+41 44 667 77 66 info@clue.ch

Sicherheit im Gesundheitswesen

Spitäler und Healthcare Organisationen stehen heute komplexen Herausforderungen entgegen. Auf der einen Seite steht der Schutz der Gesundheitsdaten, der sichere Betrieb der technischen Gerätschaften und gesetzlichen Vorgaben – auf der andern Seite der dynamische Krankenhausbetrieb mit einer Vielzahl von Zugangspunkten und den «always-on» Anforderungen der Ärzte Teams.

Herausforderungen durch Ransom-Ware

Die Digitalisierung und Vernetzung ist auch in den Spitälern nicht mehr aufzuhalten. Dies mit den daraus resultierenden Vorteilen durch eine effizientere Auslastung der Systeme und die Reduktion von Ausfällen durch bessere Wartungsinformationen.

Die Kehrseite dieser Entwicklung sind die daraus resultierenden Sicherheitslücken und die realen Schäden, welche durch Ransom-Ware und dem unautorisierten Zugriff auf Patientendaten bereits entstanden sind. In den letzten Jahren sind durch Ransom-Ware Wellen wie WannaCry sehr viele Computer und Medizinische Geräte in Spitälern weltweit infiziert worden.

Spitäler sind aus vielen Gründen ein lohnendes Ziel, denn durch den «druck» der Verfügbarkeit sind Ransomware Zahlungen eher wahrscheinlich. Auch andere Daten, wie medizinische Akten, Datenbanken, Bildmaterial und Finanzinformationen sind lohnenswerte Daten.

Der Schutz dieser Systeme und Daten stellt Spitäler vor grosse Herausforderungen. Medizinische Geräte müssen flexibel und mobil eingesetzt werden können, wodurch sich die Erkennung und Segmentierung der Geräte schwierig umsetzen lässt.

Für die Wartung und Justierung der Geräte sind Spitäler von externen Unternehmen und Herstellern abhängig. Durch einen unkontrollierten Zugang auf diese Systeme sind diese Unternehmen unbeabsichtigt für 30% aller Sicherheitsverletzungen auf medizinischen Geräte verantwortlich.

Eine weitere Herausforderung sind Schwachstellen in den Betriebssystemen der medizinischen Geräte. Millionen von Geräten mussten bereits von Herstellern zurückgezogen werden, da Schwachstellen in den Geräten nicht geschlossen werden konnten. Updates können oft nicht oder zumindest nicht kontrolliert ausgerollt werden. Die Übersicht über Schwachstellen und Softwareversionen ist oft nicht ausweisbar.

Herausforderungen beim Schutz von Patientendaten

Die Einführung des Elektronischen Patientendossiers wurde mit einem klaren Ziel beschrieben: Die Qualität der medizinischen Behandlung stärken, die Behandlungsprozesse verbessern, die Patientensicherheit erhöhen und die Effizienz des Gesundheitssystems steigern sowie die Gesundheitskompetenz der Patienten fördern.

Die Einführung im Jahr 2020 verpflichtet alle betroffenen Einrichtungen hohe Standards an den Datenschutz umzusetzen und einzuhalten. Nur im Jahr 2019 wurden von einem Forschungsunternehmen in der Schweiz knapp 1600 Datensätze und 200’000 Bilddaten auf unzureichend geschützten Servern gesichtet.

Diese Anforderungen umzusetzen ist aufgrund der Vielzahl von Systemen und Kommunikation intern sowie mit externen Ärzten und Einrichtungen erst einmal überwältigend.