Data Privacy & Cyber Security vs. digitaler Turbo im Gesundheitswesen

das ist Thema des secunet Spotlights im Rahmen des Health Circles am 22.09.2021 um 13:00 Uhr.

Eine Frage, die immer wieder aufkommt: Was wird aus Datenschutz und Datensicherheit in den neuen Telematikinfrastruktur 2.0 Konzepten? Die Digitalisierung des Gesundheitswesens hat praktisch gerade erst begonnen, aber die Cyber-Bedrohungslage ist unverändert hoch und wird sich weiter verschärfen. Nun kommt die TI 2.0 und die Verantwortung für gewisse Sicherheitsansprüche verlagert sich auf Hersteller und Industrie. Sind die Anbieter in der Lage dies zu leisten? Haben wir die Technik und Konzepte, um der Bedrohungslage Herr zu werden?

Diese und weitere Themen diskutieren wir im Circle Member Spotlight zusammen mit unserem IT-Sicherheitsexperten Markus Linnemann.

Unser Gast Herr Linnemann ist seit Juni 2011 bei der secunet Security Networks AG beschäftigt und leitet die Division eHealth. Zur secunet wechselte er vom Institut für Internet-Sicherheit der Westfälischen Hochschule, bei dem er zwischen Juli 2008 und Juni 2011 als Geschäftsführer agierte. Bereits 2005 begann er dynamische Sensibilisierungsvorträge durchzuführen und etablierte Live-Hacking-Veranstaltungen, die mittlerweile bei vielen öffentlichen und privatwirtschaftlichen Auftraggebern durchgeführt werden. So kann Markus Linnemann auf weit über 800 Veranstaltungen zurückblicken. Markus Linnemann ist Autor eines Buches (www.sicher-im-internet.de) und einer Vielzahl weiterer Veröffentlichungen.

Jetzt kostenlos bewerben

Wieso ist das Thema Datenschutz und Datensicherheit so wichtig?

Wir befinden uns inmitten einer komplexen, digitalen Transformation. Bei diesem Prozess ist die Frage wichtig, ob die Sicherheit mit der Digitalisierung Schritt halten kann. Es wurde viele Jahre über den gläsernen Bürger diskutiert. Wird ein solches Szenario durch die Hintertür Digitalisierung real? Oder spielt das in Zeiten von umfangreichen, persönlichen Google Daten und Apple Smartphones in Kombination mit Sozialen Medien keine Rolle mehr?

Muss man sich entscheiden, zwischen sicherem Umgang mit Daten und einem hoch digitalen, effizienten und patientenzentrierten Gesundheitswesen?
Wie so oft gibt es kein schwarz und weiß, aber am Gesundheitswesen wird man sehen, wie gut Deutschland Digitalisierung kann und seinem Anspruch gerecht wird, gleichzeitig das höchste Sicherheitsniveau anzusetzen und durch die sehr gute deutsche IT-Sicherheitsindustrie zu stützen.

Die Bedrohungslage für das Gesundheitswesen

Laut Bundesregierung ist die Zahl der Angriffe auf Krankenhäuser von 2019 auf 2020 um über 150% gestiegen. Die Bedrohung geht aktuell insbesondere von Ransomware aus. Mehrere Fälle in jüngster Vergangenheit, so wie im Juli im Klinikum Wolfenbüttel, im März bei der Evangelischen Klinik Lippstadt oder im Mai bei der irischen Gesundheitsbehörde zeigen, die Einschläge kommen näher. IT-Angriffe sind üblicherweise durch finanzielle Interessen getriggert. Das äußert sich aktuell durch die Erpressung bei der Verschlüsselung von Daten. Was bedeutet das für die digitale Zukunft? Wird ein Erpresser in Zukunft Systeme hacken, die es ihm ermöglichen mich mit meinen Leben zu erpressen durch den Zugriff auf lebenswichtige Maschinen, oder Daten in meiner zentral zusammengeführten Patientenakte?

Gegenüberstellung Digitalisierung vs. Sicherheit

Die Digitalisierung ist ein zweischneidiges Schwert. Durch die heute mögliche Auswertung von Daten könn(t)en Behandlungsmethoden wesentlich verbessert werden, die Pflege würde stark optimiert, es könnten sogar völlig neue Möglichkeiten geschaffen werden unser Leben zu verbessern und zu verlängern. Auf der anderen Seite wird man angreifbarer. Kriminalität gab es schon immer. Der Unterschied bei der Internetkriminalität ist die globale Anbindung. Jeder kann von überall einen Angriff starten, ohne den physischen Zugriff organisieren zu müssen.

Sollten wir deshalb nicht digitalisieren? Beim gläsernen Bürger, beim Umgang mit Daten und bei Aussagen zur IT-Sicherheit wird oft und gerne pauschalisiert und gerne ohne Kontext gearbeitet. Entscheidend für einen sicheren Ansatz ist immer für die jeweilige Situation angemessene Sicherheitsmaßnahmen zu etablieren. Dies ist nur möglich, wenn die Rahmenbedingungen und die Schutzwürdigkeit klar definiert sind. Es gibt sicher einige die gegen die Telematikinfrastruktur schimpfen, weil die Datenschutzregelungen nicht granular genug gehandhabt werden. Viele von den Kritikern nutzen beruflich oder privat Twitter, Facebook oder LinkedIn, diktieren eventuell Texte oder Befehle per digitaler Spracherkennung. Um diese nützlichen Gewohnheiten und Kommunikationsformen zu verwenden, werden umfangreiche Geschäftsbedingungen akzeptiert, die eine Nutzung unserer Daten für große Konzerne ermöglicht. Über 60 Millionen Deutsche besitzen ein Smartphone und über 30 Millionen nutzen eine Payback Karte. Privat geben wir Unmengen von Daten Preis für den Mehrwert mit den tollen neuen Diensten zu arbeiten. Da ist der Kontext dann gerne mal zu vernachlässigen.

Die Telematikinfrastruktur hat unter anderem einen so langen Weg hinter sich, weil alles super sicher sein sollte und das ist es. Die Ansprüche an die Systeme sind enorm hoch und führen auch dazu, dass nicht jeder in der Lage ist, diese Systeme zu bauen. Die TI ist dadurch sicherheitstechnisch voll auf der Höhe, will aber konzeptionell nicht mehr ganz zu unserem aktuellen Technikverständnis passen. Daher wird das ganze System aktuell umgeworfen. Die neuen Konzepte unterscheiden sich auch im Sicherheitsbereich auf den ersten Blick stark von den bisherigen Konzepten. Einige bisher typischen Sicherheitsanker werden wohl aufgegeben, wie die Verankerung von jeder Praxis und weiteren Leistungserbringern an ein Hardware Gateway. Ein Konzept, welches einen sehr hohen Sicherheitsstatus genießt. Kann auch per Software die gleiche Sicherheit hergestellt werden? In einigen Bundesländern dürfen Patientendaten heute das Krankenhaus nicht verlassen. Wenn wir mit künstlicher Intelligenz Daten auswerten wollen, um die Behandlungsmethoden zu verbessern, oder neue Heilungsoptionen zu finden, dann braucht es große Rechenpower und eine Menge an Daten aus vielen Krankenhäusern. Erste Frage: Was ist wichtiger? Der Fortschritt in der Medizin, oder der Schutz der Daten? Zweite Frage: Gibt es nur entweder oder?

Die entscheidende Entwicklung für einen digitalen Mehrwert

Aus Sicht der IT-Sicherheitstechnik lässt sich sagen, dass gerade die deutsche IT-Sicherheitswirtschaft mit Ihrem sehr hochqualitativen Verständnis von Datenschutz und Datensicherheit Lösungen anbietet und anbieten kann, die die jeweils angemessene Sicherheit bieten.

Daten aus den Krankenhäusern in die Cloud zu schieben, bedeutet nicht automatisch diese in eine der amerikanischen Systeme schieben zu müssen, die ein anderes Werteverständnis bezüglich des Datenschutzes vertreten. Es gibt bereits heute vertrauenswürdige und hoch sichere Cloudsysteme, die eine angemessene Verarbeitung von Gesundheitsdaten umsetzen können. Auch die Cloud alleine reicht nicht. Es bedarf vertrauenswürdiger und intelligenter Systeme, die direkt an medizinische Geräte angesteckt werden können, um einerseits diese von einem ungewollten Zugriff von außen zu schützen und andererseits Daten verschlüsselt, angepasst und evtl. anonymisiert in Richtung intelligenter Systeme in der Cloud weiterleiten zu können. Auch das ist technisch heute zu haben.

Dies ist die technische Seite. Entscheidend ist auch, dass die Politik und die entscheidenden Organisationen in unserem Gesundheitswesen die Kenntnisse der Industrie nutzen, um geeignete Lösungen zu finden. In der Telematikinfrastruktur werden in Zukunft einige der Sicherheitsvorkehrungen des Herzstücks der TI, dem Konnektor, auf Softwarehersteller übergehen. Aber haben diese Firmen alle die Mittel politischen Vorgaben an die Sicherheit mit abzudecken? Es sind üblicherweise keine Sicherheitsfirmen, sondern Experten für die Prozesse in medizinischen Einrichtungen. Es gilt eine Struktur zu schaffen, die die jeweilige Expertise der Teilnehmer am Gesundheitswesen nutzt und sinnvoll zusammenbringt.

Die technische Expertise für den „sicheren“ Schritt in ein mehrwertbringendes digitales Gesundheitswesen ist vorhanden. Jetzt gilt es den Ball aufzunehmen und voranzutreiben, bevor Deutschland auch hier den Anschluss verliert und sich bald wundert, dass all unsere Gesundheitsdaten bei Google gespeichert werden.