Suchen

IT-Sicherheit im Gesundheitswesen

Die Patientenakte als digitales Diebesgut

Seite: 2/2

Firmen zum Thema

Recht? Aussichtlos!

Besserung scheint auf den ersten Blick das Mitte des Jahres 2015 beschlossene IT-Sicherheitsgesetz zu versprechen. Mit dem Gesetz sollen die Betreiber „kritischer Infrastrukturen“ wie Gesundheit, Energie, Wasser oder Telekommunikation verpflichtet werden, ihre Netze besser vor Cyberangriffen zu schützen.

Das IT-Sicherheitsgesetz beantwortet jedoch nicht die Frage, welche Unternehmen konkret als kritische Infrastrukturen im Sinne des Gesetzes gelten, sondern definiert diese lediglich abstrakt: Für jede Branche sollen erst noch eigene Rechtsverordnungen zur Klärung dieser Frage erstellt werden.

Hier sind die USA mit dem Health Insurance Portability and Accountability Act (HIPAA) schon weiter. HIPAA legt in den Vereinigten Staaten einheitlich die Regeln für die Cybersicherheit im Gesundheitssektor fest. So muss der Verlust personenbezogener Informationen zwingend gemeldet werden.

Schwarze Schafe landen gar am digitalen Pranger in Form einer „List of Shame“, wo Vergehen für jedermann online einsehbar sind. Allerdings hat HIPAA auch einen gewaltigen Haken: Die Norm deckt zwar die elektronische Verarbeitung von Patientendaten ab, nicht jedoch die privater Anbieter.

Mehr als nur gute Vorsätze

Weder in den USA noch in Deutschland gewährleistet die momentane Rechtslage ausreichend Schutz für Daten im Gesundheitssektor. Die Branche muss also selbst handeln, sich eigene Ziele beim Thema Cybersicherheit stecken und diese auch entsprechend umsetzen – mit guten Vorsätzen allein ist es nicht getan.

Doch wo anfangen? Zunächst einmal gilt es bei den im Gesundheitswesen tätigen Personen ein Bewusstsein für Cybersicherheit zu schaffen. Gut ein Viertel aller Cyber-Attacken auf Organisationen gelingt durch die Arglosigkeit von Anwendern, beispielsweise durch Phising-Attacken mit personalisierten, täuschend echt aussehenden eMails.

Einrichtungen im Gesundheitsbereich, die etwa einen Chief Information Security Officer (CISO) in Vollzeit beschäftigen, sind da schon einen großen Schritt voraus. Solche Organisationen haben meist bereits einen Notfallplan ausgearbeitet und präventive Maßnahmen ergriffen, mit denen sie Cybergefahren strategisch begegnen.

Der CISO hat in der Regel den Überblick über die Sicherheitsinfrastruktur und die möglichen Schwachstellen bei Servern, Endgeräten oder den IT-Policies. So kann er Probleme gegenüber der Leitung einer Einrichtung gezielt adressieren und Veränderungen an höchster Ebene vorantreiben.

Verschlüsseln, verschlüsseln, verschlüsseln

Auch kleinere Organisationen, etwa Arztpraxen, die keinen CISO einstellen können, sollten zumindest jemanden benennen, der für das Thema IT-Sicherheit zuständig ist. Dieser muss sich etwa mit Verschlüsselung beschäftigen und andere darüber aufklären. Korrekt angewandte Kryptographie bietet sehr hohen Schutz und ist meist weniger aufwendig umzusetzen, als es scheint – etwa bei eMails, Festplatten oder Servern.

Verschlüsselung ist bestimmt nicht die einzige Säule solider Cybersicherheit. Selbst die besten Verfahren wie der Advanced Encryption Standard (AES) helfen wenig, wenn das Masterpasswort oder der private Schlüssel in falsche Hände geraten. Auch moderne IT-Sicherheitslösungen sind ein wichtiger Baustein, um Anwender und Infrastruktur vor Cyberattacken zu schützen.

Letztlich lässt sich durch Security Audits, wie sie etwa die IBM anbietet, die Sicherheit der IT im Gesundheitswesen drastisch erhöhen. Entscheidend ist, kontinuierlich am Thema dranzubleiben, damit Patientendaten nicht früher oder später zu digitalem Diebesgut werden.

* Arndt Kohler ist Associate Partner bei IBM Security Europe.

(ID:43872258)