Ist unser Gesundheitssystem (cyber-)sicher?

Die Lebenserwartung in Europa steigt und die Bevölkerung altert. Der Anteil der älteren Menschen in unseren Ländern steigt gleichzeitig mit der Zahl der Personen mit chronischen Krankheiten (etwa 40 % der Bevölkerung über 15 Jahre).

Diese Faktoren treiben die Gesundheitskosten in Europa in die Höhe. Das Gesundheitswesen ist in den meisten europäischen Ländern eine wachsende Komponente des BIP. In einigen Fällen wächst dieser Anteil an den öffentlichen Ausgaben noch immer und macht zwischen 4 und 12 % des BIP des jeweiligen Landes aus.

Die Suche nach effizienteren Wegen, um eine gute Gesundheitsversorgung zu geringeren Kosten anzubieten, ist von entscheidender Bedeutung, und die Anwendung von Informations- und Kommunikationstechnologien sowie die ethisch korrekte Datenverwertung können dabei helfen. Mit anderen Worten: eHealth (Online-Gesundheitsdienst) ist sicherlich eine der besten Initiativen, um heute qualitativ hochwertige Gesundheitsdienste auf wirtschaftlich nachhaltige Weise anzubieten. Infolgedessen ist zu erwarten, dass der Einsatz digitaler Lösungen und Technologien im Gesundheitswesen in den kommenden Jahren deutlich zunehmen wird.

Doch nehmen auch die Cyberbedrohungen zu. Die Angriffe auf digitale Medien zielen in erster Linie auf den Diebstahl von Finanz- und Zahlungsmittelinformationen sowie Bankkontenzugänge durch den Diebstahl von Geräten mit unverschlüsselten Daten sowie auf den betrügerischen Zugriff auf Daten durch Identitätsdiebstahl,  Phishing genannt, sowie durch Spam-E-Mails ab. Die technologischen Fortschritte haben auch zu einer Verfeinerung der von Cyberkriminellen eingesetzten Techniken geführt: Infiltrationen über SQL-Injektionen, Advanced Persistent Threats (APT), Zero-Day-Angriffe und fortgeschrittene Malware. Das Online-Gesundheitswesen bildet keine Ausnahme von diesem wachsenden Trend der Cyberkriminalität und hat bereits unter einigen öffentlichkeitswirksamen Medienangriffen gelitten.

Ein weiterer entscheidender, hier zu berücksichtigender Aspekt ist das Risiko für die Patientensicherheit, das mit dem Umgang mit physischen oder digitalen medizinischen Geräten verbunden ist. Zunehmend laufen medizinische Geräte, deren Sicherheit für Patienten lebenswichtig ist, auf Standardbetriebssystemen, wo Schwachstellen kaum korrigiert werden und die oft mit Krankenhausnetzwerken verbunden sind. Wenn es sich dabei um persönliche Geräte handelt, werden sie häufig über OTA-Systeme (Over the Air) aktualisiert, was sie anfällig für Manipulationen und Hackerangriffe macht, mit dem daraus resultierenden Risiko für die Gesundheit und sogar das Leben des Patienten. Daher ist es von äußerster Wichtigkeit, Cyber-Sicherheitsmaßnahmen nicht nur während des Designs und der Entwicklung dieser Geräte, sondern auch während ihrer Verwendung anzuwenden.

Das gerade beschriebene Szenario unterstreicht die Notwendigkeit, spezifische Cyber-Sicherheitslösungen für den Gesundheitssektor zu entwerfen und zu implementieren, die seinen gegenwärtigen und zukünftigen Bedürfnissen Genüge tun.

Unter Berücksichtigung der bisherigen Ausführungen fassen wir hier die wichtigsten Bedürfnisse des Sektors der digitalen Gesundheitsdienste zusammen:

• Widerstandsfähigkeit der digitalen Gesundheitsdienste gegenüber Cyber-Angriffen. Die Gewährleistung der Systemverfügbarkeit und Betriebskontinuität im Katastrophenfall ist für die sichere und ununterbrochene Bereitstellung von e-Health-Diensten von entscheidender Bedeutung. Der Zugang zu kritischen medizinischen Informationen durch autorisierte Fachkräfte sowie eine sichere Zugangskontrolle durch die Endbenutzer müssen gewährleistet sein, um eine bestmöglichen Gesundheitsversorgung aufrecht zu erhalten.
• Echtzeit-Überwachung von Sicherheit und Zuverlässigkeit.
• Da der Faktor Mensch eine der Hauptbedrohungen für die Sicherheit im Bereich der Online-Gesundheit ist, müssen sich alle Mitarbeiter über die auch sie betreffenden grundlegenden Cyber-Sicherheitsbedrohungen unbedingt im Klaren sein.
• Die medizinische Forschung kann vom Zugang zu einer großen Menge an Daten nicht nur aus klinischen Studien, sondern auch von der Überwachung aktueller Gesundheitsparameter der Patienten und ihrer Korrelation mit Umweltmerkmalen, Bevölkerungsdaten, Standort usw. erheblich profitieren. Die Digitalisierung der Gesundheitsdienste kann diese Daten in einer noch nie dagewesenen Menge und Qualität liefern, aber es besteht auch die dringende Notwendigkeit, die Sicherheit dieser Daten sowie ihre Integrität zu schützen und sicherzustellen, dass die Beteiligten die Verwendung ihrer Daten kontrollieren können. Eine wesentliche Voraussetzung dafür ist die Transparenz bei der Datenverwendung.
• Behebung des Mangels an Harmonisierung bei den elektronischen Patientenakten (EPA) und Dienstleistungen in Europa.
• Einbeziehung von Sicherheit und Datenschutz bei der Entwicklung und Verbesserung der Krankenhausdienstleistungen und, noch wichtiger, der medizinischen Geräten.
• Bei der Einführung neuer Geräte oder Systeme müssen die Cybersicherheitsaspekte von Anfang an geplant und umgesetzt werden, d. h. die Prozesse für die Auftragsvergabe, das Outsourcing und die Wartung neuer Systeme müssen im Voraus festgelegt werden.

GMV leitet die Unterarbeitsgruppe 3.6 im Gesundheitsbereich der ECSO (European CyberSecurity Organization), die nach öffentlich-privaten Lösungen für diese Herausforderungen sucht.

Autor: Julio Vivero Millor