Beta_760.jpg
Gesundheitsdaten begehrter als Kreditkarteninformationen
Category : IT-Sicherheit
Published by admin on 19.12.2020 12:50

33 % weniger Datenschutzverletzungen als im Vorjahreszeitraum – als das US-amerikanische Identity Theft Resource Center (ITRC), eine gemeinnützige Organisation zur Unterstützung von Opfern von Identitätskriminalität, im Juli 2020 seine Zahlen (bezogen auf die USA) für das erste Halbjahr 2020 veröffentlichte, stimmte die Nachricht zunächst positiv. Nach wie vor aber – und dies gilt nicht nur für die USA – finden 42,5% aller Datenverstöße heute im Gesundheitsbereich statt, so das ITRC in einer früheren Untersuchung. Im Verlauf von zwei Jahren meldeten sogar 91% aller Gesundheitsunternehmen, mindestens einmal von einem Datenverstoß betroffen gewesen zu sein.

Angesichts der besonderen Vertraulichkeit von Patientendaten ist dies dann doch ein erschreckender Befund. Der Schutz von Gesundheitsdaten stellt eine zentrale Compliance-Anforderung für jedes Unternehmen der Healthcare-Branche dar. Gesetzliche Grundlagen sind neben der Richtlinie zur Netzwerk- und Informationssicherheit (NIS) die Datenschutzgrundverordnung (GDPR) der EU sowie §203 StGB zur ärztlichen Schweigepflicht und zum Schutz medizinischer Daten vor unberechtigter Einsichtnahme, auch durch Administratorenzugriffe. Wo die IT anfällig ist für Datenschutzlücken, können nur IT-Mittel helfen, diese zu stopfen. Die wichtigsten Anwendungsgebiete sind dabei ein funktionierendes Berechtigungsmanagement sowie die Absicherung des Netzwerkbetriebs.

Gesundheitsdaten begehrter als Kreditkarteninformationen

Viele Beschäftigte und externe Partner eines Krankenhauses (oder anderer Unternehmen im Gesundheitssektor), arbeiten täglich mit IT-Applikationen, in denen sensible Patientendaten gespeichert sind. Solche Informationen sind sogar begehrter als Kreditkartendaten, da sie einzigartig sind und nicht einfach gesperrt werden können. Kein Wunder also, dass sie ein exponiertes Ziel für Diebstahl und Missbrauch darstellen. Und je mehr IT in den Arzt-, Labor- und Klinik- Alltag Einzug hält, desto mehr sensible Daten entstehen. Der Diebstahl von Gesundheitsdaten bietet ein breites Spektrum krimineller Möglichkeiten. Von Abrechnungsbetrug bis Identitätsdiebstahl können schwerwiegende Schäden entstehen.

Den Zugriff auf diese Daten durch Unbefugte gilt es daher mit allen Kräften zu verhindern. Dies übernehmen spezielle Softwaresysteme für das Berechtigungsmanagement (oder auch Identity Access Management = IAM). Eine Berechtigungsverwaltung regelt zentral in den Gesundheitsorganisationen, welcher Beschäftigte bzw. externe Geschäftspartner mit welchen Systemen arbeiten und welche sensiblen Informationen sie dabei einsehen dürfen. Auf Basis ihres Aufgabenprofils werden den Nutzer*innen die benötigten Zugriffsrechte zur Verfügung gestellt.

Zugriffsberechtigungen am Point of Care steuern

Optimierter Zugriffsschutz – und damit hohe Datensicherheit – resultiert aus dem „Need-to-know“-Prinzip. Rollenbasierte Zugriffsberechtigungen sichern den erforderlichen Informationszugang im Krankenhausbetrieb und jeder erhält nur Berechtigungen für die Daten und Applikationen, die er für die tägliche Arbeit benötigt. Patienten wechseln häufig die Abteilungen. Des- halb muss ein IAM die daraus resultierenden notwendigen Aktualisierungen der Berechtigungen automatisch in jede Anwendung übernehmen. Damit verbessert es auch die Unterstützung am Point of Care, denn Zugriffsberechtigungen auf die elektronische Patientenakte lassen sich noch während der ‚digitalen Visite‘ steuern. Durch die durchgängige Kontrolle der Vergabe von Anwenderrechten – von der Beantragung bis zur technischen Einrichtung im IT-System – schafft das IAM die erforderliche Sicherheit der Patientendaten.

Ein IAM ermöglicht es, für aktuelle Patientendatensätze individuelle Zugangsrechte schnell und sicher einzurichten. Ergebnisdaten der Diagnostik werden über berechtigungskontrollierte Workflows weitergeleitet. Die Software integriert sich dafür mit den typischen Healthcare-Applikationen KIS, Labor- (LIS) sowie Radiologie (RIS)-Informationssystem. Und sie sollte sich, wenn sie zukunftssicher sein will, auch mit Medizingeräten oder neuen Internet-of-Things-Anwendungen im Gesundheitswesen verbinden lassen. Nutzt die IAM-Lösung zudem bewährte Verfahren und Methoden aus dem Bereich der Business Intelligence (BI), dann ermöglichen BI-basierte Berichte und Analysen eine schnelle Identifizierung all jener Bereiche, in denen ein hohes Zugriffsrisiko besteht.

Flexibles und sicheres Netzwerk im +20-Krankenhausverbund

Eine zweite Säule der IT-Sicherheit bezieht sich weniger auf die Anwendungen als auf den Netzwerkbetrieb. Die Steiermärkische Krankenanstaltengesellschaft m.b.H. (KAGes), 100 %- Tochter des Landes Steiermark, ist ein regionaler Gesundheitsdienstleister und betreibt elf Krankenhäuser an 21 Standorten und vier Landespflegezentren mit mehr als 5.5000 Betten und 18.000 Beschäftigten, die jährlich 1,3 Mio. Patient*innen ambulant und stationär versorgen.

Bekannt für die Einführung neuer Technologien zur Verbesserung der klinischen Versorgung und des Patientenkomforts, hat die IT der KAGes vor einiger Zeit die Software BICS des Berliner Anbieters Auconet eingeführt, einem Tochterunternehmen der Beta Systems Software AG. Sie dient der Kontrolle, dem Schutz und der Einhaltung von Sicherheitsvorschriften für die mandantenfähige IT-Netzwerkinfrastruktur der KAGes.

Lebensrettende Geräte brauchen Netzwerkressourcen

In der sich äußerst schnell verändernden Landschaft der Medizintechnik muss eine Kranken- hauskette alle ihre Netzwerke und sensiblen Patientendaten schützen. Gleichzeitig brauchen jedoch medizinische Testinstrumente und lebensrettende Geräte den Zugang zu den benötigten Netzwerkressourcen. Die KAGes betreibt in ihren Netzwerken insgesamt rund 50.000 Switch- Ports und 23.000 Endgeräte. Für jeden einzelnen eine Zugangskontrolle (Network Access Control = NAC) im Handbetrieb zu gewährleisten, kann die IT-Abteilung allein kaum bewerkstelligen. Ein Sicherheitsaudit hatte diese Schwachstelle aufgedeckt.

Karl Kočever, Leiter IT-Infrastruktur und Administrative Systeme bei der KAGes Services/OE:  „Das Fehlen einer aktuellen Bestandsaufnahme und eines Überblicks über alle IT-Assets machte die Diagnose und Lokalisierung von Fehlern zu einem manuellen Prozess, der durch Vermutungen und Ineffizienz gekennzeichnet war. Unsere IT-Abteilung betreibt im Netzwerk medizinische Komponenten und Computer einer Vielzahl von Hardwareanbietern. Dafür braucht man eine robuste, herstellerunabhängige Sicherheitslösung, um den Zugang zum Netzwerk zu regeln.“

Die Configuration Management Database (CMDB) der KAGes ist mit der virtuellen Datenbank von BICS synchronisiert. Dies hilft auch bei der internen Abrechnung, indem die Softwarelösung die Nutzung jedes Ports erkennt. „Wir haben mit der NAC-Lösung eine vollständige Mehr-Mandanten-Umgebung etabliert“, so Karl Kočever. „Jedes Krankenhaus und jede Einrichtung innerhalb der Gruppe hat eine vollständige Echtzeitsicht des eigenen Netzwerks mit Sicherheit, Kontrolle und Verwaltung für jeden Port und jedes Endgerät. Und im Headquarter können wir alle Netzwerke von einer zentralen Konsole aus überwachen.“ Dadurch sind Patientendaten und medizinische Geräte der KAGes jetzt sicher. Wichtige medizinische Geräte können in jedem Krankenhaus sicher auf das entsprechende Netzwerk zugreifen, was schnellere Tests und Behandlungen ermöglicht.

Autor: Thomas große Osterhues, Beta Systems Software AG
Foto: Adobe Stock / greenbutterfly