IT-Sicherheit im Gesundheitswesen

Datenschutz und IT-Sicherheit im Gesundheitswesen

Die Digitalisierung unseres Gesundheitswesens schreitet massiv voran: Mittels der sog. Telematikinfrastruktur fördert der Bund die Vernetzung der medizinischen Einrichtungen. In Folge der Corona-Krise ist der Bedarf an Online-Kommunikation zwischen Arzt und Patienten gestiegen. Ergänzend zu diesen Entwicklungen wird im Januar 2021 die Elektronische Patientenakte eingeführt.

Bei einer derartigen Vernetzung unseres Gesundheitsswesens ist es Zeit, einen kritischen Blick auf die Sicherheit der Systeme und damit unserer Daten zu werfen. Denn wie wichtig für den Schutz von Patientenunterlagen die IT-Sicherheit ist, zeigen leider diejenigen Fälle, bei denen es Angreifern gelungen ist, in das System einer Einrichtung einzudringen, dieses lahmzulegen oder – im schlimmsten Fall – sogar Datensätze zu stehlen.

Über größere Angriffe auf Krankenhaus-IT weltweit wurde in der letzten Zeit auch vieles berichtet. Dabei sollte man jedoch nicht außer Acht lassen, dass nicht nur große medizinische Einrichtungen von Cyberattacken betroffen sein können. Es trifft auch kleine, selbstständige Praxen – ein solcher singulärer Angriff kann aus verschiedenen Gründen existenzbedrohend sein. Und auch für uns Verbraucher mit Risiken verbunden.

IT-Strukturen im Gesundheitswesen richtig absichern

Grundlagen sicherer IT-Systeme

Zunächst gilt für medizinische Einrichtungen mehr noch als für alle anderen, dass sie ihre IT-Infrastruktur sorgfältig auswählen und pflegen müssen. Ein aktuelles Betriebssystem mit allen relevanten Sicherheitsupdates, eine funktionierende Hardware-Firewall sowie ein aktuelles und intelligentes Anti-Virenprogramm sollten Standard sein. Hinzukommen sollten regelmäßige Sicherheitsupdates sowie am besten tägliche Back-ups, die nicht aus dem System bearbeitbar sind. So können Einrichtungen im Falle eines Ransomware-Angriffs schnell wieder einsatzbereit sein. Und der Datenverlust in den eigenen Systemen hält sich zumindest in Grenzen.

Doch auch Passwortsicherheit ist ein wichtiger Punkt, der allzu oft im Berufsalltag untergeht: Für viele niedergelassene Ärzte gilt es, einen Kompromiss zwischen Sicherheit und Praktikabilität zu finden. Insbesondere deshalb, weil Rechner am Empfang oder in Laboren möglicherweise von mehrern Personen benutzt werden. Dennoch sollten auch diese gemeinschaftlich genutzten Passwörter den Sicherheitsstandards entsprechen und regelmäßig erneuert werden. Wir raten auch dazu, eine praktikable Multi-Faktor-Authentifizierung einzuführen.

Da es sich um sensible Infrastruktur handelt, sollten auch klare Regelungen zur IT-Nutzung am Arbeitsplatz geschaffen werden: Dürfen private Mails gecheckt werden? Sind Online-Einkäufe oder sonstiges Surfverhalten erlaubt? Dürfen eigene Speichermedien mitgebracht und genutzt werden? Gibt es extra dafür sogar Geräte, die nicht an das Praxisnetz angebunden sind? Wichtig ist hierbei, die Aufmerksamkeit für mögliche Sicherheitslücken, die durch dieses Verhalten auftreten könnten, zu erhöhen. Mitarbeiterschulungen zum Thema IT-Sicherheit, Phishing oder Social Engineering sollten daher regelmäßig durchgeführt werden.

Cyberversicherungen können zudem die (finanziellen) Risiken, die nach einem erfolgten Angriff auftreten, minimieren. Oftmals sorgen gute Sicherheitskonzepte für eine Minimierung des Beitrags und allein der Zwang, sich mit dieser Thematik auseinanderzusetzen, schafft gute Voraussetzungen für eine tatsächliche Umsetzung der Pläne.

Erhöhte Sicherheit dank Telematikinfrastruktur (TI)?

Mit der großflächigen Einführung der Telematikinfrastruktur (TI) seit 2018 in deutschen Arztpraxen sollte die Sicherheit der Systeme zusätzlich erhöht werden. Über diesen sicheren Kanal sollten Patienteninformationen schnell und sicher zur Verfügung gestellt werden, um Behandlungskosten durch wiederholte Untersuchungen zu senken. Die Berichte häufen sich jedoch, dass die Anbindung an das Netz nicht so sicher ist wie angekündigt.

Welche Sicherheitslücken der TI werden beschrieben?

Trotz Zwang zum Anschluss an die TI ist insbesondere die Haftbarkeit bei Cyberangriffen – und somit bei datenschutzrechtlichen Fragen – nicht ausreichend geklärt. Der IT-Experte Jens Ernst von happycomputer hat bereits im vergangenen Jahr erhebliche Datenschutzmängel beim Anschluss an die Telematikinfrastruktur offengelegt.

Das beginnt schon bei der Art, wie der TI-Konnektor in das Netzwerk der Praxen eingebunden wird. Hier gibt es nämlich die Möglichkeit, zwischen einer seriellen und einer parallelen Einbindung zu wählen. Eine serielle Einbindung hat zwar zunächst einen höheren Installationsaufwand, bietet jedoch den Vorteil, dass alle Geräte der Praxis in das Sicherheitsnetzwerk des Bundes aufgenommen werden. Eine extra Absicherung seitens der Praxisinhaber sei nach Angabe der Gematik nicht notwendig. Eine parallele Einbindung hingegen setzt voraus, dass sich die Ärzte selbstständig um eine Sicherung ihrer vorhanden Systeme und Geräte bemühen. Dies macht eigentlich nur für größere Einheiten Sinn, die schon vorher viele Geräte in ihrem System eingebunden hatten.

Dennoch wurden anscheinend die meisten Betriebe im Parallelbetrieb angeschlossen. In diesem Fall müssten die Praxisinhaber nun selbst dafür sorgen, dass ihre eigenen Systeme gesichert werden. Viele geben jedoch an, nicht genügend von ihrem IT-Provider darüber aufgeklärt worden zu sein. Ernst beschreibt, dass selbst bei den wenigen Einrichtungen, die seriell angebunden wurden, Sicherungssysteme nicht korrekt funktionieren. Denn die Firewall des genutzten TI-Konnektors würde nicht ausreichen, um eine von ihm aufgespielte Anti-Viren-Test-Datei zu erkennen. Dies bedeutet, dass auch in diesem Fall ohne weitere Sicherheitsmaßnahmen keine Sicherheit vor dem Zugriff durch Dritte stattfindet. In den allermeisten Praxen gibt es somit – egal wie sie eingebunden sind – keine Hardware-Firewall. Daneben wurde oftmals der Virenschutz auf dem Rechner und die Software-Firewall, die jeder Rechner heute besitzt, abgeschaltet.

Wie kann das Gesundheitswesen die IT-Sicherheit gewährleisten?

Ernst fordert zu einem offenen Umgang mit dem Thema Cybersecurity auf, die im Grunde genommen auf drei Pfeilern steht:

  1. Eine Praxis benötigt eine höhere Sicherheitsstufe als nur einen Router, wie es aktuell oft Alltag ist.
  2. Sensible Daten sollten nicht über ein WLAN-Netz versendet werden. Das LAN-Netz des Konnektors sendet Daten unverschlüsselt; durch ein Eindringen ins WLAN ist ein “Mithören” möglich.
  3. Geräte, die aufgrund ihrer Bauweise nicht genügend geschützt werden können, sollten nicht verwendet oder in einer DMZ (Demilitarized Zone) betrieben werden.

Er schlägt darüberhinaus die Entwicklung einer DMZ vor, in die alle Systeme der TI eingeschlossen werden. Das ist aktuell noch nicht einmal der Fall bei der Telematikinfrastruktur selbst. Zudem bemängelt er, dass IT-Spezialisten zum Anschließen der TI kein gesondertes Zertifikat seitens der Gematik benötigen. Dies würde sicherstellen, dass nur geschultes Personal die Einrichtung durchführen darf und genügend Aufklärungsarbeit bei den haftenden Ärzten geleistet wird.

Zusammenfassend gibt Ernst an, dass die Sicherheit aller Systeme nur gewährleistet werden könne, wenn die allermeisten Praxen ihre Rechner komplett vom Netz nehmen würden. Sowohl die TI-Konnektoren als auch die eigenen Systeme würden keinerlei Schutz bieten, um Verbraucherdaten sicher zu verstauen.

Auch wir als Sicherheitsexperten sagen: Sicherheit sollte hier ganz klar der wichtigste Ausgangspunkt der Digitalisierung sein. Die Absicherung der Systeme muss gewährleistet sein, bevor eine Einrichtung angeschlossen wird.

Was denken Sie? Diskutieren Sie mit.

New draft law on the monitoring of messenger services

Wie weit dürfen deutsche Geheimdienste bei der Aufdeckung von terroristischen Vereinigungen im Internet gehen?

Eine Frage, die insbesondere vor dem Hintergrund rechter Anschläge in Deutschland wieder in den Fokus der öffentlichen Diskussion geraten ist. Die Bundesregierung will nun die Befugnisse der Geheimdienste zur Auslesung von verschlüsselten Messenger-Diensten wie WhatsApp, Telegram oder Skype gesetzlich neu regeln. Und somit die alte Gesetzeslage, die noch zwischen Telefonie- und Internetdiensten unterscheidet, ablösen.

Der aktuelle Entwurf sieht vor, dass deutsche Geheimdienste – nach einer Genehmigung durch eine G10-Kommission des Bundestags – nun auch Zugriff auf Messengerdaten aus schriftlicher Kommunikation erhalten können. Bislang dürfen Geheimdienste nach Genehmigung nur laufende Messengergespräche von verdächtigen Personen mithören. Ein ursprünglicher Gesetzesentwurf, in dessen Rahmen auch Online-Durchsuchungen (d. h. ein verdeckter Zugriff auf Computer, Smartphones und anderen IT-Services) möglich waren, wurde abgelehnt.

Der Entwurf wird im Bundestag sowie von externen Stellen kontrovers diskutiert.

Befürworter sehen in dem Gesetzeswurf eine Möglichkeit, die deutsche Rechtsprechung dem aktuellen Stand der Technik anzupassen. Und die Selbstständigkeit deutscher Geheimdienste bei der Aufdeckung terroristisch-motivierter Straftaten zu gewährleisten. Denn bislang sind diese auf Tipps und die Mithilfe von ausländischen Geheimdiensten angewiesen, für die derartige Hürden nicht gelten. Gleichzeitig sehen einige Datenschützer in dem Entwurf eine Aufwertung der Bürgerrechte: Denn fehlende Vorschriften würde nicht zwangsläufig zu einem höheren Datenschutz führen. Denn nur rechtsstaatliche Regelungen zur Datenüberwachung würden Grenzen, die etwa auch für ausländische Geheimdienste gelten, schaffen. Fehlen diese, würde dies die Bürgerrechte eher schwächen als stärken.

Gegner sehen in dem Gesetzesentwurf hingegen einen Einschnitt in die Grundrechte des Einzelnen, insbesondere durch die Kompetenzerweiterung des Verfassungsschutzes, die der Entwurf ebenfalls vorsieht.

#dataprotection #Datenschutz #messengerservices