Cybersicherheit auf Plattormen: Steigerung des Patientenwohls durch vertrauenswürdige und s - Prof. Dr. Norbert Pohlmann
Cybersicherheit auf Plattormen: Steigerung des Patientenwohls durch vertrauenswürdige und sichere Verarbeitung von medizinischen Daten | |
N. Pohlmann, T. Urban: Cybersicherheit auf Plattformen Diese Arbeit beschreibt zunächst grundlegende Cyber-Sicherheitsstrategien , die helfen die vorhandenen Risiken zu minimieren und mit den verbleibenden Risiken umzugehen. Zusätzlich werden konkrete Sicherheitsbedürfnisse- und Anforderungen, die zur Vernetzung von Medizintechnik und zur Verarbeitung von Daten in der Cloud, nötig sind diskutiert. Abschließend wird eine Gesamtarchitektur vorgestellt, die diese Sicherheitsbedürfnisse umsetzt. Informationstechnik und das Internet sind Motor und Basis für das Wohlergehen der modernen und globalen Informations- und Wissensgesellschaft. Das gilt auch für das Gesundheitswesen insgesamt und für Krankenhäuser insbesondere. Die moderne Medizin wird viel stärker als bisher auf Daten angewiesen sein, die aus vielfältigen Quellen zu einem Patienten gesammelt werden. Diese sind beispielsweise Medizintechnik, ärztliche Befundungen, Diagnosen und Daten aus medizinischen Fitness Apps. Diese Daten müssen leistungsträgerübergreifend verfügbar und jederzeit zugänglich gemacht werden, um das volle Potential digitaler Gesundheitsanwendungen und insbesondere von Künstlicher Intelligenz (KI) nutzbar zu machen. Ziel der Digitalisierung des Gesundheitswesens ist also die Schaffung von Diensten, die nachhaltig die Versorgung der Partien verbessern und vereinfachen, um den Menschen als zentralen Punkt im Gesundheitswesen zu setzen. Dieser globale Trend ist auch in Deutschland zu beobachten und wird aktiv vorangetrieben. Beispiele hierfür sind: Die elektronische Patientenakte, die Daten für alle und überall verfügbar machen soll; die Forderung nach virtuellen Krankenhäusern aus der Politik; der vermehrten Nutzung von Telemedizin oder Konsultation des Arztes in virtuellen Sprechstunden. Die so zu erwartende deutliche Steigerung der Versorgungsqualität bedingt allerdings aus Sicht der IT-Sicherheit verschiedene Herausforderungen. Eine von der U.S. Food and Drug Administration (FDA) in Auftrag gegeben Studie zeigt auf, dass jedes medizintechnische Gerät im Mittel 6,2 Schwachstellen aufweist und Medizintechnik immer stärker in das Visier von Angreifenden gerät (Frost & Sullivan, 2019). Ebenfalls in den USA musste ein Krankenhaus für den Datenverlust von medizinischen Daten 5,5 Mio. US-Dollar Strafe zahlen (Heise online, 2016). Zwar sind die in Deutschland verhängten Strafen bzw. aufgetretenen finanzielle Schäden für solche Vorfälle nicht ansatzweise so hoch, trotzdem geht der Schaden durch erfolgreiche Ransomware Angriffe auf Krankenhäuser in die Millionen. Zur Umsetzung einer modernen personalisierten Medizin ist die vertrauenswürdige Erfassung von medizinischen Daten leistungserbringerübergreifend bis hin in das heimische Umfeld von Patienten nötig („Hospital-to-Home“). Daten aus unterschiedlichen Quellen müssen einheitlich erfasst und nutzbar gemacht werden. Aus Sicht der Cyber-Sicherheit ergeben sich so vielfältige Herausforderungen. Auf der einen Seite stehen Anforderungen an den Datenschutz, beispielsweise gefordert durch die Datenschutz-Grundverordnung (DSGVO) oder das Patientendaten-Schutz-Gesetz (PDSG). Auf der anderen Seite wird die Selbstbestimmung der Patienten zum Umgang mit den eigenen Daten weiter in den Vordergrund rücken, um sicherzustellen, dass die erhobenen Daten nur für die benötigten Zwecke wie die Behandlung genutzt werden bzw. eine Weiternutzung beispielsweise für die Forschung nur mit explizitem Einverständnis möglich ist. In diesem Sinne ist die Transparenz und Nachverfolgbarkeit, das heißt wer hat wann welche Daten zu welchem Zweck genutzt, unabdingbar, um Vertrauen in ein solches Gesundheitssystem aufzubauen. Andererseits wird durch die Vernetzung aller Teilnehmer die Angriffsfläche deutlich größer und es entstehen neue Angriffsvektoren. Konkret bedeutet dies beispielsweise für Krankenhäuser, dass Medizintechnik, die, um Daten zur Verfügung zu stellen, an das Internet angeschlossen wird, Ziel von modernen Angriffsvektoren werden kann. Dazu kommt, dass die Nutzungszeit von medizinischen Großgeräten oft weit über den gängigen Empfehlungen, wie lange IT-Sicherheitstechnologie sicher genutzt werden können, liegt. Der Trend hin zu immer mehr Cloud Lösungen („off-premises“) stellt Leistungserbringer vor weitere Probleme. Gängige Lösungen der sog. Hyperscaler wie Azure, AWS und Google werden weder den rechtlichen Anforderungen noch den Forderungen nach Vertrauenswürdigkeit und Sicherheit in Bezug auf Gesundheitsdaten gerecht. Auf nicht technischer Seite werden die Behandelnden, Pflegenden und weiteres Personal bei den Leistungserbringern weiter in den Fokus der Angreifer rücken, zum Beispiel um Daten zu exaltieren. Lösungsansätze können also nicht nur technischer Natur sein, sondern müssen vielmehr holistisch sein. Mit passenden Cyber-Sicherheitsmechanismen den Betrieb eines Krankenhauses schützen Das heißt, die Krankenhäuser brauchen passende Cyber-Sicherheitsmechanismen , um sich angemessen zu schützen und damit ihren eigentlichen Auftrag sicher und vertrauenswürdig umsetzen zu können. Ein technisch ganzheitliches Sicherheitskonzept muss die „Orte”, an dem die Daten erhoben werden wie an der Medizintechnik beginnen und alle Punkte, an den diese weiterverarbeitet werden wie „edge-Computing” bis hin in die digitalen Gesundheitsanwendungen in der Cloud abdecken. Dabei muss IT-Sicherheit auf allen Ebenen gedacht werden und über einzelne IT-Sicherheitsmaßnahme n wie eine verschlüsselte Verbindung weit hinausgehen. Zur Sicherstellung der Integrität der ausgeführten Anwendungen und der Vertraulichkeit der übertragenen und zu verarbeitenden Daten muss ab der Hardware, über einen Vertrauensanker („Root of Trust ”), beginnend eine Vertrauensbeziehung hergestellt werden. Hinzukommen organisatorische Maßnahmen wie Richtlinien, Vorfallsreaktionen, Meldewege und weitere Anforderungen, die aufgrund diverser Regularien notwendig sind, aber auch personelle Maßnahmen wie Schulung der Mitarbeitenden, die Sicherheitsbewusstsein schaffen und den Umgang mit Informationen sensibilisieren. Im Folgenden werden Lösungen zur Behebung der beschriebenen Herausforderungen diskutiert. Dabei werden zunächst allgemeine Cyber-Sicherheitsstrategien ausgeführt. Anschließend wird eine konkrete Architektur inklusive der Komponenten vorgestellt, die eine moderne aber immer noch sichere und vertrauenswürdige Erfassung und Verarbeitung medizinischer Daten ermöglicht. Wie beschrieben vergrößert sich durch die Digitalisierung im Gesundheitswesen die Angriffsfläche und somit steigt auch das Risiko eines Schadens, weil die Angriffsziele immer lukrativer werden. Für eine strategisch nachhaltige Reduktion dieser Situation müssen grundsätzliche Sicherheitsstrategien umgesetzt werden, die zum einen das bestehende Risiko reduzieren und zum anderen mit verbleibenden Restrisiken umzugehen (siehe auch beispielhaft Abbildung 1). Im Folgenden werden vier grundsätzliche Strategien beschrieben, die helfen diese Ziele zu erreichen. kostenlos downloaden Weitere Informationen zum Begriff “Cybersicherheit auf Plattformen”Artikel: „Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“ „IT-Sicherheit im Lauf der Zeit“ „Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“ „Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen“ „Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen“ „Risikobasierte und adaptive Authentifizierung“ „Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“ „Vertrauen – ein elementarer Aspekt der digitalen Zukunft“ „Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“ Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit“ Bücher: Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download
Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit) Summary Article Name Cybersicherheit auf Plattformen Description Cybersicherheit auf Plattformen: Steigerung des Patientenwohls durch vertrauenswürdige und sichere Verarbeitung von medizinischen Daten. Mit passenden Cyber-Sicherheitsmechanismen den Betrieb eines Krankenhauses schützen. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo | |