slider

Cybersicherheit auf Plattormen: Steigerung des Patientenwohls durch vertrauenswürdige und s - Prof. Dr. Norbert Pohlmann

Cybersicherheit auf Plattormen: Steigerung des Patientenwohls durch vertrauenswürdige und sichere Verarbeitung von medizinischen Daten

Cybersicherheit auf Plattformen - Steigerung des Patientenwohls

N. Pohlmann, T. Urban:
„Cybersicherheit auf Plattformen: Steigerung des Patientenwohls durch vertrauenswürdige und sichere Verarbeitung von medizinischen Daten“,
in „Gesundheit im Zeitalter der Plattformökonomie“,
Hrsg. Jens Baas,
Medizinisch Wissenschaftliche Verlagsgesellschaft,
Berlin 2022

Cybersicherheit auf Plattformen
Das Gesundheitswesen in Deutschland, Europa, aber auch weltweit steht gerade erst am Beginn eines notwendigen und besonderen Digitalisierungsschubs. Ein wichtiger Schritt im Rahmen dieser Digitalisierung wird es sein, sämtliche medizinische Daten leistungsträgerübergreifend einfach verfügbar zu machen. Dies ermöglicht neue Methoden der Behandlung wie durch KI-Ansätze oder die Vermeidung von Doppelbehandlungen. Zur Erreichung dieser Ziele ist es unabdingbar, dass moderne medizintechnische IT-Geräte miteinander vernetzt werden und die anfallenden Daten sicher verarbeitet und hinterlegt werden. Durch diesen Prozess entstehen aber auch neue Angriffsvektoren und die Risiken steigen erheblich an.

Diese Arbeit beschreibt zunächst grundlegende Cyber-Sicherheitsstrategien , die helfen die vorhandenen Risiken zu minimieren und mit den verbleibenden Risiken umzugehen. Zusätzlich werden konkrete Sicherheitsbedürfnisse- und Anforderungen, die zur Vernetzung von Medizintechnik und zur Verarbeitung von Daten in der Cloud, nötig sind diskutiert. Abschließend wird eine Gesamtarchitektur vorgestellt, die diese Sicherheitsbedürfnisse umsetzt.

Einführung

Informationstechnik und das Internet sind Motor und Basis für das Wohlergehen der modernen und globalen Informations- und Wissensgesellschaft. Das gilt auch für das Gesundheitswesen insgesamt und für Krankenhäuser insbesondere. Die moderne Medizin wird viel stärker als bisher auf Daten angewiesen sein, die aus vielfältigen Quellen zu einem Patienten gesammelt werden. Diese sind beispielsweise Medizintechnik, ärztliche Befundungen, Diagnosen und Daten aus medizinischen Fitness Apps. Diese Daten müssen leistungsträgerübergreifend verfügbar und jederzeit zugänglich gemacht werden, um das volle Potential digitaler Gesundheitsanwendungen und insbesondere von Künstlicher Intelligenz (KI) nutzbar zu machen. Ziel der Digitalisierung des Gesundheitswesens ist also die Schaffung von Diensten, die nachhaltig die Versorgung der Partien verbessern und vereinfachen, um den Menschen als zentralen Punkt im Gesundheitswesen zu setzen.

Dieser globale Trend ist auch in Deutschland zu beobachten und wird aktiv vorangetrieben. Beispiele hierfür sind: Die elektronische Patientenakte, die Daten für alle und überall verfügbar machen soll; die Forderung nach virtuellen Krankenhäusern aus der Politik; der vermehrten Nutzung von Telemedizin oder Konsultation des Arztes in virtuellen Sprechstunden.

Die so zu erwartende deutliche Steigerung der Versorgungsqualität bedingt allerdings aus Sicht der IT-Sicherheit verschiedene Herausforderungen. Eine von der U.S. Food and Drug Administration (FDA) in Auftrag gegeben Studie zeigt auf, dass jedes medizintechnische Gerät im Mittel 6,2 Schwachstellen aufweist und Medizintechnik immer stärker in das Visier von Angreifenden gerät (Frost & Sullivan, 2019). Ebenfalls in den USA musste ein Krankenhaus für den Datenverlust von medizinischen Daten 5,5 Mio. US-Dollar Strafe zahlen (Heise online, 2016). Zwar sind die in Deutschland verhängten Strafen bzw. aufgetretenen finanzielle Schäden für solche Vorfälle nicht ansatzweise so hoch, trotzdem geht der Schaden durch erfolgreiche Ransomware Angriffe auf Krankenhäuser in die Millionen.

Herausforderungen der Digitalisierung im Gesundheitswesen

Zur Umsetzung einer modernen personalisierten Medizin ist die vertrauenswürdige Erfassung von medizinischen Daten leistungserbringerübergreifend bis hin in das heimische Umfeld von Patienten nötig („Hospital-to-Home“). Daten aus unterschiedlichen Quellen müssen einheitlich erfasst und nutzbar gemacht werden. Aus Sicht der Cyber-Sicherheit ergeben sich so vielfältige Herausforderungen.

Auf der einen Seite stehen Anforderungen an den Datenschutz, beispielsweise gefordert durch die Datenschutz-Grundverordnung (DSGVO) oder das Patientendaten-Schutz-Gesetz (PDSG). Auf der anderen Seite wird die Selbstbestimmung der Patienten zum Umgang mit den eigenen Daten weiter in den Vordergrund rücken, um sicherzustellen, dass die erhobenen Daten nur für die benötigten Zwecke wie die Behandlung genutzt werden bzw. eine Weiternutzung beispielsweise für die Forschung nur mit explizitem Einverständnis möglich ist. In diesem Sinne ist die Transparenz und Nachverfolgbarkeit, das heißt wer hat wann welche Daten zu welchem Zweck genutzt, unabdingbar, um Vertrauen in ein solches Gesundheitssystem aufzubauen.

Andererseits wird durch die Vernetzung aller Teilnehmer die Angriffsfläche deutlich größer und es entstehen neue Angriffsvektoren. Konkret bedeutet dies beispielsweise für Krankenhäuser, dass Medizintechnik, die, um Daten zur Verfügung zu stellen, an das Internet angeschlossen wird, Ziel von modernen Angriffsvektoren werden kann. Dazu kommt, dass die Nutzungszeit von medizinischen Großgeräten oft weit über den gängigen Empfehlungen, wie lange IT-Sicherheitstechnologie sicher genutzt werden können, liegt.

Der Trend hin zu immer mehr Cloud Lösungen („off-premises“) stellt Leistungserbringer vor weitere Probleme. Gängige Lösungen der sog. Hyperscaler wie Azure, AWS und Google werden weder den rechtlichen Anforderungen noch den Forderungen nach Vertrauenswürdigkeit und Sicherheit in Bezug auf Gesundheitsdaten gerecht.

Auf nicht technischer Seite werden die Behandelnden, Pflegenden und weiteres Personal bei den Leistungserbringern weiter in den Fokus der Angreifer rücken, zum Beispiel um Daten zu exaltieren. Lösungsansätze können also nicht nur technischer Natur sein, sondern müssen vielmehr holistisch sein.

Mit passenden Cyber-Sicherheitsmechanismen den Betrieb eines Krankenhauses schützen

Das heißt, die Krankenhäuser brauchen passende Cyber-Sicherheitsmechanismen , um sich angemessen zu schützen und damit ihren eigentlichen Auftrag sicher und vertrauenswürdig umsetzen zu können.

Ein technisch ganzheitliches Sicherheitskonzept muss die „Orte”, an dem die Daten erhoben werden wie an der Medizintechnik beginnen und alle Punkte, an den diese weiterverarbeitet werden wie „edge-Computing” bis hin in die digitalen Gesundheitsanwendungen in der Cloud abdecken. Dabei muss IT-Sicherheit auf allen Ebenen gedacht werden und über einzelne IT-Sicherheitsmaßnahme n wie eine verschlüsselte Verbindung weit hinausgehen. Zur Sicherstellung der Integrität der ausgeführten Anwendungen und der Vertraulichkeit der übertragenen und zu verarbeitenden Daten muss ab der Hardware, über einen Vertrauensanker („Root of Trust ”), beginnend eine Vertrauensbeziehung hergestellt werden. Hinzukommen organisatorische Maßnahmen wie Richtlinien, Vorfallsreaktionen, Meldewege und weitere Anforderungen, die aufgrund diverser Regularien notwendig sind, aber auch personelle Maßnahmen wie Schulung der Mitarbeitenden, die Sicherheitsbewusstsein schaffen und den Umgang mit Informationen sensibilisieren.

Lösungsansätze

Im Folgenden werden Lösungen zur Behebung der beschriebenen Herausforderungen diskutiert. Dabei werden zunächst allgemeine Cyber-Sicherheitsstrategien ausgeführt. Anschließend wird eine konkrete Architektur inklusive der Komponenten vorgestellt, die eine moderne aber immer noch sichere und vertrauenswürdige Erfassung und Verarbeitung medizinischer Daten ermöglicht.

Cyber-Sicherheitsstrategien

Wie beschrieben vergrößert sich durch die Digitalisierung im Gesundheitswesen die Angriffsfläche und somit steigt auch das Risiko eines Schadens, weil die Angriffsziele immer lukrativer werden. Für eine strategisch nachhaltige Reduktion dieser Situation müssen grundsätzliche Sicherheitsstrategien umgesetzt werden, die zum einen das bestehende Risiko reduzieren und zum anderen mit verbleibenden Restrisiken umzugehen (siehe auch beispielhaft Abbildung 1). Im Folgenden werden vier grundsätzliche Strategien beschrieben, die helfen diese Ziele zu erreichen.



kostenlos downloaden




Weitere Informationen zum Begriff “Cybersicherheit auf Plattformen”

Artikel:
Risiko von unsicheren Internet-Technologien

Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit


Summary
Cybersicherheit auf Plattformen
Article Name
Cybersicherheit auf Plattformen
Description
Cybersicherheit auf Plattformen: Steigerung des Patientenwohls durch vertrauenswürdige und sichere Verarbeitung von medizinischen Daten. Mit passenden Cyber-Sicherheitsmechanismen den Betrieb eines Krankenhauses schützen.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Cybersicherheit auf Plattformen - Steigerung des Patientenwohls
Cybersicherheit auf Plattormen: Steigerung des Patientenwohls durch vertrauenswürdige und sichere Verarbeitung von medizinischen Daten Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten