Besuchen Sie uns auf der it-sa 2024!

IT-Sicherheit schafft die Vertrauensbasis für E-Health-Lösungen

SECURITY INSIGHTS | 19 Mai 2021

Im Gesundheitswesen kommen vermehrt digitale Lösungen in Verwaltung, Diagnostik und Behandlung zum Einsatz. Dabei haben Sicherheit und Datenschutz höchste Priorität, um die gesellschaftliche Akzeptanz für E-Health zu fördern.

Hände tippen auf einem Laptop und daneben liegt ein Stethoskop

Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Neue Digitallösungen wie die elektronische Patientenakte (ePA), das E-Rezept, die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) oder der digitale Impfpass ersetzen zunehmend ihre analogen Pendants. Das Smartphone entwickelt sich zum zentralen Gesundheits-Hub als Schnittstelle zu ÄrztInnen, Krankenkassen und Kliniken. Diese weitreichende Transformation ermöglicht immense Effizienzsteigerungen: Kritische Gesundheitsdaten liegen jederzeit vor, überflüssige Mehrfachdiagnosen und Untersuchungen bei einem Praxis- oder Klinikwechsel erübrigen sich.

Grundvoraussetzungen für die Akzeptanz aufseiten der AnwenderInnen und somit den Erfolg der neuen E-Health-Lösungen sind neben konkreten Mehrwerten vor allem das Vertrauen in die Technologie. Letzteres will das Bundesgesundheitsministerium (BMG) durch strikte Datenschutzvorgaben stärken. Der Schutz kritischer Patientendaten zählt zu den obersten Prinzipien aller medizinischen Digitallösungen und erfordert IT-Sicherheit auf höchstem Niveau. Aus diesem Grund koppelt das Krankenhaus-Zukunftsgesetz (KHZG) die Fördermittel für Kliniken an Investitionen in IT-Sicherheit.

E-Health: Die kritische Bedeutung von Webportalen

Die Nutzung von Online-Services gehört für einen Großteil der Bevölkerung zum Alltag. Weisen digitale Gesundheitsportale nicht die von anderen Diensten gewohnte Performance und Stabilität auf, wirft das ein schlechtes Licht auf die Anbieter und die zugrunde liegende Technologie. Selbst wenn sensible Daten per se nicht gefährdet sind, genügt bereits ein stotternder Webauftritt, um das Vertrauen in eine E-Health-Lösung entscheidend zu schwächen. Deshalb spielen Leistungsfähigkeit und Stabilität der Webportale eine entscheidende Rolle.

Handy in einer Hand mit geöffneter Healthcare App

Mögliche Folgen von Cyberattacken auf E-Health-Lösungen und Telematik:

  • Verzögerte Übertragung kritischer Notfalldaten

  • Erschwerte Medikation in Notfallsituationen

  • Überflüssige Mehrfachuntersuchungen

  • Verzögerte Behandlung

  • Kein Zugriff der PatientInnen auf ihre eigenen Gesundheitsdaten

  • Strafzahlungen bei Datenschutzverletzungen & Datenabfluss

E-Health-Lösungen wie die ePA oder der digitale Impfpass sind für die Nutzung durch Millionen BürgerInnen konzipiert. Die zugehörigen Online-Portale und Schnittstellen müssen selbst bei hoher Auslastung sowie unvorhersehbaren Traffic-Spitzen fehlerfrei arbeiten. Ohne flexible Skalierbarkeit und Überlastungsschutz droht ein Ausfall der kritischen Dienste, wie bei einigen Impfportalen zu beobachten war, die dem immensen Nutzeransturm zwischenzeitlich nicht mehr standhielten.

Außerdem sind IT-Infrastrukturen zunehmend durch externe Angriffe gefährdet. Seit Beginn der Corona-Pandemie stehen das Gesundheitswesen sowie andere kritische Sektoren vermehrt unter Beschuss. Das belegen sowohl Mitigationsdaten von Myra Security als auch Untersuchungen von Interpol, dem Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Allianz stuft Cybervorfälle in ihrem aktuellen Risk Barometer sogar als das größte Risiko für das Gesundheitswesen ein, zusammen mit pandemischen Ausbrüchen.

Datenschutzhürden bei der Dienstleisterwahl

Für Gesundheitsdaten und somit auch E-Health-Lösungen gelten besonders hohe Anforderungen an Datenschutz und IT-Sicherheit. Das spiegelt sich in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) und den zunehmend anspruchsvoller ausfallenden regulatorischen Vorgaben des BMG und der gematik wider. E-Health-Betreiber, Kliniken und ÄrztInnen müssen sich daher intensiver mit der internen Datenarchitektur sowie mit Compliance-Themen befassen.

Als effiziente Alternative zum aufwendigen Inhouse-Betrieb bietet sich das Outsourcing der IT-Sicherheit an. Managed Service Provider übernehmen auf Wunsch Implementierung, Wartung und Betrieb aller erforderlichen Sicherheitslösungen. Dadurch entfallen zusätzliche Aufwendungen für Software, Hardware und Fachpersonal. Allerdings muss der Service Provider gut gewählt sein. Kooperationen mit US-Anbietern stehen seit dem Aussetzen des Privacy-Shield-Abkommens für den transatlantischen Datentransfer auf wackeligen Füßen, da die rechtliche Grundlage fehlt und Datenschutzbestimmungen aufgrund der konträren Positionierung von EU- und US-Recht nur schwer umzusetzen sind. Durch die Wahl lokaler Anbieter, die der hiesigen Rechtsprechung unterliegen und höchste Datenschutzanforderungen erfüllen, lassen sich diese Hürden meistern.

Mehr Informationen zu den Lösungen von Myra für das Gesundheitswesen

Ähnliche Artikel