Kontakt

Loading...

Wir verwenden HubSpot CRM, um Kontakt- und Informationsanfragen zu bearbeiten und zu verwalten. Bitte akzeptieren Sie die "Funktionalen Cookies" und laden Sie die Seite erneut, um das Kontaktformular zu laden.
Insights / Cybersecurity

Geförderte Cybersecurity als Enabler für Digitalisierung im Gesundheitswesen

13. August 2021
Über den Autor Steffen RitterSteffen Ritter
Commercial Director Cybersecurity

Die letzten achtzehn Monate haben es uns allen noch einmal deutlich vor Augen geführt: Deutschland und im Speziellen das deutsche Gesundheitswesen haben ihr Digitalisierungspotential längst noch nicht voll ausgeschöpft. Überdies ist das Thema Krankenhauszukunftsgesetz (KHZG) bereits seit geraumer Zeit in aller Munde.

AOEs Director of Healthcare & Life Sciences Alexander Dallmer und Commercial Director Cybersecurity Steffen Ritter geben im Krankenhaus-IT Journal einen Ausblick, welche Möglichkeiten sich konkret durch die Förderzusagen im Bereich der IT-Sicherheit für Klinik-Betreiber:innen ergeben, und was bei der Auswahl von externen Partnern beachtet werden muss, sodass die Europäische Datenschutz-Grundverordnung (DSGVO) kein Hindernis darstellt.

KHZG – Grundgerüst für ein digitalisiertes Krankenhaus

Das KHZG lädt dazu ein, Rahmenbedingungen, die teilweise veraltet und unsinnig erscheinen, aber dennoch in Stein gemeißelt waren, zu verwerfen. Dabei sind mindestens 15 % der Fördersumme für IT-Sicherheit einzuplanen. Mit dieser Vorgabe reagiert der Gesetzgeber auf die Tatsache, dass Krankenhäuser digitale Attacken oft nicht oder zu spät entdecken und im Zuge von COVID-19 noch stärker ins Visier von Cyberkriminellen geraten sind. Fördertatbestand 7 spricht von “Gemeinsame(n) Leistungsangebote(n) und Infrastruktur mehrerer Krankenhäuser (Cloud Systeme)“.

Aber wie kann das im Gesundheitswesen funktionieren? Existieren, wenn wir ehrlich sind, nicht elementarere IT-Security-Probleme als „nur“ Cloud-Security? Der Klinikalltag zeigt, dass IT-Systeme nur allzu häufig mit nur einem angemeldeten User benutzt werden und überdies auch oft nicht gesperrt werden, um das gemeinsame Arbeiten von mehreren Personen über den Tag zu vereinfachen und häufiges Anmelden, Abmelden, Ummelden, Sperren und Entsperren zu vermeiden. Von der Legacy-Technik in Medizingeräten und Software wollen wir erst gar nicht sprechen. Eine zentrale Identity- & Access-Management-Lösung, idealerweise mit Passwordless Authentication und der Möglichkeit, Legacy-Applikationen zu integrieren, bietet hier erhebliche Vorteile, wie die zentrale Administrierbarkeit bei gleichzeitiger einheitlicher Nutzbarkeit für alle Standorte bundesweit. Dafür gibt es sogar Cloud-Anbieter. Gartner benennt die Leader hier als Okta, auth0, OneLogin, Forgerock – perfekt im Sinne des KHZG.

Risiken und Nebenwirkungen DSGVO

Richtig kompliziert wird es allerdings dann bei den Themen Datenhaltung und -zugriff, da diese Lösungen in der Regel in Cloud-Umgebungen von globalen Hyperscalern liegen, die keine europäischen Unternehmen sind. Wie können solche Lösungen in Einklang mit der DSGVO, insbesondere dem Problem des Drittlandzugriffs, Sozialdatengeheimnis und unterschiedlichen Datenschutzanforderungen je Bundesland, gebracht werden?

Bisher bedeutete dies den Einsatz von On-Premise-Lösungen, die im Betrieb aufwendig und mit Lizenz- und Supportkosten verbunden sind, oder kundenspezifischen Entwicklungen mit ähnlichen finanziellen Aufwänden.

Die Formulierung im KHZG zeigt aber auf, was Cloud auch sein kann: gemeinsam genutzte (deutsche) Rechenzentren-Ressourcen als Software-as-a-Service (SaaS).

Bei Datenhaltung zu 100 % in Deutschland sowie ohne Zugriff von außerhalb Deutschlands (gesellschaftsrechtlich sollten die Anbieter nicht unter drittstaatlicher Kontrolle sein), sind diese auch in Bezug auf Compliance kein Problem. Dies gilt auch und im Besonderen für darunter liegende Rechenzentren, nennen wir sie Clouds.

Alternativen bei der Umsetzung bieten spezialisierte SaaS-Dienstleister aus Deutschland, die diese Digitalisierungsdienstleistungen im Rahmen der regulatorischen Vorgaben anbieten. Meist handelt es sich hierbei um Nischenanbieter, die mit dem Thema Datensouveränität jetzt punkten können. Eine umfassende Recherche lohnt. Gute Einstiegspunkte auf der Suche bieten dabei Anbieter- und Mitgliederlisten von beispielsweise dem Bundesverband IT-Sicherheit (TeleTrust), dem Bundesverband IT-Mittelstand oder auch das Trusted Cloud Projekt des Bundesministeriums für Wirtschaft und Energie.

Es gilt, keine Digitalisierung ohne IT-Sicherheit. IT-Sicherheit wird zum wichtigen Enabler und muss die Basis für digitalisierte Prozesse in Krankenhäusern sowie für das gesamte Gesundheitswesen sein.

Dieser Artikel erschien zuerst im Journal "Krankenhaus-IT". Wir freuen uns über Ihr Feedback und das Teilen des Artikels.

Originalbeitrag auf Krankenhaus-IT.de