Datenschutz im Gesundheitswesen: Sichere digitale Kommunikation

Mit der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz noch mehr in den Fokus gerückt – auch bei Privatpersonen: Niemand möchte persönliche Daten in den falschen Händen sehen. Jedoch zeigt die Vergangenheit, dass gerade in einem äußerst sensiblen und wichtigem Sektor großer Nachholbedarf besteht: Beim Datenschutz im Gesundheitswesen. Für die digitale Patientenakte sind Schutz und Sicherheit besonders wichtig!

IT-Sicherheit und die digitale Patientenakte

In drei Beispielen aus der jüngeren Vergangenheit möchten wir Ihnen aufzeigen, dass es nicht gut bestellt ist um den Datenschutz im Gesundheitswesen:

Datenleck beim Umgang mit Patientendaten

Vor einigen Monaten wurde bekannt, dass Millionen von Patientendaten öffentlich einsehbar waren – unsichere Server waren der Grund für diesen Super-GAU. Relativ simple Sicherheitsmaßnahmen hätten genügt, um dies verhindern zu können. Die US-Investigativplattform ProPublica führte zusammen mit Greenbone Networks sowie dem Bayerischen Rundfunk entsprechende Untersuchungen durch und stießen dabei auf die Sicherheitslecks.

Hierzulande waren über 13.000 Datensätze von Patienten betroffen, rund zur Hälfte auch mit medizinischen Bildern wie Wirbelsäulenaufnahmen, Brustkrebsscreenings, MRTs oder Röntgenaufnahmen. Die Daten, die auf offen zugänglichen Servern auftauchten, stammten von mindestens fünf unterschiedlichen Serverstandorten. Neben der Tatsache, dass die Bilder hochauflösend waren, waren sie auch mit allerlei personenbezogenen Daten versehen: Vor- und Zuname, Geburtsdatum, Untersuchungstermin sowie Behandlungs- und Arztinformationen waren zu finden.

Nicht ein großes Datenleck war für diesen Vorfall verantwortlich, sondern zahlreiche ungeschützte Server. Weltweit fand Sicherheitsforscher Dirk Schrader, der den BR auf die Problematik aufmerksam machte, mehr als 2.300 Rechner, auf denen diese Datensätze offenlagen. Nicht einmal besondere Programmierkenntnisse waren notwendig, um auf die Daten zuzugreifen; in einigen Fällen genügte ein Standard-Browser und die Information, wonach gesucht werden musste.

Mit sehr einfachen Sicherheitsmaßnahmen, darunter eine Zugriffskontrolle mit Nutzernamen und sicherem Passwort oder auch die Verschlüsselung der Daten und Server, wäre es gelungen, eine Katastrophe diesen Ausmaßes zu vermeiden. Bei den offengelegten Gesundheitsdaten wurden selbst diese leicht umzusetzenden Maßnahmen nicht angewendet.

Hack bringt Krankenhäuser zum Stillstand

Im Juli 2019 sorgte ein Cyberangriff dafür, dass ein kompletter Verbund an Krankenhäusern und Altenpflegeeinrichtungen stillgelegt wurden, wir berichteten. Mithilfe eines Verschlüsselungstrojaners (Ransomware) sind Cyberkriminelle in die Netzwerke des DRK Rheinland-Pfalz eingedrungen und haben wichtige Patientendaten verschlüsselt.

Patientendaten wurden glücklicherweise nicht abgegriffen. Dennoch: Der Betrieb war erheblich gestört, die Mitarbeiter mussten zu Papier und Stift greifen. Da wichtige Daten nicht verfügbar waren, konnte ein normaler Krankenhaus- oder Pflegeheimalltag kaum mehr stattfinden. Erst Wochen nach dem eigentlichen Vorfall kamen die Rechner nach und nach wieder ins Netzwerk, sodass ein geregelter Betrieb wieder möglich wurde.

Verschlüsselung im Gesundheitswesen mangelhaft

Brisant zeigten sich auch die Ergebnisse einer Studie zur IT-Sicherheit von Ärzten und Apotheken vom Gesamtverband der Deutschen Versicherungswirtschaft. Diese Studie deckte auf, dass vor allem mangelndes Wissen der Mitarbeiter sowie Hürden in der Umsetzung der IT-Sicherheit Ursachen für Datenskandale sind. Patientendaten werden häufig unverschlüsselt und damit für jeden einsehbar per E-Mail versendet.

Ein weiterer Faktor: Aufgrund der Unwissenheit öffnen Mitarbeiterinnen und Mitarbeiter in Praxen und Apotheken E-Mail-Anhänge von zwar unbekannten, jedoch vermeintlich unauffälligen Absendern, ohne diese vorher genau zu prüfen. Fallen diese Mitarbeiter auf solche Phishing-E-Mails herein, sind Patientendaten in Gefahr. Auch durch die fehlende Verschlüsselung ist die Gefahr sehr hoch, dass digitale Patientenakten in die Hände unbefugter Dritter gelangen.

Datenschutz im Gesundheitswesen: Verbessern Sie Ihre IT-Sicherheit!

IT-Sicherheit ist ein riesiges und komplexes Thema, wohl auch deshalb scheuen sich viele, sich näher damit auseinanderzusetzen. Die gesetzlichen Vorgaben aus der DSGVO und dem Bundesdatenschutzgesetz können hilfreich sein, decken jedoch nicht den kompletten Alltag im Gesundheitswesen ab. Für einen effizienten Schutz von Patientendaten und für mehr Datenschutz im Gesundheitswesen sind jedoch keine hoch komplizierten Vorgänge notwendig. Fußt die IT-Sicherheit in Ihrer Praxis oder in Ihrem Krankenhaus auf den folgenden drei Eckpfeilern, gewinnen Sie bereits ein sehr hohes Maß an Sicherheit:

• SSL-Verschlüsselung: SSL-Zertifikate dienen dazu, die Kommunikation zwischen Geräten und Servern abzusichern. Eine Auswahl an SSL-Zertifikaten von namhaften Zertifizierungsstellen finden Sie bei uns.
• E-Mail-Verschlüsselung: Die E-Mail ist ein flächendeckendes Medium, mit dem im Alltag zügig und einfach kommuniziert werden kann. Um die Kommunikation zwischen zwei Parteien von außen uneinsehbar zu machen, aber auch, um Nachrichten sowie Anhänge vor Manipulationen zu schützen, eignet sich die E-Mail-Verschlüsselung. Informieren Sie sich gerne zu unseren S/MIME-Zertifikaten.
• Beratung und Awareness: IT-Sicherheit kann – allen technischen Vorkehrungen zum Trotz – immer nur so gut sein, wie der Mensch, der die IT benutzt. Aufgrund einer sich ständig weiterentwickelnden Bedrohungs- und Schutzlage ist die Beratung durch einen erfahrenen Dienstleister unabdingbar! Wir, die PSW GROUP, beraten und unterstützen Unternehmen auch dabei, den gesetzlichen Anforderungen (allem voran die DSGVO, aber auch das BDSGneu, das ITSiG, etc.) gerecht zu werden. Durch Schulungen sind wir außerdem in der Lage, Ihre Mitarbeiter auf dem aktuellen Stand zu halten und für den Datenschutz zu sensibilisieren (Awareness-Schulungen).