Die letzten Monate haben es uns allen noch einmal deutlich vor Augen geführt: Deutschland und im Speziellen das deutsche Gesundheitswesen haben ihr Digitalisierungspotential längst noch nicht voll ausgeschöpft. Überdies ist das Thema Krankenhauszukunftsgesetz (KHZG) bereits seit geraumer Zeit in aller Munde. Doch welche Möglichkeiten bieten sich eigentlich durch die Förderzusagen konkret im Bereich IT-Sicherheit für Klinik-Betreiber?
KHZG – Grundgerüst für ein digitalisiertes Krankenhaus
Das KHZG lädt dazu ein, Rahmenbedingungen, die teilweise veraltet und unsinnig erscheinen, aber dennoch in Stein gemeißelt waren, zu verwerfen. Dabei sind mindestens 15% der Fördersumme für IT-Sicherheit einzuplanen. Mit dieser Vorgabe reagiert der Gesetzgeber auf die Tatsache, dass Krankenhäuser digitale Attacken oft nicht oder zu spät entdecken und im Zuge von COVID-19 noch stärker ins Visier von Cyberkriminellen geraten sind. Fördertatbestand 7 spricht von “Gemeinsame(n) Leistungsangebote(n) und Infrastruktur mehrerer Krankenhäuser (Cloud Systeme)“.
Aber wie kann das im Gesundheitswesen funktionieren? Existieren, wenn wir ehrlich sind, nicht elementarere IT-Security Probleme als „nur“ Cloud-Security? Der Klinikalltag zeigt, dass IT-Systeme nur allzu häufig mit nur einem angemeldeten User benutzt werden und überdies auch oft nicht gesperrt werden, um das gemeinsame Arbeiten von mehreren Personen über den Tag zu vereinfachen und häufiges Anmelden, Abmelden, Ummelden, Sperren und Entsperren zu vermeiden. Von der Legacy-Technik in Medizingeräten und Software wollen wir erst gar nicht sprechen. Eine zentrale Identity- & Access-Management-Lösung, idealerweise mit Passwordless Authentication und der Möglichkeit, Legacy-Applikationen zu integrieren, bietet hier erhebliche Vorteile, wie die zentrale Administrierbarkeit bei gleichzeitiger einheitlicher Nutzbarkeit für alle Standorte bundesweit. Dafür gibt es sogar Cloud-Anbieter. Gartner benennt die Leader hier als Okta, auth0, OneLogin, Forgerock – Perfekt im Sinne des KHZG.
Risiken und Nebenwirkungen DSGVO
Richtig kompliziert wird es allerdings dann bei den Themen Datenhaltung und -zugriff, da diese Lösungen in der Regel in Cloud-Umgebungen von globalen Hyperscalern liegen, die keine europäischen Unternehmen sind. Wie können solche Lösungen in Einklang mit der DSGVO, insbesondere dem Problem des Drittlandzugriffs, Sozialdatengeheimnis und unterschiedlichen Datenschutzanforderungen je Bundesland, gebracht werden?
Bisher bedeutete dies den Einsatz von On-Premise-Lösungen, die im Betrieb aufwendig und mit Lizenz- und Supportkosten verbunden sind, oder kundenspezifischen Entwicklungen mit ähnlichen finanziellen Aufwänden.
Die Formulierung im KHZG zeigt aber auf, was Cloud auch sein kann: Gemeinsam genutzte (deutsche) Rechenzentren-Ressourcen als Software-as-a-Service (SaaS).
Bei Datenhaltung zu 100 % in Deutschland sowie ohne Zugriff von außerhalb Deutschlands (gesellschaftsrechtlich sollten die Anbieter nicht unter drittstaatlicher Kontrolle sein), sind diese auch in Bezug auf Compliance kein Problem. Dies gilt auch und im Besonderen für darunter liegende Rechenzentren, nennen wir sie Clouds.
Alternativen bei der Umsetzung bieten spezialisierte SaaS-Dienstleister aus Deutschland, die diese Digitalsierungsdienstleistungen im Rahmen der regulatorischen Vorgaben anbieten. Meist handelt es sich hierbei um Nischenanbieter, die mit dem Thema Datensouveränität jetzt punkten können. Eine umfassende Recherche lohnt. Gute Einstiegspunkte auf der Suche bieten dabei Anbieter- und Mitgliederlisten von beispielsweise dem Bundesverband IT-Sicherheit (TeleTrust), dem Bundesverband IT-Mittelstand oder auch das Trusted Cloud Projekt des Bundesministeriums für Wirtschaft und Energie.
Es gilt, keine Digitalisierung ohne IT-Sicherheit. IT-Sicherheit wird zum wichtigen Enabler und muss die Basis für digitalisierte Prozesse in Krankenhäusern sowie für das gesamte Gesundheitswesen sein.
Steffen Ritter Commercial Director Cybersecurity bei AOE in Wiesebaden
Alexander Dallmer Director Healthcare & Life Sciences bei AOE in Wiesbaden