Medizindaten-Clouds : Gesundheitswesen: Warum wir einen einheitlichen Sicherheitsstandard brauchen

Vom digitalen Termin- und Patientenmanagement über die Videosprechstunde bis hin zum sicheren Messaging – die Digitalisierung erleichtert Ärzt:innen und Patient:innen inzwischen in vielerlei Hinsicht den Alltag. Zur Speicherung von Gesundheitsdaten setzen viele Arztpraxen und Krankenhäuser auf Cloud-Anwendungen, da diese ein hohes Maß an Flexibilität zum Beispiel für das mobile Arbeiten und Sicherheitsverbesserungen mit sich bringen.

Die Bedrohung durch Cyberangriffe ist laut dem aktuellen Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) derzeit so hoch wie nie. Aktuelle Beispiele sind die mutmaßlichen Angriffe auf große KRITIS Krankenhäuser in Deutschland, mit dem Ziel, die Server zu verschlüsseln. Die Konsequenzen dieser Attacken fallen dabei unterschiedlich schwer aus: Krankenversicherungskarten können nicht mehr eingelesen werden, Notfallteams können keine Vorabinformationen zum Gesundheitszustand eines Patienten mit dem Krankenhaus teilen, digitale Behandlungspläne für einen Intensivpatienten sind fehlerhaft oder Operationen können nicht mehr durchgeführt werden.

Derartige Angriffe wirken sich in doppelter Hinsicht nachteilig aus: Zum einen können sie unmittelbar gravierende Folgen für die Gesundheit von Patient:innen haben. Zum anderen tragen sie dazu bei, dass das Vertrauen in digitale Prozesse im Gesundheitswesen sinkt. In einer Bitkom-Umfrage aus dem Jahr 2022 gaben rund 83 Prozent der niedergelassenen Ärzt:innen an, dass sie der Digitalisierung in Praxen und Kliniken aufgrund drohender Cyberangriffe skeptisch gegenüberstehen.

Doch angesichts des hohen Bürokratieaufwands bei gleichzeitigem Fachkräftemangel braucht es dringend mehr Digitalisierung, um die Ärzt:innen und das medizinische Fachpersonal zu entlasten und damit eine optimale Versorgung der Patient:innen sicherzustellen. Der sinnvolle Einsatz von Cloud-Anwendungen kann vor diesem Hintergrund dazu beitragen, das IT-Sicherheitsniveau zu erhöhen und das Vertrauen in die Nutzung digitaler Lösungen zu steigern. Um eine lückenlose Datensicherheit zu gewährleisten, braucht es einheitliche Rahmenbedingungen für IT-Sicherheit im Gesundheitswesen – einen Goldstandard für Cloud-Sicherheit, der eine Orientierung sowohl für Anbieter als auch für Ärzt:innen und Patient:innen schafft. Der Entwurf des DiGi-G und das einheitliche europäische Zertifizierungsschema für eine souveräne Cloud (EUCS) sind vielversprechende Schritte in die richtige Richtung. Doch um die IT-Sicherheit in Praxen und Krankenhäusern weiter zu verbessern, ist darüber hinaus das Zusammenspiel von Politik, Gesundheitswesen und auch der Wirtschaft unerlässlich. Konkret müssen wir drei Dinge gemeinsam leisten:

Aufklärungsarbeit für Leistungserbringer

Zunächst einmal muss sichergestellt werden, dass medizinische Fachangestellte und Ärzt:innen hinsichtlich IT-Sicherheit und vor allem bezogen auf Gefahren und Maßnahmen in der Breite sensibilisiert werden. Laut Bitkom wünscht sich die Mehrheit (68 Prozent) der Ärzt:innen mehr Informationen zum Umgang mit dem Thema. Doch damit das gelingt, müssen wir anerkennen, dass vor allem Arztpraxen schon heute wenig Zeit haben, sich mit IT-Sicherheit auseinanderzusetzen und Gesundheitsfachkräfte in der Regel keine IT-Expert:innen sind. Im Sinne der digitalen Gesundheitskompetenz sollten Politik und Wirtschaft deshalb bei all ihren Bemühungen, mehr Sicherheit in deutschen Gesundheitseinrichtungen zu bringen, auch Wege schaffen, die eine verständliche und schnelle Aufklärung bieten.

Mehr Transparenz und Vergleichbarkeit schaffen

Ein wichtiger Aspekt dafür ist die Einführung von einheitlichen Orientierungshilfen und Zertifikaten. Für die Nutzung von Cloud-Anwendungen bietet zum Beispiel der C5-Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auch für das Gesundheitswesen eine wichtige Orientierungshilfe. Er schafft Transparenz über die IT-Sicherheitsmaßnahmen, die ein Anbieter implementiert hat. Durch die Umsetzung solcher Standards können Gesundheitseinrichtungen sicherstellen, dass die sensiblen Daten ihrer Nutzer:innen in der Cloud sicher sind und vor Cyberangriffen geschützt werden. Um für die Leistungserbringer eine einfache Vergleichbarkeit unterschiedlicher Anbieter zu ermöglichen, ist es in einem weiteren Schritt nötig, dass sowohl Behörden als auch Unternehmen eine gute Übersicht der Prüfungsberichte schaffen.

Konkrete Hilfestellungen auf Anwenderseite leisten

Nicht zuletzt braucht es konkrete Hilfestellungen vor Ort. Die Anforderungen an Maßnahmen zur Steigerung der IT-Sicherheit unterscheiden sich je nach Gesundheitseinrichtungen und sollten dem jeweiligen Bedarf angepasst sein. Nur auf diese Weise kann sichergestellt werden, dass zum Beispiel Cloud-Anwendungen sicher von den Gesundheitsfachkräften vor Ort eingesetzt werden und somit das hohe Schutzniveau der Lösungen erhalten bleibt.

Außerdem ist der Ausbau der Cybersicherheit ein personal- und ressourcenintensiver Prozess, für den Praxen und Kliniken nicht nur die entsprechenden Fachkräfte und Zeit, sondern auch finanzielle Mittel investieren müssen. Gesundheitsakteure dürfen hierbei nicht alleine gelassen werden. Eine Möglichkeit der Unterstützung bietet das Krankenhauszukunftsgesetz (KHZG), das Kliniken mit bis zu 4,3 Milliarden Euro fördert. Ein vergleichbares Praxiszukunftsgesetz sollte auch für die niedergelassenen Ärzt:innen eingeführt werden.

Zusammenfassend lässt sich sagen, dass IT-Sicherheit im Gesundheitswesen so wichtig ist wie in kaum einem anderen Sektor. Zudem setzen immer mehr Leistungserbringer auf Cloud-Services. Um eine möglichst lückenlose Sicherheit zu gewährleisten, braucht es daher klare Vorgaben von der Politik. Doch bis diese allgemeingültigen Anforderungen für IT-Sicherheitsstandards für Cloud-Services im Gesundheitswesen geschaffen werden, sind Gesundheitsakteure und Anbieter aus der Wirtschaft gefragt, selbst Initiative zu ergreifen.

Nur so kann das Vertrauen der Nutzer:innen in die digitale Gesundheitswende sichergestellt werden. Denn am Ende geht es bei der Digitalisierung des Gesundheitswesens alleine um das Wohl der Patient:innen und ihre sichere Versorgung.

Nikolay Kolev ist Managing Director Deutschland bei Doctolib.