Cyber-Security in der Cloud – IT-Sicherheit im klinischen Umfeld

Die gezielten Angriffe auf deutsche Kliniken haben sich von 2019 auf 2020 mehr als verdoppelt. Dabei ist die Szene der Cyberkriminellen mittlerweile sehr gut organisiert. Die häufigsten Angriffsarten sind Malware, Data Leaks und Angriffe über unsichere Passwörter. Auch vernetzte Medizintechnikprodukte stellen ein Risiko dar. Doch trotz der existierenden Risiken, oder besser gesagt genau deswegen, ist der Betrieb von Klinik-IT-Systemen als Cloud-Lösung eine echte Alternative. Neben der Qualifikation des involvierten Personals spielt die Awareness der Mitarbeiter:innen und die Einhaltung von Compliance-Richtlinien auch eine erhebliche Rolle. Die Hersteller von Medizinprodukten tragen hinsichtlich der IT-Sicherheit der Systeme eine Mitverantwortung.

Kliniken arbeiten stets mit hochsensiblen Daten, nämlich den Patientendaten. Diese sind in besonderer Weise vor dem Zugriff Unberechtigter zu schützen. Hinzu kommt, dass in diesem Bereich das Leben von Menschen an vorderster Stelle steht. Daher unterliegt die IT-Sicherheit in der Gesundheitswirtschaft besonders hohen Anforderungen. Angriffe auf die IT-Infrastruktur von Kliniken stellen in den meisten Fällen direkt oder indirekt Bedrohungen von Menschenleben dar.

Dies geht von den niedergelassenen Ärzt:innen bis hin zu Anbietern von Softwarelösungen, die zur Analyse und Wartung der Systeme meistens Fernzugänge auf diese haben. Ein illegaler Zugriff auf Patientendaten könnte so-mit auch über einen Cyberangriff auf die Softwareanbieter erfolgen. Unvorstellbar, wenn Diagnose- und Behandlungsdaten von Patient:innen in falsche Hände geraten.

Auch seitens des Gesetzgebers liegt ein besonderes Augenmerk auf dem Datenschutz von Patientendaten. Fast alle Landeskrankenhausgesetze (LKGs) regeln, dass eine allgemeine Weitergabe an Dritte im Sinne einer Auftragsdatenverarbeitung auch unter Einhaltung der DSGVO nicht zulässig ist und die Patientendaten im Gewahrsam des Krankenhauses verbleiben müssen. Die meisten LKGs verlangen zudem eine direkte Kontrolle bzw. die Zustimmung durch den jeweiligen Landesdatenschutzbeauftragten.

Somit sind, zumindest aktuell, die Hürden für den Einsatz von cloudbasierten Lösungen zur Verarbeitung von Patientendaten hoch. Im Oktober 2020 hat der Berliner Senat beschlossen¹, das LKG so anzupassen, dass die Auftragsdatenverarbeitung für die Berliner Kliniken auch mit externen Dienstleistern professionell und sicher über adäquate Cloud-Lösungen durchführbar ist. Dies eröffnet neue Wege für innovative Medizinprodukte, Big-Data-Anwendungen im Bereich der Diagnose etc. Es ist davon auszugehen, dass weitere Bundesländer in ihren LKGs zukünftig Anpassungen vornehmen werden.

Nachdem in Kliniken typischerweise zehn bis fünfzehn verschiedene IT-Systeme verwendet werden, die untereinander nur selten Daten austauschen, muss das Personal stets in mehreren Systemen arbeiten und dokumentieren. Einen Mehrwert schaffen Data Warehouse-Lösungen, die alle Daten der Vorsysteme in einem zentralen System zusammenführen. Solche Systeme bilden die Basis der strategischen Klinikführung unter betriebswirtschaftlichen Gesichtspunkten für die Geschäftsführung und das Controlling. Sie stellen sämtliche relevante Informationen inkl. aller Patientendaten bereit, sodass die behandelnden Ärzt:innen diese in einem System einsehen können.

Die Vorteile von lokal betriebenen Systemen sind, dass die Einhaltung des Datenschutzes und der damit verbundene Schutz der Netzwerke und der Server in eigener Hand liegen. Die Verfügbarkeit der Daten ist für den Klinikbetrieb essenziell und liegt hier auch in eigener Hand. Es gibt aber auch Nachteile: Insbesondere kleinere Kliniken können oft nicht die IT-Sicherheitsstandards von großen Häusern mit zentralen IT-Abteilungen erfüllen und jährlich ausreichend Budget bereitstellen, um systemtechnisch up-to-date zu sein und Personal ausreichend zu qualifizieren.

Allerdings bringen Cloud-Lösungen auch Nachteile und Risiken mit sich. Steht die Datenanbindung der Klinik temporär, beispielsweise durch einen Leitungsschaden, nicht zur Verfügung, steht die Klinik still.

Die Vorteile von lokalen und Cloud-Lösungen verbinden Hybrid-Cloud-Lösungen. So können Daten für Big-Data-Anwendungen, die Patientennachversorgung etc. in die Cloud weitergegeben werden, stehen allerdings über die lokalen Server auch direkt im Krankenhausnetzwerk zur Verfügung. Entsprechende Lösungen haben somit eine deutlich höhere Verfügbarkeit. Die Nachteile sind auch hier die Restriktionen hinsichtlich des Datenschutzes bei Weitergabe hochsensibler Daten. Insbesondere die laufenden Betriebskosten fallen durch die doppelte Infrastruktur mit qualifiziertem Personal ins Gewicht. Hinsichtlich der Verringerung der Betriebskosten kann die vor-Ort-Datenhaltung allerdings auf ein Minimum reduziert werden, wenn ausschließlich aktuelle Falldaten der vergangenen Tage lokal zwischengespeichert werden und alle anderen Daten, z. B. der vergangenen zehn Jahre, für Auswertungen über die Cloud verfügbar sind.

Gemäß HIPAA (Health Insurance Portability and Accountability Act, US- Gesetz) zertifizierte Cloud-Dienste sind heute schon mit steigender Tendenz für den Einsatz in der Gesundheitsbranche verfügbar. Hierüber können niedergelassene Ärzt:innen, Kliniken und Rehabilitationseinrichtungen Patienten daten sicher austauschen. Außerdem sollten die Daten bei Transport und Speicherung entsprechend verschlüsselt werden. Zusätzlich bietet sich bei in der Cloud gehosteten IT-Systemen für den Klinikbereich an, den Zugriff auf die Systeme ausschließlich über VPN bereitzustellen.

Auch sollte auf ausreichenden Schutz bei Authentisierung und Zugriffsberechtigungen Wert gelegt werden. Hier empfiehlt sich eine Zwei-Faktor-Authentisierung (2FA). Dabei erfolgt der Identitätsnachweis eines Users mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger technischer Komponenten (Faktoren). Neben der Kombination aus Anmeldename und Passwort muss der User beispielsweise eine PIN eingeben, die an sein registriertes Smartdevice per SMS oder App geschickt wird oder von einer speziellen Token-Hardware abzulesen ist.

Die skizzierten Cloud-Dienste erhöhen den Komfort für die beteiligten Parteien und die Sicherheit von Patientendaten. Neue Geschäftsmodelle können sich etablieren und Kosten für niedergelassene Ärzt:innen und Kliniken nachhaltig reduziert werden.