Es gibt wohl kaum sensiblere Daten als Patientenakten. Diese beinhalten nämlich nicht nur persönliche Informationen der Versicherten wie Anschrift oder Telefonnummer, sondern auch intimste Details der gesundheitlichen Verfassung eines Menschen.
Nicht umsonst zählen Krankenhäuser zu den sogenannten kritischen Infrastrukturen (KRITIS) eines Landes und werden mit besonderen Sorgfaltspflichten hinsichtlich des Datenschutzes belegt.
Die elektronische Patientenakte (ePa) verschärft die angespannte Situation noch zusätzlich. Alle Dokumente und Akten des Versicherten werden dann auf der elektronischen Gesundheitskarte gespeichert und stehen somit den verschiedenen Anwendungen im Gesundheitssystem zur Verfügung. Vom Physiotherapeuten über Zähnärzte bis hin zum Chirurgen: Jede Diagnose und jede Behandlung wird auf der elektronischen Patientenakte vermerkt. Dies stellt eine gewaltige Herausforderung für den Datenschutz dar, da nicht jede Praxis alle Informationen benötigt, die in der ePa gespeichert sind.
Dabei liegen die Vorzüge der ePa auf der Hand: Schnelle Verfügbarkeit in der Cloud, einfacher Datenaustausch über den verwendeten Cloud-Dienst und vielfältige Möglichkeiten der Datenverarbeitung und -analyse versprechen einen Quantensprung für die medizinische Versorgung. Gerade bei uns in Deutschland ist die Datenkommunikation zwischen den isolierten Dateninseln unzähliger Arztpraxen und Krankenhäuser immer noch mit Mängeln behaftet. Die elektronische Patientenakte indes verspricht, viele Prozesse zu beschleunigen und redundante Mehrfachuntersuchungen zu vermeiden.
Auch die Qualifizierung der Daten kann mit digitalen Hilfsmitteln wesentlich besser vollzogen werden. Einheitlichkeit und Korrektheit der Daten müssen nicht in jeder Praxis von neuem kontrolliert werden. Die zentrale Speicherung der medizinischen Historie jedes Patienten, einschließlich aller Befunde und eventueller Vorerkrankungen, macht es möglich.
Gesundheitsminister Spahn will in absehbarer Zukunft die dafür notwendige Telematikinfrastruktur auf ganz Europa ausweiten um die Vorzüge der elektronischen Patientenakte überall in der EU nutzbar zu machen.
Der in Aussicht stehende Gewinn an Wirtschaftlichkeit und Effizienz der Digitalisierung von Patientendaten fordert jedoch auch seinen Tribut: Werden alle Daten zentral gespeichert, reicht ein einziger erfolgreicher Angriff, um eine riesige und detaillierte Datenfülle sensibelster Daten dem Zugriff Unberechtigter preiszugeben.
Krankenhäuser sind ein beliebtes Ziel für Cyberkriminelle
Die Anreize, eine Einrichtung des Gesundheitswesens anzugreifen, sind mannigfaltig: Angefangen von der Datenanalyse und -weitergabe an Dritte – beispielsweise Krankenkassen, Versicherungsagenturen oder gar den Arbeitgeber – bis hin zur Verschlüsselung der für das Tagesgeschäft essenziellen Daten mittels Ransomware.
Ein solcher Fall ereignete sich erst vor kurzem im Universitätsklinikum Düsseldorf. Zwei Wochen lang konnte das Düsseldorfer Krankenhaus nicht von Rettungsdiensten angefahren werden, da es am 10. September 2020 Opfer eines Ransomware-Angriffs wurde. Der Schaden für Betroffene sowie für den Datenschutz war beträchtlich. Patienten wurden gebeten, das Krankenhaus nicht aufzusuchen, da die gesamte IT des Universitätsklinikums betroffen war, einschließlich der für Behandlungen oder Operationen so wichtigen Daten und Befunde. Das Kalkül der Kriminellen ist, dass Einrichtungen der kritischen Infrastruktur durch die empfindliche Unterbrechung ihres Betriebs einen besonders hohen Druck verspüren und deshalb eher gewillt sind, das geforderte Lösegeld zu bezahlen.
Die Leidtragenden einer solchen Cyberattacke sind in erster Linie die Patienten. Dringende Behandlungen müssen verschoben oder in umliegende Krankenhäuser ausgelagert werden. Doch selbst im Falle einer Überweisung in ein anderes Krankenhaus müssen die Befunde meist neu erstellt werden, da die Originale nicht mehr verfügbar sind.
Compliance ist bei sensiblen Patientendaten besonders kritisch
Neben den gravierenden gesundheitlichen Folgen eines gezielten Hackerangriffs für Patienten wird die Compliance der Einrichtungen durch leichtfertige und ungesicherte Aufbewahrung der sensiblen Gesundheitsdaten von Patienten gefährdet. Wie bereits zuvor erwähnt, sind Patientendaten ein begehrtes Gut und erzielen auf dem Schwarzmarkt einen Preis von rund 50 Euro pro Datensatz. Bei einem Datenleck können leicht mehrere Tausend Datensätze entwendet werden. Im Falle des Uniklinikums Düsseldorf werden beispielsweise mehrere hunderttausend Patientenprofile in nur einem Jahr angelegt. Die Aussicht auf eine signifikante Beute im mehrstelligen Millionenbereich weckt bei vielen hochprofessionellen Hackerkollektiven natürlich Begehrlichkeiten.
Hinzu kommt noch, dass im Falle eines vollständigen Datenverlustes aller Patienten eine enorme DSGVO-Strafzahlung auf die betroffene Einrichtung zukommen würde. In der Summe kann das die endgültige Schließung eines Betriebes bedeuten. Selbst wenn der finanzielle Schaden gestemmt werden sollte, wird sich kaum noch ein Patient oder Kunde finden, der dem betroffenen Unternehmen nach wie vor sein Vertrauen schenken möchte.
Besonders bei sensiblen Daten muss daher jegliche Speicherung und Datenübermittlung hochsicher und ausschließlich in verschlüsselter Form erfolgen. Die besonderen gesetzlichen sowie internen Sicherheitsanforderungen an medizinische Daten haben etwa die Sportklinik Stuttgart dazu bewogen, ihre Patientendaten in die Cloud zu verlagern. Dort können sie nämlich nicht nur verschlüsselt aufbewahrt werden, sondern es besteht zusätzlich die Möglichkeit der Datenverarbeitung auf versiegelten Servern.
Welchen Beitrag kann die Cloud-Versiegelung leisten?
Verschlüsselter Datenaustausch ist heute bereits Standard. Kryptographie hat sich als die beste und sicherste Methode erwiesen, unberechtigte Zugriffe abzuwehren – immer vorausgesetzt, der Schlüssel ist alleine im Besitz des rechtmäßigen Dateneigentümers. Hier liegt allerdings der Hund begraben. Viele Cloudanbieter besitzen eine Kopie der Schlüssel all ihrer Kunden und sind somit jederzeit in der Lage, diese zu entschlüsseln. Sollte der Provider sich dazu entschließen, die Daten auszulesen, würde der Kunde noch nicht einmal etwas davon mitbekommen.
Verschlüsselung hat jedoch auch ihre Grenzen. Denn Daten können zwar ohne weiteres in verschlüsselter Form übermittelt werden, müssen aber spätestens für die Verarbeitung in entschlüsselter Form vorliegen. Die Datenverarbeitung in unsicheren Datenräumen stellt somit die Achillesferse des Datenschutzes und der IT-Security in der Cloud dar.
Es existiert aber eine Lösung: Daten können beispielsweise auf versiegelten Servern verarbeitet werden. Die Sealed Cloud löst dieses Problem durch die physische Abkapselung der für die Datenverarbeitung zuständigen Server. Die Datenserver befinden sich in mechanischen Käfigen und sind mit elektro-mechanischen Schlössern versehen. Diese Zero-Trust-Architektur, wie sie etwa bei den Sealed-Cloud-Diensten idgard, ucloud und der Versiegelten Cloud zum Einsatz kommt, verhindert einen Zugriff auf die zur Berechnung entschlüsselten und somit verwundbaren Daten. Bei jeglichem Anzeichen eines unautorisierten Zugriffsversuchs wird ein Automatismus ausgelöst, der die Daten auf ein nicht betroffenes Server-Segment verschiebt und anschließend auf den kompromittierten Segmenten löscht.
Einem ähnlichen Ansatz, jedoch auf Prozessor- statt auf Serverebene, folgt das Confidential Computing. Hierbei werden die Daten zum Zweck der Verarbeitung in ein Trusted Execution Environment (TEE) verschoben. In dieser „vertrauenswürdigen Umgebung“ wird sichergestellt, dass nur bestimmter Code auf die dort befindlichen Daten zugreifen kann. Selbst kleinste Manipulationen am Code führen dazu, dass der Zugriff auf die Daten vom System verweigert wird.
In beiden Fällen wird die Datenübertragung stets unter Verwendung starker Cipher (Verschlüsselungsalgorithmen) vollzogen, beispielsweise AES 256, um ein Abfischen der Daten während ihrer Übermittlung zu verhindern. Ohne den passenden Schlüssel gibt es somit keine Möglichkeit, die Daten auszulesen – auch nicht für den Betreiber der versiegelten Server. Versiegelte Cloud-Dienste gelten daher als „betreibersicher“ und eignen sich explizit für hochsensible Daten.
Metadaten müssen zusätzlich verschleiert werden
Manchmal stehen jedoch nicht die Daten selbst im Fokus von Angreifern, sondern die Metadaten, aus denen sich recht einfach aussagekräftige und teilweise sensible Informationen ableiten lassen. So geben die Metadaten nicht nur Auskunft über Sender, Empfänger sowie über den Zeitpunkt und die Dateigröße der ausgetauschten Daten, sondern können darüber hinaus auch weitere, persönliche Informationen offenbaren.
Um eine missbräuchliche Verwendung dieser Metadaten zu verhindern, können die Daten mithilfe von Stör-Informationen verschleiert werden, um keine detaillierten Rückschlüsse auf die vermuteten Inhalte oder den Zeitpunkt der Datenübertragung zuzulassen. So wird der Datenaustausch durch zufällig generierte Zeitintervalle zeitlich verschoben. Weiterhin wird die Dateigröße auf die nächstgelegene Standardgröße „aufgeblasen“, um diese für eine Identifikation äußert hilfreiche Information zu verwischen. Auch ucloud und die Versiegelte Cloud setzen auf diese Methode, um Metadaten zu schützen.
Fazit
Verschlüsselung ist die eierlegende Wollmilchsau der Datensicherheit und gilt mit konventionellen Methoden als unknackbar. Besonders im Kontext der sensibelsten Dateien, dazu gehören vor allem medizinische Befunde und Krankenakten, muss eine sorgfältige Kryptographie als unumstößliches Gebot betrachtet werden.
Es bleibt jedoch die leidige Achillesferse der Datenverarbeitung, die nun mal nicht mit verschlüsselten Dateien funktioniert. Um diese unvermeidliche Schwachstelle des Datenschutzes abzudecken und einen unbefugten Zugriff bei der Verarbeitung sensibler Daten zu verhindern, muss großer Aufwand in Form von speziell gesicherter Hardware betrieben werden. Es existieren nur wenige Spezialisten, die sich bisher dem Thema Sealed Computing verschrieben haben. In Deutschland sind das beispielsweise die Deutsche Telekom mit der versiegelten Cloud, regio iT mit ucloud oder die TÜV SÜD-Tochter uniscon mit idgard. Auch Google und Microsoft forschen an einer ähnlichen Technologie, doch mit dem Ende des Privacy Shields im Juli fehlt nun die rechtliche Basis für die Übermittlung personenbezogener Daten aus Deutschland in die USA.
Was die Zukunft bringt, besonders auf dem Forschungsgebiet des Quantencomputing, kann man nur schwer abschätzen. Doch bis dahin kann man durch die Kombination aus verschlüsselter Datenübertragung und versiegelter Datenverarbeitung die höchstmögliche Datensicherheit und Datensouveränität für Unternehmen und Kunden erreichen. Für das Gelingen des ambitionierten Projekts der elektronischen Patientenakte ist der Weg in die Sealed Cloud also nichts weniger als die logische Konsequenz.