Kliniken stecken in einem Dilemma, Digitalisierung wird gefordert, mit neuen IT-Lösungen wachsen aber auch die Sicherheitsrisiken. Was raten Sie Klinken?
Jens Pahl: Prozesse nicht zu digitalisieren ist keine Option, soviel steht fest. Und es ist auch nicht so, als würde das Sicherheitsrisiko mit jedem neuen IT-System zwangsläufig wachsen. Es kommt zum einen darauf an, wie sicher das zu beschaffende IT-System selbst ist. Zum anderen haben Kliniken – insbesondere ihre IT-Abteilungen – mitunter sehr vielfältige Handlungsoptionen, um das Sicherheitsrisiko, das eine neue Anwendung unter Umständen mit sich bringt, schrittweise zu minimieren. Das Wichtigste ist jedoch, dass Klinken bei allen sicherheitsrelevanten Aspekten der Prozessdigitalisierung planvoll und strategisch vorgehen.
Tobias Mayer: Richtig, es ist am einfachsten, wenn man sich den Beschaffungsprozess eines neuen IT-Systems als Zeitstrahl vorstellt. In den einzelnen Phasen kann man sich dann in Ruhe auf die dort relevanten Fragestellungen und Aspekte konzentrieren. Wichtig ist nur, – und unserer Erfahrung nach machen das die meisten Kliniken schon genau richtig – dass das Thema „Sicherheit“ von Anfang an mitgedacht wird. Schon in der Auswahlphase möglicher Lösungsanbieter sollte abgefragt werden, ob sicherheitsrelevante Zertifizierung vorliegen und ob das jeweilige IT-System die üblichen Sicherheitsstandards einhält. Wenn solche Punkte nach der Auswahl eines Anbieters abgefragt werden, ist es zu spät.
Damit ist schon ein wichtiger Punkt angesprochen – Zertifizierungen und Sicherheitsstandards. Auf was können Kliniken bei der Auswahl einer IT-Lösung bzw. eines Anbieters noch achten?
Tobias Mayer: Noch eins zu den Zertifizierungen und Sicherheitsstandards: Hier sind nach KRITIS-Verordnung vor allem die ISO 27001 und der BSI Standard 200-2 für Kliniken ausschlaggebend. Auf jeden Fall ist es für Kliniken ratsam, zu beleuchten, welchen Stellenwert das Thema IT-Sicherheit und Schutz von Patientendaten beim Lösungsanbieter einnimmt. Beschäftigt er ein Sicherheitsteam, dass sich ausschließlich der Informationssicherheit widmet? Hält er Whitepaper zu diesem Thema vor? Wird mit gängigen Sicherheitsprinzipien wie Security-by-design, Privacy-by-design und Privacy-by-default gearbeitet? Sieht das angebotene IT-System eine dezentrale Datenhaltung vor? Arbeitet das System mit Rollen und Berechtigungszuweisungen und werden Daten pseudonymisiert? Arbeitet das System mit offenen Standards wie z.B. HL7 FHIR? Können diese beispielhaften Fragen mit „Ja“ beantwortet werden, ist das zwar kein Grund sich zurückzulehnen, aber ein gutes Zeichen dafür, dass einige Grundsätze der Informationssicherheit beachtet werden.
Jens Pahl: Unter dem Aspekt der DSGVO-Konformität ist noch wichtig zu erwähnen, dass Severstandorte in Deutschland oder zumindest im EWR es erleichtern, sich an die Grundverordnung zu halten.
Die Klinik hat sich jetzt im Vorfeld über den Lösungsanbieter, das System und die sicherheitsrelevanten Aspekte informiert. Wie geht es nun weiter?
Jens Pahl: Um ein neues IT-System auf Herz und Nieren zu prüfen ist eine testweise Installation in einem gesicherten Bereich des Kliniknetzwerks eine Option. Im Probebetrieb kann überprüft werden, ob das System fehlerfrei mit dem Kliniknetzwerk interagiert. Ist das nicht der Fall, lässt sich – ohne, dass das Kliniknetzwerk oder der Betrieb beeinträchtigt werden – evaluieren, an welchen Stellen es noch zu Fehlfunktionen kommt. In diesem Zusammenhang sollte auch darauf geachtet werden, dass Informationen nie das Kliniknetzwerk verlassen und nur unbedingt notwendige Daten an das Fremdsystem weitergegeben werden. Sie sollten zusätzlich nur so lange in der Anwendung verbleiben, wie sie auch verarbeitet werden. Eine anschließende Rückgabe an das Kliniknetzwerk oder Weitergabe an andere Systeme erhöht die Informationssicherheit zusätzlich.
Was lässt sich abseits der internen Fehlersuche gegen Cyberangriffe von außen unternehmen? Vor allem für Kliniken ist das ein reales Szenario.
Tobias Mayer: Vollkommen richtig, ein echter Cyber-Notfall, bei dem Medizin- oder Patientendaten abhandenkommen, verschlüsselt werden oder – noch schlimmer – unbemerkt verändert werden, stellt wohl den Worst Case für jede IT-Abteilung dar. Um hier vorzubeugen, können sogenannte Pentests durchgeführt werden. Sie sind der absolute Härtetest und fordern die IT- und Datensicherheit eines Systems oder Netzwerks maximal heraus. Beim Penetration Testing handelt es sich um professionell durchgeführte Angriffe auf das zu testende System oder Netzwerk. So können Sicherheitslücken und Schwachstellen identifiziert und Gefährdungspotenziale analysiert werden. Auf dieser Basis lassen sich dann, bevor es zu einem echten Cyberangriff kommt, geeignete Anpassungen vornehmen und die Sicherheitslücken schließen. Kliniken sollten hier einerseits überprüfen, ob der Lösungsanbieter die eigenen Systeme solchen Pentests unterzieht und andererseits erfragen, ob ein solches Test auch in einem gesicherten Bereich des Kliniknetzwerks durchgeführt werden kann.
Herr Mayer, Herr Pahl, vielen Dank für das Gespräch.
Patientendaten, Medizindaten und Gesundheitsdaten – Was sagt das Gesetz?
Patientendaten sind Daten, die sich auf eine Person beziehen, aber ohne weitere Zusatzinformationen nichts über ihren psychischen oder physischen Gesundheitszustand aussagen. Solche Daten werden vom BSI entweder mit einem normalen (bspw. Namen- und Adressdaten) oder mit einem hohen Schutzbedarf (bspw. Versicherten-Steuernummer) klassifiziert. Aus datenschutzrechtlicher Perspektive reguliert Art. 6 der DSGVO die Verarbeitung dieser Informationen. Den Patientendaten stehen Gesundheits- und Medizindaten gegenüber, die sich einerseits auf eine Person beziehen und andererseits Informationen über ihren psychischen und / oder physischen Gesundheitszustand enthalten. Solche Daten können Laborwerte zum Blutbild, radiologische Aufnahmen aber auch ein Foto sein, wenn darauf bspw. erkennbar ist, dass die Person eine Brille trägt. Solche Daten sind hochsensibel und werden vom BSI in der höchsten Schutzbedarfskategorie eingruppiert. Werden die Vertraulichkeit, Integrität oder Verfügbarkeit dieser Daten eingeschränkt und werden auf Basis veränderter Daten Diagnosen gestellt oder Therapien eingeleitet, geht eine unmittelbare Gefahr für Leib und Leben der betroffenen Person aus. Deshalb unterliegen diese Daten auch in der DSGVO in Art. 9 als „besondere Kategorien personenbezogener Daten“ einem herausgehobenen Schutz.