SUCHE

Die digitale Erhebung der Gesundheit birgt für Patienten Risiken (©GettyImages)
Serie IT-Sicherheit, Teil 2
19.04.2017

Behörden, Unternehmen, Energieversorger, Krankenhäuser und Privatpersonen geraten zunehmend ins Visier von Cyberkriminellen. In einer sechsteiligen Serie analysiert UP Nord, welchen Herausforderungen sich die einzelnen Branchen stellen müssen, welche Lösungen Experten dafür gefunden haben und wie Unternehmer ihre IT sicherer machen. Teil II befasst sich mit dem Gesundheitssystem. Kliniken stellen auf elektronische Patientenakten um. Doch nur wenn die vertraulichen Informationen gut geschützt sind, kann die Innovation gelingen.

Die Angreifer aus dem Netz hatten es gleich auf mehrere Kliniken abgesehen. Die Ärzte und Pfleger des Lukaskrankenhauses in Neuss bemerkten an einem Mittwoch im Februar, dass die Systeme auf ihren Computern plötzlich nicht mehr in der gewohnten Geschwindigkeit liefen, Dateien ließen sich nicht mehr öffnen, die IT-Abteilung wurde alarmiert und fuhr alle Server und Endgeräte herunter, um die Daten der Patienten zu schützen.

Über E-Mails schleusten Hacker im Februar des vergangenen Jahres nicht nur in Neuss, sondern auch in Arnsberg und in weiteren Krankenhäusern in Nordrhein-Westfalen sogenannte Trojaner in die IT-Systeme ein; mit einer Schadsoftware der neuesten Generation, gegen die herkömmliche Virenschutzprogramme kaum mehr etwas ausrichten können. Glücklicherweise scheiterte der Versuch, mit diesen Attacken ein Lösegeld zu erpressen, weil die IT-Experten der Kliniken rechtzeitig Abwehrmaßnahmen einleiten konnten. „Datensicherheit ist in unseren Kliniken an vielen Stellen nicht gegeben“, warnt Karl Lauterbach, der gesundheitspolitische Sprecher der SPD-Fraktion. „Es ist fast eine Überraschung, dass bislang nichts Ernstes passiert ist.“

Der Hackerangriff wirft ein Schlaglicht auf den Stand der Digitalisierung des Gesundheitswesens in Deutschland – und die damit erhöhten Anforderungen an die Datensicherheit. Die Patientenakte auf Papier ist in vielen großen Kliniken bereits Vergangenheit. Während der Arztvisite ist der tragbare Computer dort immer dabei. Was am Krankenbett besprochen wird, fließt ebenso in den digitalen Datenspeicher, wie alle wichtigen Informationen über Eingriffe im Operationssaal. Auch die Verschreibung von Medikamenten und Befunde wie Labor- und Röntgenergebnisse sind zentral erfasst und für jeden der behandelnden Ärzte einsehbar.

Zu den Vorreitern auf dem Weg zum papierlosen Krankenhaus gehört das Hamburger Universitätsklinikum Eppendorf (UKE). Als eines der größten Krankenhäuser Deutschlands mit 10.000 Mitarbeitern sowie knapp 400.000 Patienten und rund einer Milliarde Umsatz im Jahr läutete das UKE 2009 die Umstellung ein. Inzwischen liegt das Klinikum im europäischen Vergleich in der Spitzengruppe.

Gilt als beispielhaft bei der Cybersicherheit: Das Hamburger UKE (©Axel Kirchhof/UKE)

Gilt als beispielhaft bei der Cybersicherheit: Das Hamburger UKE (©Axel Kirchhof/UKE)

Doch insgesamt hat das deutsche Gesundheitswesen bei der Digitalisierung noch Aufholbedarf. Die jüngste Bestandsaufnahme der EU-Kommission zu den „eHealth Services“ den Krankenhäusern der Union zeigt, dass die deutschen Kliniken bei der Vernetzung mit anderen Akteuren auf nationaler und internationaler Ebene zurückliegen. Als die Ergebnisse der von der Unternehmensberatung PwC im Auftrag der Kommission verfassten Studie 2014 veröffentlicht wurden, gab es in jeder siebten deutschen Klinik noch überhaupt keine elektronische Patientenakte.

„Der Informationsaustausch zwischen Kliniken und ambulanten Akteuren würde durch die Vernetzung schneller und sicherer, Ärzte und Gesundheitspersonal würden im Klinikalltag von administrativen Aufgaben entlastet. Doch schrecken viele Krankenhäuser beziehungsweise deren Träger vor den notwendigen Investitionen zurück, da sich diese erst mittel- bis langfristig auszahlen“, sagt Michael Burkhart, Partner bei PwC und Leiter des Bereichs Gesundheitswesen und Pharma.

Besonders bei Datenschutz und Datensicherheit kann diese Zurückhaltung teuer werden. Die Experten von PwC machten hier deutliche Schwächen aus: So ist eine Verschlüsselung der gespeicherten Patientendaten lediglich in 40 Prozent der deutschen Kliniken üblich, nur in jedem vierten Krankenhaus werden Daten zusätzlich durch eine digitale Signatur geschützt. Sollte es zu einem Ausfall der IT-Systeme kommen, ist eine schnelle Wiederherstellung der Patientendaten keineswegs garantiert. Zwar haben 80 Prozent der Krankenhäuser hierzulande einen Notfallplan, aber nur jede fünfte Klinik verfügt über ein Datensicherungssystem, über das die Daten sofort wieder verfügbar sind.

Beim digitalen Primus UKE sieht man sich auch bei der Datensicherheit gut gerüstet.  Das Universitätsklinikum ist für den Schutz der vertraulichen Patienteninformation mit dem höchsten Gütesiegel ausgezeichnet worden, das das Bundesamt für Sicherheit in der Informationstechnik (BSI) an Unternehmen vergibt. Sowohl die Server als auch das Rechenzentrum, in denen die elektronischen Patientenakten bearbeitet und gespeichert werden als auch die einzelnen Prozessschritte wurden dazu von unabhängigen und zertifizierten Auditoren geprüft. So konnte das Krankenhaus in Eppendorf Attacken abwehren, die sich auch hier zuletzt deutlich verstärkt haben. 2016 sei ein „außergewöhnliches Jahr“ mit vielen Hackerangriffen auf Krankenhäuser in der Hansestadt gewesen, teilte der Hamburger Senat im vergangenen Jahr in der Antwort auf eine parlamentarische Anfrage mit. Während es beim UKE 2013 nur zwei Versuche gegeben hatte, in die IT-Systeme einzudringen, war das Universitätsklinikum im vergangenen Jahr nach Angaben des Senats 19 Attacken ausgesetzt – und in einem Fall habe es auch in dem gut geschützten Krankenhaus eine Sicherheitslücke gegeben.

Die Sicherheitsstruktur ist nicht nur Aufgabe der IT-Abteilungen, sondern eine Angelegenheit für Geschäftsführung.

Thomas Jäschke, Leiter des Instituts für Sicherheit und Datenschutz im Gesundheitswesen.

„Ein hundertprozentiger Schutz ist nicht möglich. Dafür ist die Marktentwicklung zu schnelllebig”, konstatiert Thomas Jäschke, Leiter des Instituts für Sicherheit und Datenschutz im Gesundheitswesen. Deshalb sei es von enormer Bedeutung, die IT-Sicherheitsstruktur regelmäßig einer kritischen Prüfung zu unterziehen. „Und das ist nicht nur Aufgabe der jeweiligen IT-Abteilungen, sondern ist auch eine Angelegenheit, mit der sich die Geschäftsführung auseinandersetzen sollte.“ Das Gesundheitswesen sei aufgrund der Arbeit mit besonderen personenbezogenen Daten immer öfter das Ziel von Angreifern.

Die Digitalisierung des Gesundheitswesens

Das Hamburger Startups connected-health.eu hat eine App fürs Smartphone entwickelt, auf der alle Dokumente abgelegt werden können, die beim Arztbesuch wichtig sind – wie etwa Befunde, Röntgenbilder oder auch eigene Notizen. So haben Patienten im Notfall oder beim Arztwechsel alle wichtigen Informationen parat. Mit diesem Angebot treiben Lau und sein Partner Johannes Jacubeit die Digitalisierung in den Arztpraxen voran, bei 251 Hamburger Ärzten können medizinische Dokumente bereits direkt in die App „Life Time“ übertragen werden. Sicherheitsbedenken seien aber für die niedergelassenen Ärzte beim Umgang mit den neuen Technologien immer noch ein großes Hindernis, sagt Lau: „Die Sorge, hier etwas falsch zu machen, ist weit verbreitet.“ Dabei seien die Aufbewahrung der Patientendaten auf Papier in der Praxis oder gar der immer noch übliche Versand vertraulicher Informationen per Fax keineswegs sicherer.

Mit der App von connected-health.eu werden die Daten nur verschlüsselt und nur per W-Lan in der Arztpraxis übertragen. Der Zugang zu den Informationen ist mit dem Passwort fürs Handy und einem weiteren Passwort für die App doppelt gesichert, das Unternehmen selbst hat auf die Daten der Nutzer keinen Zugriff. Der technische Schutz sei inzwischen schon sehr ausgereift und nutzerfreundlich, befindet Lau. Defizite gebe es vor allem beim Wissen über die Anwendung der digitalen Innovationen. Der Jungunternehmer sieht hier auch die Datenschutzbeauftragten in der Pflicht: „Sie sollten ihre Vertrauensrolle in diesem Bereich noch aktiver wahrnehmen, um unnötige Hemmnisse durch bessere Aufklärung zu beseitigen.“

Patientendaten

Die Patientendaten sind nicht nur für kriminelle Hacker attraktiv. Nach Recherchen des Sicherheitssoftwareanbieters Intel Security werden für einen medizinischen Datensatz auf dem Schwarzmarkt in den USA Preise gezahlt, die zwischen drei Cent und 2,40 Dollar liegen. In Deutschland gibt es nach Einschätzung von Experten zwar bislang noch keinen Markt für derartige Informationen. „Es ist aber keine Frage, dass befundspezifische Daten einen Wert haben, auch wenn sie hierzulande noch nicht vermarktet werden. Deshalb ist es besonders wichtig diese Daten zu schützen“, sagt Matthias Lau, Mitgründer und Technikchef des Hamburger Startups connected-health.eu.

Auch interessant:

Serie IT-Sicherheit, Teil 1

Hacker an die Cyber-Front

11.04.2017 Die Bundeswehr rüstet sich mit einer Armee von Freiwilligen gegen die zunehmende Zahl von Attacken über das Internet.

Weiterlesen