Besuchen Sie uns auf der it-sa 2024!
Home>
IT-Sicherheit schafft die Vertrauensbasis für E-Health-Lösungen
SECURITY INSIGHTS | 19 Mai 2021
Im Gesundheitswesen kommen vermehrt digitale Lösungen in Verwaltung, Diagnostik und Behandlung zum Einsatz. Dabei haben Sicherheit und Datenschutz höchste Priorität, um die gesellschaftliche Akzeptanz für E-Health zu fördern.
Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Neue Digitallösungen wie die elektronische Patientenakte (ePA), das E-Rezept, die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) oder der digitale Impfpass ersetzen zunehmend ihre analogen Pendants. Das Smartphone entwickelt sich zum zentralen Gesundheits-Hub als Schnittstelle zu ÄrztInnen, Krankenkassen und Kliniken. Diese weitreichende Transformation ermöglicht immense Effizienzsteigerungen: Kritische Gesundheitsdaten liegen jederzeit vor, überflüssige Mehrfachdiagnosen und Untersuchungen bei einem Praxis- oder Klinikwechsel erübrigen sich.
Grundvoraussetzungen für die Akzeptanz aufseiten der AnwenderInnen und somit den Erfolg der neuen E-Health-Lösungen sind neben konkreten Mehrwerten vor allem das Vertrauen in die Technologie. Letzteres will das Bundesgesundheitsministerium (BMG) durch strikte Datenschutzvorgaben stärken. Der Schutz kritischer Patientendaten zählt zu den obersten Prinzipien aller medizinischen Digitallösungen und erfordert IT-Sicherheit auf höchstem Niveau. Aus diesem Grund koppelt das Krankenhaus-Zukunftsgesetz (KHZG) die Fördermittel für Kliniken an Investitionen in IT-Sicherheit.
Die Nutzung von Online-Services gehört für einen Großteil der Bevölkerung zum Alltag. Weisen digitale Gesundheitsportale nicht die von anderen Diensten gewohnte Performance und Stabilität auf, wirft das ein schlechtes Licht auf die Anbieter und die zugrunde liegende Technologie. Selbst wenn sensible Daten per se nicht gefährdet sind, genügt bereits ein stotternder Webauftritt, um das Vertrauen in eine E-Health-Lösung entscheidend zu schwächen. Deshalb spielen Leistungsfähigkeit und Stabilität der Webportale eine entscheidende Rolle.
Verzögerte Übertragung kritischer Notfalldaten
Erschwerte Medikation in Notfallsituationen
Überflüssige Mehrfachuntersuchungen
Verzögerte Behandlung
Kein Zugriff der PatientInnen auf ihre eigenen Gesundheitsdaten
Strafzahlungen bei Datenschutzverletzungen & Datenabfluss
E-Health-Lösungen wie die ePA oder der digitale Impfpass sind für die Nutzung durch Millionen BürgerInnen konzipiert. Die zugehörigen Online-Portale und Schnittstellen müssen selbst bei hoher Auslastung sowie unvorhersehbaren Traffic-Spitzen fehlerfrei arbeiten. Ohne flexible Skalierbarkeit und Überlastungsschutz droht ein Ausfall der kritischen Dienste, wie bei einigen Impfportalen zu beobachten war, die dem immensen Nutzeransturm zwischenzeitlich nicht mehr standhielten.
Außerdem sind IT-Infrastrukturen zunehmend durch externe Angriffe gefährdet. Seit Beginn der Corona-Pandemie stehen das Gesundheitswesen sowie andere kritische Sektoren vermehrt unter Beschuss. Das belegen sowohl Mitigationsdaten von Myra Security als auch Untersuchungen von Interpol, dem Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Allianz stuft Cybervorfälle in ihrem aktuellen Risk Barometer sogar als das größte Risiko für das Gesundheitswesen ein, zusammen mit pandemischen Ausbrüchen.
Für Gesundheitsdaten und somit auch E-Health-Lösungen gelten besonders hohe Anforderungen an Datenschutz und IT-Sicherheit. Das spiegelt sich in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) und den zunehmend anspruchsvoller ausfallenden regulatorischen Vorgaben des BMG und der gematik wider. E-Health-Betreiber, Kliniken und ÄrztInnen müssen sich daher intensiver mit der internen Datenarchitektur sowie mit Compliance-Themen befassen.
Als effiziente Alternative zum aufwendigen Inhouse-Betrieb bietet sich das Outsourcing der IT-Sicherheit an. Managed Service Provider übernehmen auf Wunsch Implementierung, Wartung und Betrieb aller erforderlichen Sicherheitslösungen. Dadurch entfallen zusätzliche Aufwendungen für Software, Hardware und Fachpersonal. Allerdings muss der Service Provider gut gewählt sein. Kooperationen mit US-Anbietern stehen seit dem Aussetzen des Privacy-Shield-Abkommens für den transatlantischen Datentransfer auf wackeligen Füßen, da die rechtliche Grundlage fehlt und Datenschutzbestimmungen aufgrund der konträren Positionierung von EU- und US-Recht nur schwer umzusetzen sind. Durch die Wahl lokaler Anbieter, die der hiesigen Rechtsprechung unterliegen und höchste Datenschutzanforderungen erfüllen, lassen sich diese Hürden meistern.
Mehr Informationen zu den Lösungen von Myra für das GesundheitswesenSecurity Insights
26 Oktober 2020
Security Insights
13 Januar 2020
Security Insights
02 November 2020