DSGVO und SIEM – Bedeutung für Krankenhäuser in Zeiten von Locky & Co.

Am 25. Mai 2018 ist es soweit, die Datenschutzgrundverordnung (DSGVO) wird dann in Kraft treten und muss auch bei den Krankenhäusern umgesetzt werden. Mit organisatorischen Maßnahmen zur Erhöhung des Datenschutzes und mit technischen Maßnahmen wie SIEM müssen die Gesundheitsorganisationen darauf reagieren.

Personenbezogene Daten beziehungsweise Patientendaten sind für den Gesundheitsbereich das A und O, ebenso der schnelle Datenaustausch zwischen verschiedenen Ärzten, Stationen und Einrichtungen. Entsprechend wertvoll sind diese Daten nicht nur für den Patienten, der seine intimsten Daten in sicheren Händen wissen will, sondern auch für die Krankenhäuser.

Mit den neuen Datenschutzanforderungen müssen die Einrichtungen dem Eigentümer der Daten transparenter aufzeigen, was mit seinen personenbezogenen Daten passiert. Doch nicht nur die Patientendaten sind wertvoll, auch Details über die im Krankenhaus angestellten Ärzte, Schwestern und Pfleger sowie allen anderen Angestellten verfügen über Informationen, die von Krankenhäusern gesammelt und aufbewahrt werden. Diese  werden ebenso wie die Daten der Patienten von einem Ort zum anderen übertragen. In Zeiten von Ransomware wie Locky & Co. ist das ein durchaus schwieriges Unterfangen. Denn auch bei Sicherheitsverstößen, müssen die betroffenen Patienten informiert werden.

Datenschutz kostet Geld oder Image. Was passiert nun aber, wenn das betroffene Krankenhaus nicht weiß, ob und welche Informationen kopiert (gestohlen) wurden, wenn die betroffenen Datensätze verschlüsselt wurden? Hier müssen mit forensischen Methoden Nachforschungen durchgeführt werden, um diese Fragen beantworten zu können. Dies kann intensive Kosten nach sich ziehen, die ohne Ergebnis bleiben. Betroffene könnten außerdem klagen, wenn der Fall öffentlich wird. Durch das IT-Sicherheitsgesetz sind Unternehmen aus dem Bereich kritische Infrastruktur (das schließt das Gesundheitswesen ein), mit einem Regelschwellwert von mehr als 500.000 Personen, dazu gezwungen den Fall zu melden und somit steigt die Chance, dass der Vorfall letztlich doch öffentlich wird [1].

Patienten- und Mitarbeiterdaten schützen. Die Antwort auf diese neuen Forderungen durch die DSGVO und das IT-Sicherheitsgesetz kann nur mehr Investment in die bestehende IT-Sicherheit und den Datenschutz sein. Hier sind sowohl organisatorische wie auch technische Maßnahmen erforderlich. Zunächst muss die Position des Datenschutzbeauftragten – sofern noch nicht vorhanden – bestimmt, und die Zuständigen entsprechend geschult werden. Darüber hinaus sind Schulungen für Mitarbeiter im Umgang mit sensiblen Patientendaten wichtig. Ein Beispiel dafür ist der Zugang zu PCs auf Krankenstationen. Hier sollten die Geräte mit passwortgeschützten Bildschirmschonern vor den neugierigen Blicken von Besuchern geschützt werden. Ein weiteres Beispiel ist die Verwendung mobiler Geräte, diese sollten niemals unbeobachtet herumliegen und ebenfalls mit starken Passwörtern geschützt werden. Diese Schulungen müssen regelmäßig auf die sich ändernden gesetzlichen Anforderungen angepasst sowie aufgefrischt werden.

Aufdecken und Anzeigen von Sicherheitsvorfällen im Netzwerk. Technische Maßnahmen sollten immer mit Augenmaß eingeführt werden, denn nur wer die Technologie versteht, kann sie auch zu seinem Vorteil nutzen. Dazu gehören auch SIEM-Lösungen (Security Incident and Event Management), mit denen sich Daten automatisiert sammeln, korrelieren und analysieren lassen. Die Intelligenz dieser Sicherheitssoftware wird in Office-IT-Netzwerken eingesetzt, um dort Unregelmäßigkeiten über die Analyse der Log-Files herauszufiltern. Dies geschieht über vordefinierte Alarme, die bei vorkonfigurierten Auffälligkeiten den Sicherheits- oder Systemadministrator auf Sicherheitsvorfälle hinweisen. Darüber hinaus werden auch Anomalien aufgezeigt, hier wird das Normalverhalten als Grundlage angesehen und alle Abweichungen davon als Anomalien definiert.

Mit der Analyse des betreffenden Logs kann dieser wiederum Rückschlüsse über die Art des Sicherheitsvorfalls oder Sicherheitsverstoßes ziehen. Dadurch lässt sich das Eindringen von Malware frühzeitig erkennen oder aber unterbinden, ein Beispiel kann eine Policy sein, dass gewisse Seiten für die Nutzer gesperrt werden, wird dann trotzdem eine dieser Seiten aufgerufen, wird der Administrator darauf hingewiesen und kann entsprechend reagieren. Außerdem können Krankenhäuser Patienten und Mitarbeitern viel transparenter Auskunft darüber erteilen, wer wann auf ihre Daten zugegriffen hat und von welchem Ort aus sowie ob diese Zugriffe berechtigt oder unberechtigt waren.

Fazit. Die neuen Gesetze bringen für den Gesundheitssektor zahlreiche Neuerungen mit sich, sowohl die DSGVO als auch das IT-Sicherheitsgesetz beinhalten Forderungen, die in den nächsten Jahren umgesetzt werden müssen und die Einrichtungen – besonders ihre IT – vor große Herausforderungen stellt. Mit organisatorischen Maßnahmen zur Erhöhung des Datenschutzes und mit technischen Maßnahmen wie SIEM zur Aufklärung und zum Monitoring von Netzwerkvorgängen, können sich diese Gesundheitsunternehmen sicher sein, auf Sicherheitsvorfälle vorbereitet zu sein und müssen sich dann auch vor Gefahren wie Locky & Co. nicht mehr fürchten.


Pascal Cronauer, Country Manager DACH bei LogPoint
[1] Für das Gesundheitswesen und andere bisher nicht ausdrücklich erwähnte Sektoren soll es bis Anfang 2017 noch eine Änderungsverordnung geben: https://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2016/05/kritis-vo-tritt-in-kraft.html

 

Bild: © dotshock /shutterstock.com

 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an

Patienten wollen Zugang zu ihren Gesundheitsdaten

Gesundheits-Apps: Jeder dritte Smartphone-Nutzer würde Daten an die Krankenkasse weiterleiten

Jeder zweite Deutsche würde für Geld Fitnessdaten an Krankenversicherer weitergeben

Regierungsleitfaden zum Thema Datenverschlüsselung und Datensicherheit

Gesundheitsrisiken: Die 5 Berufe, die Ihrer Gesundheit am stärksten schaden

Healthcare-Daten auf dem Weg in die Cloud – 8 Kriterien

Der Datenschutz muss in digitale Produkte eingebaut sein

Deutsche setzen weltweit am stärksten auf Datenschutz

Wenn ein Apfel am Tag nicht mehr reicht: Cyberkriminelle attackieren die Gesundheit