close
Share with your friends

Für Cyberkriminelle sind Gesundheitsdaten sehr wertvoll: Sie erzielen einen ungefähr zehn- bis zwanzigmal höheren Preis als eine herkömmliche Kreditkartennummer. Durch einen Cyberangriff auf medizinische Einrichtungen können außerdem wichtige Daten verändert oder medizinische Geräte gefährdet werden. Utopie in Österreich? Die Gesundheitsdaten auf dem Prüfstand.

Schlagzeilen wie „Hackerangriff auf Klinik beeinträchtig Krankenhausbetrieb“ sind Realität geworden. Bei den Attacken geht es vorrangig um Patientendaten, die für Cyberkriminelle sehr lukrativ sind. Wer glaubt, das könne in Österreich nicht passieren, der irrt.

System im Wandel

Die Digitalisierung hat längst auch das Gesundheitswesen erreicht. In den vergangenen Jahren gab es im Health Care-Bereich starke Zuwächse an Consultingleistungen. Diese wurden in Deutschland, Österreich und der Schweiz vor allem durch die wachsende digitale Transformation vorangetrieben. Die wichtigsten Triebfedern sind die Digitalisierung der Prozesse, Abläufe und Dokumentationen in den Kliniken, sowie der Einsatz von Techniken zur Automatisierung von Ab-läufen und lernender Systeme (zB Robotics und Künstliche Intelligenz).

Die ständige Einbindung der Patienten durch Apps oder Wearables sowie die Anbindung von medizinischen Geräten, welche laufend Daten liefern, ermöglichen es zB sie zu behandeln, ohne dass ihre durchgängige physische Präsenz not-wendig ist. Gleichzeitig machen es Mobile Health-Produkte den Nutzern möglich, ihre Gesundheitsdaten abrufbar am eigenen Smartphone mit sich zu tragen. Es zeichnet sich außerdem ein Trend ab, solche Daten in Cloud-Lösungen zu speichern und somit teilbar zu machen.

Wertvolle Daten

Die Digitalisierungswelle bringt Unmengen an Daten mit sich. Die große Herausforderung dabei: Die Daten nicht nur zu sammeln, sondern daraus den größtmöglichen Nutzen zu ziehen. Unter Einsatz von ünstlicher Intelligenz (KI) können zB aus Daten Muster abgeleitet, Behandlungspfade vorgeschlagen, Röntgenbilder gedeutet werden. Heute eingesetzte Systeme lernen ständig weiter und unterstützen jetzt schon bei Diagnose und Behandlung. Die Zukunft des Krankenhauses liegt somit unweigerlich im „Smart Hospital“. Ein gänzlich digitalisiertes und vernetztes Krankenhaus stellt den Gesundheitssektor aber vor allem in Bezug auf die Datenflut vor beträchtliche Herausforderungen.

Daten wurden auch früher gesammelt. Geändert hat sich aber die Menge, die Art der Speicherung und die Übertragung der verarbeiteten Daten. Insbesondere die Verarbeitung hochsensibler Patientendaten stellt die Gesundheitsdienstleister vor enorme Herausforderungen, wie jüngst ein Datenleck globalen Ausmaßes eindrucksvoll demonstrierte. Millionen an hochsensiblen Patientendaten waren über Jahre hinweg frei im Netz zugänglich. Zu solchen von den Datenbankanbietern hausgemachten Problemen kommt hinzu: Patientenakten sind für Hacker lukrativ. Laut einem Bericht des amerikanischen Gesundheitsministerium haben sie im Darknet gegenwärtig einen Marktwert von bis zu 1.000 US-Dollar.

Angriff von außen

Die KPMG Cyber Security Studie für Österreich 2020 zeigte: Heimische Unternehmen sind mehr und mehr in der Lage mit Sicherheitsvorfällen umzugehen. Aber wie sieht es im Gesundheitssektor aus? Hier war jedes zweite Unternehmen (56 Prozent) in den letzten zwölf Monaten Opfer eines Cyberangriffs. Die Branche zeigt, dass sie bereits mit einer Grund-sensibilität für die Bedeutung des Themas ausgestattet sind: 60 Prozent der Unternehmen aus dem Gesundheitssektor haben öffentliche Stellen über Sicherheitsvorfälle informiert. Da hier mit sensiblen Daten gearbeitet wird, muss bei einem vermutetet Datenschutzverstoß eine Information an öffentliche Stellen erfolgen.

Gerade aber auch bei der Aufarbeitung von Sicherheitsvorfällen wird der Wunsch nach einer dezidierten Anlaufstelle, Computer Emergency Response Teams (CERT), immer dominanter. So wünschen sich 89 Prozent der Healthcare- Unternehmen eine solche Anlaufstelle.  

Der unbekannte Dritte

Durch die Digitalisierung nimmt auch die Auslagerung von Services und Diensten im Gesundheitsbereich zu. Besonders beim Vertrauen in die Transparenz und die Kontrolle der Handhabung der Daten besteht aber noch Aufholbedarf: 33 Pro-zent der Unternehmen im Gesundheitsbereich geben an, dass sich durch das Outsourcing die Sichtbarkeit und Kontrolle von Cyber Security verbessert hat. Gerade hier, wo besonders schützenswerte Daten verarbeitet werden, ist es oftmals schwer, eine hinreichende Sicherheit beim Outsourcing zu erhalten, da der Standort der Daten und das Schutzniveau der Daten bekannt sein muss.

Selbst wenn diese Daten im verschlüsselten Zustand angegriffen werden, ist es beinahe unausweichlich, dass diese mit fortschreitender Technik im Verlauf der folgenden Jahre geknackt und ausgelesen werden können. Problematisch in diesem Zusammenhang: Die oft dauerhafte Gültigkeit der Gesundheitsdaten und der Stellenwert, den die Betroffenen ihnen zurecht beimessen. Der hierbei entstandene Schaden kann letztlich nicht ohne weiteres behoben werden. Erschwerend für die IT Security von Krankenhäusern kommen hierbei die langen Aufbewahrungszeiten hinzu, die manche Gesundheitsdaten erfordern und die auch entsprechend lange geschützt werden müssen. Es gibt genug Präzedenzfälle von Cyberattacken, die den Betrieb ganzer Krankenhäuser schwerwiegend beeinträchtigt haben.

Die Praxis zeigt auch Datenlecks, wo sich Patientendaten ungeschützt im Netz wiederfanden. Dennoch sind die großen Gesundheitseinrichtungen in Österreich großteils unzureichend vorbereitet. Einerseits aufgrund fehlender finanzieller und personeller Mittel im IT-Management. Andererseits krankt es zusätzlich oft an einer fehlenden Sensibilisierung der Verantwortungsträger, die den Stellenwert dieses Themas verkennen.

Autoren

Kathrin Bruckmayer

Robert Lamprecht

Weitere Artikel der Ausgabe "IT ist alles"

Verwandte Themen