IT-Sicherheit im Gesundheitswesen

Die Patientenakte als digitales Diebesgut

| Autor / Redakteur: Arndt Kohler* / Stephan Augsten

Im Healthcare-Bereich haben viele Personen Umgang mit sensiblen Patientendaten, selbst wenn ein Einblick nicht nötig wäre.
Im Healthcare-Bereich haben viele Personen Umgang mit sensiblen Patientendaten, selbst wenn ein Einblick nicht nötig wäre. (Bild: Archiv)

Nicht Kreditkartendaten, sondern Patientenakten sind die heißeste Ware auf dem Internetschwarzmarkt. Zum Schutz vor Cyberattacken muss die Gesundheitsbranche mehr tun als nur gute Vorsätze fassen.

Die Feiertage liegen hinter uns, Millionen Menschen durften sich über Geschenke unter dem Weihnachtsbaum freuen – viele davon online geshoppt: Das ist bequem und wohl wieder sicherer als noch vor einiger Zeit.

Wie die IBM zum Jahresende 2015 berichtete, sind Cyber-Angriffe auf Datensätze des Einzelhandels seit 2014 um 92 Prozent zurückgegangen. Weltweit gab es 5,7 Millionen Vorfälle, bei denen etwa Kreditkarteninformationen gestohlen wurden – klingt zunächst nach viel, ist aber so wenig wie seit vier Jahren nicht.

Haben die Hacker die Nächstenliebe neu entdeckt? Bestimmt nicht! Statt auf Kreditkarten schielen Cyberkriminelle jetzt vorwiegend auf Datensätze aus dem Gesundheitssektor, darunter Patientendaten. Weltweit gerieten 2015 rund 100 Millionen davon in die Hände von digitalen Dieben, die damit auf dem Internetschwarzmarkt einen guten Preis erzielen.

Während Kreditkartennummern so gut wie nichts mehr wert sind, gehen elektronische Patientenakten für bis zu 50 US-Dollar über den virtuellen Ladentisch, wie das FBI berichtet. Seit 2014 hat die Zahl gestohlener Daten im Gesundheitssektor um 1166 Prozent zugenommen.

Haltbare Beute

Der Grund dafür ist die Haltbarkeit dieser Beute: Lässt sich eine Kreditkartennummer leicht ändern, sind zum Beispiel in Patientendaten einzigartige persönliche Informationen gespeichert, wie Geburtsdatum, Sozialversicherungsnummern oder gar ärztliche Diagnosen.

Wer glaubt, dass Deutschland hier eine Sonderrolle einnimmt, der täuscht sich. Zwar haben wir hierzulande noch keine elektronische Gesundheitsakte, wie sie jüngst in Österreich eingeführt wurde, aber auch in der Bundesrepublik ist der Schutz von Patientendaten spätestens seit der Einführung der elektronischen Gesundheitskarte ein großes Thema.

Datenschützer kritisieren seit langem den Umgang mit sensiblen Patientendaten in deutschen Arztpraxen und Kliniken sowie die heutige Art der Kommunikation zwischen den Ärzten. Prüfungen von Datenschutzaufsichtsbehörden zeigen teilweise katastrophale Zustände:

EDV-Dienstleister etwa können in Arztpraxen ungehindert auf Daten zugreifen und diese lesen, ja sogar manipulieren. Arztbriefe werden unverschlüsselt im Internet per E-Mail verschickt. In Kliniken findet keine durchgängige Abschottung sensibler Informationen statt.

Recht? Aussichtlos!

Besserung scheint auf den ersten Blick das Mitte des Jahres 2015 beschlossene IT-Sicherheitsgesetz zu versprechen. Mit dem Gesetz sollen die Betreiber „kritischer Infrastrukturen“ wie Gesundheit, Energie, Wasser oder Telekommunikation verpflichtet werden, ihre Netze besser vor Cyberangriffen zu schützen.

Das IT-Sicherheitsgesetz beantwortet jedoch nicht die Frage, welche Unternehmen konkret als kritische Infrastrukturen im Sinne des Gesetzes gelten, sondern definiert diese lediglich abstrakt: Für jede Branche sollen erst noch eigene Rechtsverordnungen zur Klärung dieser Frage erstellt werden.

Hier sind die USA mit dem Health Insurance Portability and Accountability Act (HIPAA) schon weiter. HIPAA legt in den Vereinigten Staaten einheitlich die Regeln für die Cybersicherheit im Gesundheitssektor fest. So muss der Verlust personenbezogener Informationen zwingend gemeldet werden.

Schwarze Schafe landen gar am digitalen Pranger in Form einer „List of Shame“, wo Vergehen für jedermann online einsehbar sind. Allerdings hat HIPAA auch einen gewaltigen Haken: Die Norm deckt zwar die elektronische Verarbeitung von Patientendaten ab, nicht jedoch die privater Anbieter.

Mehr als nur gute Vorsätze

Weder in den USA noch in Deutschland gewährleistet die momentane Rechtslage ausreichend Schutz für Daten im Gesundheitssektor. Die Branche muss also selbst handeln, sich eigene Ziele beim Thema Cybersicherheit stecken und diese auch entsprechend umsetzen – mit guten Vorsätzen allein ist es nicht getan.

Doch wo anfangen? Zunächst einmal gilt es bei den im Gesundheitswesen tätigen Personen ein Bewusstsein für Cybersicherheit zu schaffen. Gut ein Viertel aller Cyber-Attacken auf Organisationen gelingt durch die Arglosigkeit von Anwendern, beispielsweise durch Phising-Attacken mit personalisierten, täuschend echt aussehenden E-Mails.

Einrichtungen im Gesundheitsbereich, die etwa einen Chief Information Security Officer (CISO) in Vollzeit beschäftigen, sind da schon einen großen Schritt voraus. Solche Organisationen haben meist bereits einen Notfallplan ausgearbeitet und präventive Maßnahmen ergriffen, mit denen sie Cybergefahren strategisch begegnen.

Der CISO hat in der Regel den Überblick über die Sicherheitsinfrastruktur und die möglichen Schwachstellen bei Servern, Endgeräten oder den IT-Policies. So kann er Probleme gegenüber der Leitung einer Einrichtung gezielt adressieren und Veränderungen an höchster Ebene vorantreiben.

Verschlüsseln, verschlüsseln, verschlüsseln

Auch kleinere Organisationen, etwa Arztpraxen, die keinen CISO einstellen können, sollten zumindest jemanden benennen, der für das Thema IT-Sicherheit zuständig ist. Dieser muss sich etwa mit Verschlüsselung beschäftigen und andere darüber aufklären. Korrekt angewandte Kryptographie bietet sehr hohen Schutz und ist meist weniger aufwendig umzusetzen, als es scheint – etwa bei E-Mails, Festplatten oder Servern.

Verschlüsselung ist bestimmt nicht die einzige Säule solider Cybersicherheit. Selbst die besten Verfahren wie der Advanced Encryption Standard (AES) helfen wenig, wenn das Masterpasswort oder der private Schlüssel in falsche Hände geraten. Auch moderne IT-Sicherheitslösungen sind ein wichtiger Baustein, um Anwender und Infrastruktur vor Cyberattacken zu schützen.

Letztlich lässt sich durch Security Audits, wie sie etwa die IBM anbietet, die Sicherheit der IT im Gesundheitswesen drastisch erhöhen. Entscheidend ist, kontinuierlich am Thema dranzubleiben, damit Patientendaten nicht früher oder später zu digitalem Diebesgut werden.

* Arndt Kohler ist Associate Partner bei IBM Security Europe.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43845801 / Compliance und Datenschutz )