Patientendaten schützen Datenschutz und Verschlüsselung im Gesundheitswesen

Autor / Redakteur: Armin Simon / Ira Zahorsky

Der Schutz von Patientendaten hat oberste Priorität. Multi-Cloud-Umgebungen erhöhen die Komplexität dieser Aufgabe. Die Gesundheitsbranche muss ihre Cloud-Sicherheitsstrategie entsprechend anpassen und zur Chefsache machen.

Firmen zum Thema

Der Schutz von hochsensiblen Patientendaten muss auch in der Cloud gewährleistet sein.
Der Schutz von hochsensiblen Patientendaten muss auch in der Cloud gewährleistet sein.
(© greenbutterfly - stock.adobe.com)

Gesundheitseinrichtungen stehen weltweit im Epizentrum des Kampfes gegen das Coronavirus. Die Pandemie hat den digitalen Wandel im Gesundheitswesen zwar zum Teil beschleunigt, allerdings hat sie die Netzwerke auch angreifbarer gemacht und Cyberkriminellen neue Möglichkeiten zur Infiltrierung eröffnet. So hat zum Beispiel die Flut von neuen Patientenakten während der Pandemie dazu geführt, dass die Datenspeicherung in IT-Umgebungen noch unübersichtlicher und ausufernder wurde.

Dieses neue Modell zunehmend verteilter Daten schafft eine wesentlich breitere Angriffsfläche als zuvor. Darüber hinaus hat die COVID-19-Pandemie zu einer Explosion der Phishing-Mails und anderen, auf Social Engineering basierten Angriffen wie Ransomware geführt. Angesichts dieser neuen Gefahren müssen Organisationen des Gesundheitswesens ihre IT-Sicherheit ausbauen und optimieren, um sich an die veränderte Situation anzupassen.

Pandemie beschleunigt die Digitalisierung

Die COVID-19-Pandemie sorgt dafür, dass neue Regeln wie das Social Distancing die Anbieter von Gesundheitsdiensten dazu zwingt, in größerem Umfang Remote-Dienste einzuführen. Dabei soll Patienten auch bei Diagnostik und Behandlung über das Internet das gleiche medizinische Niveau geboten werden, wie vor Ort in der Praxis. Dieser Bedarf nach hochqualitativer Fernmedizin wird zweifellos zu einer beschleunigten Digitalisierung innerhalb der Branche führen.

Der Gesundheitssektor ist zudem stark reguliert, nicht zuletzt durch strenge Gesetze, wie die in der EU-DSGVO festgelegten Sicherheitskontrollen zum Schutz medizinischer Daten und sensibler Patienteninformationen. 37 Prozent der befragten Gesundheitsorganisationen geben im Thales 2020 Data Threat Report – Global Edition an, dass sie im Jahr 2019 eine Datenschutzverletzung erlitten oder aufgrund mangelnder Datensicherheit eine Compliance-Prüfung nicht bestanden haben. Indessen kam es zu einer weiteren Verschärfung der Bedrohungslage, herbeigeführt unter anderem durch das Aufkommen neuartiger Malware. Dabei handelt es sich sowohl um herkömmliche Cyberkriminelle, die schnelles Geld verdienen wollen, als auch um staatliche Akteure, die Wirtschaftsspionage betreiben. Fest steht: Die Gesundheitsbranche ist eindeutig ein Ziel für vermehrte Cyber-Angriffe, die sich die Pandemie zunutze machen.

Sensible Daten sind nicht ausreichend geschützt

Der Thales-Bericht zeigt, dass Gesundheitseinrichtungen inzwischen mehr Geld ausgeben, um die gesetzlichen Sicherheitsanforderungen zu erfüllen. Die Ausgaben für die IT-Sicherheit haben sich erhöht und betragen innerhalb der Branche weltweit nun im Schnitt 17 Prozent des gesamten IT-Budgets. Die Organisationen benötigen Tools, um den oftmals komplexen Schutz ihrer sensiblen Daten zu bewältigen, die sich von der bestehenden Infrastruktur vor Ort bis hin zu modernen, Cloud-basierten Plattformen erstrecken. Zu diesen Tools gehören intelligente, Technologie-orientierte Lösungen, wie Verschlüsselung und Tokenisierung.

Trotz der gestiegenen Ausgaben für Datensicherheit scheinen sich die Verantwortlichen im Gesundheitswesen nicht genug um die Themen zu kümmern, die das größte Risiko darstellen. Die Umfragedaten zeigen, dass die Verschlüsselungsraten nach wie vor niedrig sind. Organisationen des Gesundheitswesens verschlüsseln bisher nur 59 Prozent ihrer sensiblen Daten.

Datensicherheit ist unerlässlich in einer Multi-Cloud-Welt

Unzureichende Datenschutzmaßnahmen sind ein großes Risiko für Organisationen, die Cloud-Lösungen einsetzen. Die Digitalisierung hat die traditionellen Unternehmensgrenzen und deren Abwehr verändert: Je mehr Daten in Cloud-Umgebungen gespeichert werden, desto größer die Herausforderung, die gesetzlichen Vorschriften einzuhalten und Daten zu schützen.

Ein großer Anteil der in der Cloud gespeicherten Daten ist höchst sensibel, zum Beispiel vertrauliche Unternehmensinformationen, personenbezogene Daten und Patientendaten. Trotz ihrer zentralen Bedeutung gelingt es vielen Organisationen nicht, die Daten ordnungsgemäß zu schützen. Dem Bericht zufolge ist über die Hälfte (51 %) der in der Cloud gehosteten Daten im Gesundheitswesen nicht pseudonymisiert. Tatsächlich geben außerdem alle Befragten weltweit an, dass zumindest einige ihrer sensiblen Daten in der Cloud nicht verschlüsselt sind. Mangelnder Datenschutz aber führt zum Durchfallen bei Compliance-Audits und schließlich zu Datenschutzverstößen.

Einer der Gründe, der einer breiteren Anwendung von Sicherheitsrichtlinien im Weg steht, ist die hohe Komplexität. Je mehr Daten in die Cloud wandern, desto aufwändiger wird die IT-Sicherheit. Multi-Cloud-Umgebungen erhöhen die Komplexität zusätzlich. Organisationen nutzen mehrere IaaS- und PaaS-Umgebungen sowie Hunderte von SaaS-Anwendungen gleichzeitig. Die Studie ergab, dass 84 Prozent der weltweit befragten Organisationen aus dem Gesundheitswesen mehr als einen IaaS-Anbieter nutzen, 82 Prozent mehr als einen PaaS-Anbieter haben und 9 Prozent sogar mehr als 100 SaaS-Anwendungen verwalten.

Intelligenter Datenschutz schränkt Risiko ein

Da mehr sensible Daten in Cloud-Umgebungen gespeichert werden, erhöhen sich die Anforderungen an Datensicherheit und Datenschutz. Weltweit sehen sich Organisationen bei der Umsetzung ihrer Cloud- und Digitalisierungsstrategien mit zunehmend komplexen Herausforderungen in Bezug auf die Datensicherheit konfrontiert, insbesondere im Hinblick auf die aktuelle COVID-19-Situation und die Vorbereitung auf eine digitalere Welt nach der Pandemie.

Organisationen müssen sich um ihre Datenhoheit kümmern und sollten den Schwerpunkt ihrer Cloud-Sicherheitsstrategie dementsprechend anpassen. Lösungen zur Datensicherheit, insbesondere Verschlüsselung, sind entscheidend, um Daten vor Cyberrisiken wirksam zu schützen. Dieser Ansatz ist jetzt besonders wichtig, da die aktuelle Verschiebung ins Home Office dazu geführt hat, dass Mitarbeiter regelmäßig außerhalb des Unternehmens auf große Mengen von Unternehmensdaten zugreifen – teilweise mit ihren privaten Geräten.

Dies betrifft auch die Gesundheitsbranche, da viele Kliniken zu Online-Konferenzen übergegangen sind oder auch Ärzte ihre Patientenbehandlung über Video-Chats und andere Kommunikationsmittel durchführen. In einer Notfallsituation kann ein Diagnosegespräch unter Verwendung eines unverschlüsselten Mediums stattfinden, wodurch eine Arztpraxis verschiedenen Regelverstößen ausgesetzt wird. Um Unternehmensdaten standortunabhängig über verschiedene Plattformen und Services hinweg einheitlich zu schützen, sind Datensicherheitslösungen, wie eine zuverlässige Verschlüsselung, unerlässlich.

Fazit

Dieses Jahr wird für Gesundheitseinrichtungen auf der ganzen Welt weitere und zunehmend komplexe Herausforderungen in Bezug auf den Datenschutz mit sich bringen. Zweifelsohne werden Organisationen intelligentere Methoden benötigen, um den Datenschutz zu bewältigen. Um dies zu gewährleisten ist es erforderlich, auf Verschlüsselung und Zero-Trust-Modelle zu setzen und eine starke Multi-Cloud-Schlüsselverwaltungsstrategie zu implementieren. Nur so ist es möglich, Patientendaten überall, jederzeit und regelkonform zu schützen – während und nach der Pandemie.

Armin Simon
Der Autor, Armin Simon, ist Regional Director for Encryption Solutions Deutschland bei Thales.

(ID:47298080)