Menü

IT-Sicherheit für Gesundheitseinrichtungen

Für viele Krankenhäuser und Kliniken wird die voranschreitende Digitalisierung mit ihren Risiken immer herausfordernder. Daten und Netzwerke müssen gesichert werden, die Gefahr von Hackerangriffen steigt. Professionelle Computerkriminalität zwingt Gesundheitseinrichtungen zu handeln. Außerdem erhöhen sich die Risiken in der Patientenversorgung. Denn auch Medizinprodukte können von digitalen Angriffen betroffen sein. Gleichzeitig bieten digitale Möglichkeiten vielfältige Lösungen, um Patienten besser und effizienter zu versorgen.

Gesundheitsdaten sind besonders schützenswerte Daten. Diese Priorisierung ist nur eine Begründung dafür, wie wichtig IT-Sicherheit ist. Was sind also beispielhafte Risiken für diese Daten? Daten können verloren gehen, manipuliert werden oder später verfügbar sein. Daten können eventuell nicht mehr verwertet werden. Um das Bewusstsein für Cyber Security zu schärfen, ist es wichtig, Personal zu qualifizieren und für Risiken zu sensibilisieren. Das bedeutet auch, dass es konkrete Konzepte für den Ernstfall – wie Hackerangriffe – geben muss.

Verantwortung übernehmen, aufklären, sensibilisieren

Das Aktionsbündnis Patientensicherheit (APS) hat eine Handlungsempfehlung zum Thema veröffentlicht. Die Empfehlungen sind deutlich: Verantwortung übernehmen, Ressourcen zur Verfügung stellen (bspw. einen IT-Sicherheitsbeauftragten benennen), aufklären, sensibilisieren, Personal schulen, Aufmerksamkeit auf Sicherheitsstandards richten – sowie besondere Vorsicht bei externen Dienstleistern und gesetzlichen Vorgaben.

Im Vergleich zum Aufwand ist der Nutzen einer ausführlichen Risikoanalyse hoch. Die Risikoanalyse auf IT-Sicherheit auszuweiten ist eine gute Möglichkeit, um digitalen Gefahren vorzubeugen. Die einzelnen Risikoszenarien zu erkennen, zu verstehen und dagegen Maßnahmen zu ergreifen, ist von Fall zu Fall verschieden umsetzbar und zunächst aufwendig. Gerade für eine Branche wie das Gesundheitswesen ein besonders heikles Thema. Denn Zeit ist Mangelware und Ressourcenknappheit an der Tagesordnung.

Das APS entwirft verschiedene Szenarien und nennt Auswirkungen, Ursachen und Empfehlungen zur Risikominimierung.

  1. Das IT-Netz ist vor unberechtigtem Zugriff nicht ausreichend geschützt.
    Oft haben fremde Personen Zugriff auf Daten – auch durch Zufälle. Ein Gespräch in Hörweite des Patienten oder ein nicht gesperrter Bildschirm in einer Arztpraxis sind nur zwei von vielen Beispielen. Gerade Computer sind oft durch räumliche Gegebenheiten frei zugänglich und mangelhaft gesichert. Wenn Daten an unberechtigte Dritte gelangen, können sie genutzt werden, um Persönlichkeitsrechte zu verletzen. Häufig wechselndes Personal, fehlende Sensibilisierung und Know-how zum Thema IT-Sicherheit aber auch Zeitmangel sind die Ursachen. Die Lösung für das hier genannte Beispiel kann simpel sein. Den Computer mit Passwort sichern und wenn nötig den Bildschirm sperren, Personalschulungen, die Anzahl der Personen mit Datenzugriff minimieren sowie eine ausreichende Netzwerkverschlüsselung.
  2. Patientendaten sind plötzlich nicht mehr verfügbar.
    Das zweite Beispiel ist etwas komplexer. Durch die Nutzung einer IT-Infrastruktur werden Daten regelmäßig ausgetauscht. Die reduzierte schriftliche Archivierung ermöglicht eine schnellere und flexiblere Behandlung. Ein Beispiel ist die elektronische, zurzeit viel diskutierte Patientenakte. Doch was passiert, wenn es zu einem Serverausfall kommt? Der Zugriff auf Patientendaten ist kurz- oder langfristig nicht mehr möglich und die Behandlung gerät ins Stocken. Oft ist die Anamnese bereits digital geregelt. Die Versorgung eines Patienten kann gefährdet sein, denn eine Diagnose setzt ein Vorwissen über Krankheiten häufig voraus. Der fehlende Zugriff auf Gesundheitsinformationen kann z. B. zur falschen Medikation, Versorgungsmängeln oder einer notwendigen Verlegung oder Überweisung führen. Die Ursachen für solche Szenarien sind fehlende Notfallpläne oder Kompetenzen. Ein mögliche Lösung ist eine individuelle Risikoanalyse, die das Ausmaß und die Auswirkungen eines Ausfalls genau in den Blick nimmt.

Es gibt weitere Szenarien wie einen unzureichenden Schutz des IT-Netzes vor externen Angriffen, Cloud Computing oder die unsichere Einbindung von Medizinprodukten in IT-Netze. Auch wenn diese Szenarien noch weit weg erscheinen: Die Angriffe und Gefahren von externen Angriffen häufen sich. Besonders Kliniken sind gefährdet. Im Juli wurden mehrere Krankenhäuser in Rheinland-Pfalz und dem Saarland Opfer eines Online-Angriffs. Eine Schadsoftware hatte das Krankenhausnetzwerk befallen. Stift und Papier waren in diesem Falle die einzige Lösung.

Zusammenfassend lässt sich festhalten: Weiterbildung und Sensibilisierung aller Mitarbeiter, eine sichere IT-Infrastruktur, Notfallpläne und Risikoanalysen sind geeignete Mittel, um die IT-Sicherheit in Gesundheitseinrichtungen zu erhöhen und zur Patientensicherheit beizutragen.

Leseempfehlung: APS Handlungsempfehlung, Digitalisierung und Patientensicherheit. Risikomanagement in der Patientenversorgung

Die DGQ befasst sich verstärkt mit dem Thema Digitalisierung. Lesen Sie auch unsere Blogbeiträge zum Digitalen Labor oder zum Thema Pflegeroboter.

Außerdem bietet die DGQ Weiterbildungen zum Thema Cyber Security und Datenschutz und Compliance an.

Management Know-How Cyber-Sicherheit

Cyber-Sicherheit in der vernetzten Produktion

Qualifizieren Sie sich jetzt zum DGQ-Spezialisten für Cyber-Sicherheit in der vernetzten Produktion und lernen Sie, mögliche Angriffe auf Ihre vernetzte Produktion zu erkennen und abzuwehren.

Mehr Details
Datenschutz. Ausbildung zum Datenschutzbeauftragten.

DGQ-Datenschutzbeauftragter

Lernen Sie die Grundlagen und konkrete Inhalte zum Aufbau und der Organisation eines professionellen Datenschutzmanagements.
Im Anschluss haben Sie die Möglichkeit, die Prüfung zum „DGQ-Datenschutzbeauftragten“ abzulegen.

Mehr Details