Zweifelsohne haben das Internet der Dinge (IoT) und die damit verbundenen Dienste das Gesundheitswesen revolutioniert. Dafür gibt es zahlreiche Beispiele. Es ist möglich, direkt auf Patientenakten zuzugreifen, Ferndiagnosen zu stellen und entsprechende Behandlungsoptionen anzubieten. Dazu kommen Lifecycle Management und Apps zum Überwachen von Vitalfunktionen. Zwei Motive treiben das Wachstum in diesem Segment ganz besonders an. Zum einen sollen die angebotenen Dienstleistungen effizienter werden und zum anderen sollen sie den Nutzern eine bessere Behandlungsqualität bieten. Der sogenannte »Connected Health«-Markt hat inzwischen ein so rasantes Wachstum hingelegt, dass Experten ihm bis 2024 ein Volumen von rund 612 Milliarden US-Dollar prognostizieren.
Datenschutzverletzung
Die Zahl der vernetzten Geräte wächst kontinuierlich. Das hat allerdings auch seine Schattenseiten, denn damit vergrößert sich gleichzeitig die Angriffsfläche für Attacken und Netzwerke werden zusehends komplexer. Laut den Ergebnissen des 2018 Thales Data Threat Report gaben zwei von fünf Befragten Unternehmen im Gesundheitswesen weltweit an im letzten Jahr Opfer einer Datenschutzverletzung geworden zu sein. Das entspricht 39 %. Und diese Zahlen beziehen sich auf heutige, relativ einfache Websysteme, die wir gut verstehen. Persönliche medizintechnische Geräte, Überwachungsmonitore, die zu Hause genutzt werden können und ähnliche Anwendungen mehr, haben zweifelsohne sowohl gesundheitliche als auch kommerzielle Vorteile. Es sei allerdings eine Frage gestattet. Wenn wir es nicht einmal schaffen eine einzige Netzwerkgrenze zuverlässig zu schützen, wie wollen wir dann 1.000, 10.000 oder sogar mehr »bewegliche« Perimeter absichern?
Elektronische Gesundheitsakte
Bedenkt man den potenziellen Wert der persönlichen Informationen, die auf diesen Geräten vorgehalten oder zwischen ihnen ausgetauscht werden, überrascht es nicht, dass das Gesundheitswesen zu den Branchen gehört, die am häufigsten Opfer von Cyberangriffen werden. Bestimmte Patientenakten wie sie beispielsweise beim NHS gespeichert sind, enthalten nur wenig mehr als die notwendigen Basisinformationen zur Behandlungshistorie eines Patienten. Anders ist bei den US-amerikanischen Electronic Health Records (EHR). Diese Aufzeichnungen sind nicht nur wesentlich detaillierter, sie enthalten zudem weitere wertvolle Daten wie zum Beispiel Kreditkarten- und Sozialversicherungsnummern. Auch die elektronische Gesundheitsakte ist eine Datenbank, in der Behandlungsdaten, Medikamente, Allergien und weitere Gesundheitsdaten der gesetzlich Krankenversicherten sektor- und fallübergreifend, landesweit einheitlich gespeichert werden sollen. Je nach dem, welches Modell zugrunde liegt, werden die Daten dabei zentral oder dezentral gespeichert. Die Teilnahme ist allerdings zunächst freiwillig und der Patient soll über Art und Umfang der Speicherung entscheiden dürfen.
Integrität der Daten und des Geräts
Der Diebstahl persönlicher Patienteninformation kann traumatische Folgen haben. Hier stehen unter Umständen Menschenleben auf dem Spiel. Die Folgen einer Datenschutzverletzung sind kaum auszudenken. Ein eindringliches Beispiel aus der jüngeren Vergangenheit. Man kann sich nur annähernd ausmalen, was passiert wäre, hätte die FDA nicht 465.000 vernetzte Herzschrittmacher zurückgerufen. Die Benutzer wurden letztes Jahr eindringlich aufgefordert, einen Patch einspielen zu lassen, der eine potenzielle Schwachstelle bei den Geräten beheben sollte.
In Bezug auf medizinische Daten ist es absolut zwingen, dass die richtigen Daten korrekt an das richtige Gerät übermittelt werden. Und dann die richtigen Behandlungsprozesse angestoßen und Medikamentengaben präzise umgesetzt werden. Beim richtigen Patienten. Es dürfen also zu keinem Zeitpunkt Zweifel an der Integrität der Daten oder des Geräts selbst bestehen.
Patienten und Praktiker aus dem Gesundheitswesen verlangen gleichermaßen einen bestimmten Sicherheitslevel, wenn solche Geräte implementiert werden. Die Geräte selbst müssen ebenso sicher sein wie jegliche Daten und Informationen, die sie übermitteln und teilen. Verschlüsselung und eine sichere Schlüsselverwaltung sind beispielsweise grundlegend, wenn man die Vertraulichkeit der gespeicherten und zwischen vernetzten medizintechnischen Geräten geteilten Daten gewährleisten will.
Erst kürzlich hat Thales eine Partnerschaft mit Device Authority geschlossen. Die Lösung authentifiziert jede neu hinzu kommende Gerätehardware und begründet eine starke Root of Trust und Identität innerhalb des Netzwerks. Ende-zu-Ende-Verschlüsselung gewährleitstet die Integrität der betreffenden Daten.
Risiko für Datenschutzverletzungen
Kosten senken, effektiver Arbeiten, die Motivation steigern, sich einen gesünderen Lebensstil anzueignen und Fehlerspannen senken: es steht außer Frage, dass neuartige technische Anwendungen inzwischen dafür gesorgt haben, dass Patienten bessere Dienste zur Verfügung gestellt bekommen. Eine Fülle an neuen Möglichkeiten und Einsatzgebieten hat allerdings auch Cyberkriminellen neue Möglichkeiten eröffnet und das Risiko für Datenschutzverletzungen erhöht. Anders als bei vielen anderen Datenschutzverletzungen geht es im Gesundheitswesen sehr schnell um das Leben von Patienten und mindestens um hochgradig vertrauliche Daten. Die Anbieter im Gesundheitswesen sollten alles daran setzen solche Risiken so weit zu begrenzen wie möglich und zu gewährleisten, dass Patienten und andere Beteiligten dem jeweiligen Geräten vertrauen können.
Jon Geater
Jon Geater, Chief Technology Officer bei Thales eSecurity
Gesundheitswesen als chronischer Patient in Sachen IT-Sicherheit – Herausforderungen und Lösungswege
Sicherheitsarchitektur: Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen
IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an
Tatort Gesundheit: Sicherheitsanalyse zu Chancen und Risiken der Vernetzung im Gesundheitswesen
Gesundheitscheck: Ausblick für 2015 zur IT-Sicherheitslage im Gesundheitswesen