Compliance-Check

IT-Standards im deutschen Gesundheitswesen

| Autor / Redakteur: Jessica Cooper* / Stephan Augsten

Die IT-Standards des deutschen Gesundheitssektors sollten auf Herz und Nieren geprüft werden.
Die IT-Standards des deutschen Gesundheitssektors sollten auf Herz und Nieren geprüft werden. (Bild: Archiv)

In den USA regelt der HIPAA-Standard, wie der Gesundheitssektor persönliche Daten handhabt. Das IT-Sicherheitsgesetz und andere Datenschutz- sowie Compliance-Vorgaben werden das Thema auch In Deutschland befeuern. Doch welche Regularien müssen hierzulande wirklich eingehalten werden.

Wenn es um Sicherheitsverstöße im Healthcare-Bereich geht, sind die Compliance-Vorgaben wohl nirgendwo strenger als in den USA. Beispielweise muss der Verlust personenbezogener Informationen laut der „Breach Notification Rule“, die im Health Insurance Portability and Accountability Act (HIPAA) enthalten ist, zwingend gemeldet werden.

Sogar die Veröffentlichung in einer „List of Shame“ ist möglich. Dadurch werden Zwischenfälle für jedermann online einsehbar. Die HIPAA-Norm legt in den USA die Regeln für die Cybersicherheit im Gesundheitssektor fest.

Nach Inkrafttreten des IT-Sicherheitsgesetzes hat auch in Deutschland die Diskussion über Gesundheitsdaten an Bedeutung gewonnen. Die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) und die Datenschutzgrundverordnung (GDPR) der EU enthalten ebenfalls eine umfassende Definition von schützenwerten Patientendaten. Das Problem ist nun, wie diese Definition in die Praxis umgesetzt werden kann.

Die HIPAA-Norm wird hauptsächlich in den Vereinigten Staaten angewandt, aber auch das IT-Sicherheitsgesetz erwähnt die Notwendigkeit branchenspezifischer Sicherheitsstandards. Bisher gibt es hier nichts, was sich mit dem HIPAA vergleichen ließe.

In Deutschland gibt es keine spezielle IT-Verordnung, aber die ärztliche Schweigepflicht ist ein sehr heikles Thema. Man kann davon ausgehen, dass ein großes gesellschaftliches Interesse am Thema Schutz von Patientendaten besteht, allerdings gibt es noch keine Normen, die diesem Interesse Rechnung tragen.

Aktuelle Ergebnisse der letzten beiden Jahre zeigen, dass es eine Vielzahl erfolgreicher Angriffe gab, bei denen persönliche Gesundheitsinformationen (Personal Health Information (PHI)) von Millionen Menschen kompromittiert wurden. Dem Identity Theft Resource Center zufolge fanden 42,5 Prozent aller Datenverstöße im Gesundheitsbereich statt. Das Center berichtet auch, dass 91 Prozent aller Gesundheitsunternehmen meldeten, im Verlauf der letzten beiden Jahre von mindestens einem Datenverstoß betroffen gewesen zu sein.

Warum nehmen Hacker das Gesundheitswesen ins Visier?

Das Journal of the American Medical Association untersuchte die Datenbank des US-Gesundheitsministeriums auf HIPAA-Angaben zum Verlust von PHI, von dem zwischen 2010 und 2013 mehr als 500 Personen betroffen waren. Diese Studie fand heraus, dass es während dieser Zeit 949 Verstöße mit Auswirkungen auf insgesamt 29 Millionen Patientenakten gab.

Dieser Abwärtstrend setzt sich fort. Anfang dieses Jahres gab Anthem bekannt, Opfer eines erfolgreichen Angriffs geworden zu sein, bei dem die Daten von rund 80 Millionen Menschen betroffen waren.

Gesundheitsdaten werden in der Linie angegriffen, weil sie extrem wertvolle Informationen enthalten. Wertvoll deshalb, weil sie die PHI, Identitätsangaben (wie Geburtsdatum und Sozialversicherungsnummern) und auch Finanz- und Kreditkartendaten einer Person enthalten können.

Alle diese Daten lassen sich im Rahmen eines Identitätsdiebstahls verwenden. Die Information kann auch für gezielt ausgerichtete Phishing-Angriffe missbraucht werden. Die geraubten Daten sind derart persönlich, dass ein Autor einer bösartigen E-Mail seinen Angriff so personalisieren kann, dass es dem unschuldigen Opfer schwer fallen wird, sie zu ignorieren.

Zweitens gibt es einen zeitlichen Rückstand bei der Implementierung von neuen Technologien. Die Umgebungen der Branche haben höchst anspruchsvolle IT-Infrastrukturen und -Netzwerke, bei denen die Perimeter nicht mehr richtig definiert sind.

Die Bedrohungen werden täglich intelligenter, weshalb CIOs den richtigen Weg definieren müssen, wie ihre Gesundheitsorganisationen in der modernen und sich ständig weiterentwickelnden Bedrohungslandschaft geschützt werden können. Die zunehmende Abhängigkeit von vernetzten Medizingeräten hat zudem für eine erweiterte und anfällige Angriffsfläche gesorgt.

Während die USA bereits einen Schritt voraus sind und mit der zentralisierten Analyse der Verstöße beginnen, hat Deutschland noch einen langen Weg vor sich. Es gibt keine vergleichbare Einrichtung, die auf den Gesundheitssektor ausgerichtet ist und sich mit Patientendaten und -normen beschäftigt. Der HIPAA liefert ein Beispiel dafür, wie Standards in der Praxis umgesetzt werden können. In Deutschland ist das Risikobewusstsein nicht so weit entwickelt und Organisationen bevorzugen individuelle Strategien.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43764643 / Compliance und Datenschutz )