E-Health birgt Risiken

Die Situation ist für die gesamte Branche symptomatisch. Permanente Unterfinanzierung im IT Bereich; dazu leichtsinniger Umgang mit den Daten, den man leider in manchen Praxen, Apotheken oder Kliniken sogar als grob fahrlässig einstufen muss. Dies führt zwangsweise zu Missbrauch. Dabei unterliegen alle der gesetzlichen Schweigepflicht, und das schließt auch IT-Dienstleister ausdrücklich ein.

Die strukturellen Veränderungen im Gesundheitswesen führen zu einem verteilten Datensystem, in dem zwischen den Beteiligten immer größere Mengen sensibler Daten ausgetauscht werden. Mobile Datenträger kommen dabei ebenso zum Einsatz wie Laptops und Datenspeicher im Netz.

USB-Sticks mit unglaublichen Datenvolumen, superschnelle tragbare Festplatten und andere mobile Endgeräte stellen ein hohes Sicherheitsrisiko dar. Darüber hinaus wird in Arztpraxen häufig eingebrochen, und komplette Systeme werden entwendet. Ein Dieb kann dann neben der Hardware auch gleich die Daten der Systeme für seine Zwecke nutzen. Kombiniert man ein paar organisatorische Regeln mit geeigneter Sicherheitssoftware, lässt sich jedoch ein wirksamer Schutz vor Unachtsamkeit und gezieltem Datendiebstahl implementieren.

• Organisation: Eine durchdachte Sicherheitsrichtlinie ist die Basis für ein tragfähiges Sicherheitskonzept, einhergehend mit einer ausführlichen Risikobetrachtung. Das fängt mit der Benennung und Ausbildung eines Datenschutzverantwortlichen an, wenn in einer Praxis mehr als zehn Beschäftigte arbeiten. Auf der Grundlage des IT-Grundschutzhandbuches vom BSI oder der ISO 27001 werden alle organisatorischen Regeln spezifiziert und vor allem dokumentiert.
• Sicherheitsbewusstsein: Anwender sind das schwächste Glied in jeder Sicherheitsbetrachtung. Elementar ist deshalb ein Trainings- und Sensibilisierungsprogramm für Mitarbeiter. Dies ist besonders wichtig, wenn Unternehmen Zeitarbeiter oder Berater einsetzen, die häufig nicht die gleiche Loyalität zum Unternehmen haben wie langjährige Mitarbeiter; gerade im Klinikalltag eine sehr häufig anzutreffende Situation.
• Technische Maßnahmen: Die Verschlüsselung der kompletten Festplatte von Laptops ist eigentlich gesetzlich vorgeschrieben, aber selten umgesetzt. Eine sichere Anmeldung vor dem Start des Betriebssystems mit Benutzerpasswort oder Smartcard ist dabei das wichtigste Auswahlkriterium, ohne das eine Verschlüsselung wirkungslos bleibt. Weiterhin wichtig ist die Kontrolle, welche Geräte zum Beispiel am USB-Port angeschlossen werden dürfen und gegebenenfalls deren Verschlüsselung. Darüber hinaus sollte definiert werden, welche Dokumente kopiert werden dürfen. Sicherheitsorientierte Unternehmen nutzen außerdem inzwischen Applikationskontrolle, um unerwünschte Software und Trojaner zu vermeiden. Dabei werden alle Applikationen vorab definiert, die ein Benutzer aufrufen darf. Eigene Programme können nicht mehr gestartet werden.

Sicherheit ist eine Momentaufnahme, und deshalb müssen alle Maßnahmen kontinuierlich auf ihre Wirksamkeit und Funktion überprüft werden. Ein stabiles Alarmierungs- und Reportingsystem ist hierfür unverzichtbar. Dabei lässt sich mit relativ wenig Aufwand ein hohes Sicherheitsniveau erreichen. Softwarelösungen für Gerätekontrolle und Verschlüsselung sind verhältnismäßig preiswert in der Anschaffung und in der Pflege. Es bleibt zu hoffen, dass die Verantwortlichen Maßnahmen ergreifen, bevor noch mehr Patientendaten im Internet auftauchen.

Mike Prieskorn, CEO der Centertools Software GmbH, www.drivelock.de