenverschlüsselung

Mittlerweile haben sich drahtlose Netzwerke (WLAN) in vielen Bereichen durchgesetzt und werden als selbstverständlich erachtet. Aus der Perspektive der IT-Sicherheit sind drahtlose Netzwerke allerdings anspruchsvoll. Um unberechtigten Zugriff zu verhindern, müssen drahtlose Netzwerke unbedingt in geeigneter Art und Weise verschlüsselt werden.

11. Update-Management

Veraltete Software mit Sicherheitslücken ist eines der Haupteinfallstore für Cyber-Kriminelle. Je schneller und konsequenter Sicherheits-Updates bzw. Patches aufgespielt werden, desto stärker sinkt das Risiko für erfolgreiche Hackerangriffe.

Daher sollte jedes Unternehmen über einen Update-Management-Prozess verfügen, der diese Aufgabe zeitnah und automatisiert übernimmt.

12. Richtlinie zum IT-Sicherheitsvorfall

Für die schnelle und planerische Reaktion auf einen Sicherheitsvorfall ist es sehr wichtig, dass ein Unternehmen diesen auch eindeutig definiert hat.

Wird ein Sicherheitsvorfall schnell und eindeutig erkannt, kann ein Unternehmen unverzüglich den Überblick gewinnen, alle erforderlichen Maßnahmen einleiten und Aufgaben an die beteiligten Akteure verteilen. Dazu sollte ein Unternehmen den Umgang mit einem „IT-Sicherheitsvorfall“ in einer Richtlinie regeln.

13. Sicherung vor physischen Schäden

Oftmals unterschätzen Unternehmen Risiken, welche die physische Sicherheit der IT-Infrastruktur betreffen.

So darf kein Zugriff durch Unbefugte erfolgen, typischerweise durch Einbruch oder Social Engineering. Die Stromversorgung der IT-Infrastruktur muss gewährleistet sein und es sollten Schutzmaßnahmen gegen Überspannungsereignisse getroffen werden. Weitere Gefahren drohen insbesondere bei Brand oder Überflutungen.

14. Datensicherung

Die Unternehmensdaten stellen einen erheblichen Wert dar und müssen geschützt werden. Dazu gehört eine regelmäßige und funktionierende Datensicherung.

Dabei ist es wichtig, regelmäßig zu überprüfen, ob die Datensicherung auch fehlerfrei funktioniert. Zudem muss das Unternehmen ausschließen, dass bei einem Sicherheitsvorfall, z. B. bei einem Brand oder einem Wassereinbruch, auch die gesicherten Daten verloren gehen. Daher muss die Datensicherung auf voneinander unabhängigen, räumlich getrennten Systemen erfolgen.

15. IT-Notfallplan

Bei einem Sicherheitsvorfall fallen IT-Systeme oder Anwendungen ggf. vorübergehend aus. Ist das Sicherheitsproblem gelöst, muss das Unternehmen dafür sorgen, dass diese wieder geordnet und schnell den Betrieb aufnehmen können. Dazu dient ein Notfallplan, der festlegt, in welcher Reihenfolge und mit welchen Ressourcen das geschieht.

16. IT-Monitoring

Cybersecurity ist ein kontinuierlicher und lebender Prozess. Neue Schadsoftware, Cyberbedrohungen und Sicherheitsrisiken entstehen ständig neu und immer schneller.

Daher ist es erforderlich, dass Unternehmen Ihre IT-Infrastruktur in geeigneter Art und Weise überwachen und regelmäßig Sicherheitsanalysen veranlassen. Basierend auf den Testergebnissen können dann ggf. weitere Tests oder Schutzmaßnahmen durchgeführt werden.

IT-Sicherheitsgesetz

Eine Investition in Cybersecurity ist auch angesichts der sich in den vergangenen Jahren geänderten gesetzlichen Grundlagen sinnvoll bzw. notwendig. So hat das 2015 in Kraft getretene IT-Sicherheitsgesetz erhebliche Auswirkungen. Es betrifft Telekommunikationsunternehmen, Anbieter von digitalen Diensten (z. B. Cloud Computing Dienste) und Betreiber von kritischen Infrastrukturen. Für das Gesundheitswesen ist die entsprechende Umsetzungsverordnung 2017 in Kraft getreten.

Bei den kritischen Infrastrukturen sind u. a. Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr betroffen. Weiterhin betroffen sind Laboratorien (ab 1,5 Mio. Aufträge), Apotheken (ab 4,65 Mio. abgegebene Packungen) und Hersteller von Medizinprodukten (Umsatz mind. 90,6 Mio. €).   

Das IT-Sicherheitsgesetz verpflichtet diese Organisationen, bestimmte Mindeststandards an Informationssicherheit einzuhalten, typischerweise durch geeignete technische oder organisatorische Maßnahmen, wie beispielsweise die oben beschriebenen. Die betroffenen Organisationen unterliegen Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Datenschutzrechtliche Regelungen

Gesundheits-Clouds speichern bzw. verarbeiten patienten- und damit personenbezogene Daten. Diese Daten spielen für die medizinische Versorgung von Patienten eine wichtige Rolle, sodass es ihres besonderen Schutzes bedarf. In Europa ist die Datenschutz-Grundverordnung (DSGVO) die Rechtsgrundlage für den Schutz personenbezogener Daten. Sie ist 2018 in Kraft getreten und enthält zahlreiche Regelungen, die sich auf Anbieter von Gesundheits-Clouds auswirken.

Personenbezogene Daten dürfen in einer Gesundheits-Cloud grundsätzlich nur dann verarbeitet werden, wenn die betroffenen Personen der Verarbeitung auch zugestimmt haben. Dabei muss die betroffene Person zweifelsfrei nachvollziehen können, wie die Daten in der Gesundheits-Cloud verarbeitet werden. Der Anbieter einer Gesundheits-Cloud muss das garantieren und darlegen können.

Die DSGVO formuliert bestimmte Ansprüche an personenbezogene Daten, vor allem Vertraulichkeit, Verfügbarkeit und Integrität. Daher muss der Anbieter einer Gesundheits-Cloud Sicherheit der Daten gewährleisten können. Eine unrechtmäßige Verarbeitung von Daten, Datenverlust oder -schädigung sind zu verhindern. Ebenso dürfen weder die Würde der betroffenen Person verletzt noch deren Freiheit in irgendeiner Weise eingeschränkt werden.

Die DSGVO verlangt noch mehr. Der Anbieter einer Gesundheits-Cloud muss das Sicherheitsniveau stetig verbessern und dabei den Stand der Technik berücksichtigen. Sowohl das Design (Privacy by Design) als auch die Grundeinstellungen (Privacy by Default) müssen datenschutzfreundlich sein.

Der Nutzer oder Betreiber einer Gesundheits-Cloud muss alle oben genannten Anforderungen einhalten und diese nachweisen können. Zudem muss der Nutzer den Anbieter einer Gesundheits-Cloud mit der Datenverarbeitung beauftragen (Auftragsdatenverarbeitung).

Was ist neu?

Am 30. Juni 2017 ist die Kritisverordnung als Umsetzungsverordnung des IT-Sicherheitsgesetzes für das Gesundheitswesen in Kraft getreten. Stichtag für die Umsetzung war der 30. Juni 2019. Die betroffenen Unternehmen und Organisationen hatten also 2 Jahre Zeit, ihre IT-Systeme, -Komponenten und -Prozesse für kritische Dienstleistungen nach dem Stand der Technik zu schützen. Die Unternehmen und Organisationen konnten dies durch Sicherheitsaudits, Prüfungen oder Zertifizierungen basierend auf anerkannten Normen und Standards nachweisen. Bei Nichterfüllung drohen Bußgelder bis zu einer Höhe von 100.000 Euro.

Empfehlung

Wir empfehlen Anbietern, Nutzern bzw. Betreibern von Gesundheits-Clouds, sich im Detail mit allen Aspekten zu Cybersecurity und Datenschutz zu befassen. Insgesamt sind durch die DSGVO die Bedeutung und auch das Strafmaß bei Datenschutzverstößen erheblich gestiegen. Gleichzeitig verschärft sich die Cyber-Bedrohungslage kontinuierlich. Hinzu kommt, dass der Datenschutz auch mehr und mehr in den Blickpunkt des öffentlichen Interesses gelangt.