Zahnärztliche Mitteilungen Nr. 05

zm 109, Nr. 5, 1.3.2019, (410) 36 Politik Herr Berens, Sie haben sich vor Kurzem zusammen mit weiteren Datenschutz-Experten in einem offenen Brief an Bundesgesundheits- minister Jens Spahn gewandt und auf den dringenden Nachholbedarf bei der Datensicherheit im Gesund- heitswesen hingewiesen. Was genau ist Ihre Sorge? Holger Berens: Uns allen ist klar, dass im Gesundheitssektor hochsensible Daten der Patienten im Fokus stehen. Über Kontonum- mer, Sozialversicherungsnummer, Anamne- se und aktuellen Gesundheitsstatus werden hier die – aus meiner Sicht – wichtigsten Da- ten von Menschen verarbeitet, weitergelei- tet und gespeichert. Hinzu kommt der Trend Cloud-Services einzusetzen. Ich möchte hier nicht alle Threats der Vergangenheit aufzäh- len. Bewusst muss uns aber sein, dass der Umgang mit diesen Daten so sicher wie möglich gestaltet werden muss. Durch die Einführung des IT-Sicherheitsgesetzes und den Verordnungen zur Bestimmung Kriti- scher Infrastrukturen nach dem BSI-Gesetz wurde ein kleiner politischer Schritt Rich- tung Informationssicherheit gegangen. Nehmen wir als Beispiel das Lukas-Kranken- haus in Neuss. Eine kritische Infrastruktur liegt nach Definition dann vor, wenn ein gewisser Schwellenwert erreicht wird. Der liegt bei Krankenhäusern zurzeit bei 30.000 Patienten im Jahr. Das Lukas-Krankenhaus hatte meines Wissens etwas weniger als 30.000 Patienten. Dies bedeutet, dass dieses Krankenhaus nicht als kritische Infrastruktur gesetzlich einzuordnen ist und damit die Gesetze auch nicht anwendbar sind. Es wer- den also nur die „Großen“ verpflichtet. Daher ist dringend ein Masterplan erforder- lich, um Ärzte, Notfallzentren und kleinere Kliniken in die Lage zu versetzen, adäquaten und vor allen Dingen praktisch umsetzbaren Schutz aller Daten und Informationen selbst regeln zu können. So habe ich mit anderen europäischen Kollegen für den EFTA-Raum „einfache“ Standards für kleinere und mitt- lere Unternehmen entwickelt*. Solche prak- tikablen Standards wünsche ich mir auch im Gesundheitswesen. Welche kritischen Infrastrukturen von Heilberuflern sind denn besonders betroffen? Zum Sektor Gesundheit gehören die Bran- chen Medizinische Versorgung, Arzneimittel und Impfstoffe und Labore. Wenn Einrich- tungen des Gesundheitswesens keine aus- reichenden Schutzvorkehrungen aufweisen, kann sich dies unmittelbar auf die Versorgung auswirken und Menschenleben gefährden. So schreibt es das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Homepage. Angreifer werden immer den leichtesten Weg nehmen. Wenn die „Großen“ abgesichert sind, werden sich demnach die Angreifer kleinere Einheiten vornehmen. Be- troffen sind also alle! Wie sehen Sie in diesem Zusammenhang Initiativen der Krankenkassen wie Gesundheitsnetz- werke und elektronische Patienten- akten? Sind das nicht die idealen Einfallstore für Datenklau? Die Frage ist: Was wollen wir? Wollen wir zu- rück zu analogen Patientenakten beziehungs- weise zur „guten alten Zeit“? Ich denke, dass die Initiativen in der heutigen digitali- sierten Welt Sinn machen und auch für die Patienten von Vorteil sind. Wenn alle Sicher- heitsvorkehrungen und die entsprechenden Prozesse implementiert werden, ist das Risiko des Datenklaus zumindest minimiert. Daher hat die Datenschutzgrundverordnung (DSGVO) ja auch den Begriff „Privacy by De- sign“ postuliert. Dies muss um „Security by Design“ erweitert werden: Die Anbieter müssen gezwungen werden, alle Sicher- heitsaspekte schon bei der Entwicklung zu berücksichtigen und ins Produkt einzuarbei- ten. Hinzu kommen die Sensibilisierung und die Schulung der Anwender, also der Ärzte. Auch diese müssen wissen, wie sie Daten und Informationen in ihrer Praxis bestmög- lich schützen können. Betrifft das auch die Telematikinfrastruktur (TI)? Selbstverständlich. Gerade hier sind alle Sicherheitsvorkehrungen, Zertifizierungen und Datenschutzthemen zu verifizieren. Vielleicht haben Sie noch die Diskussion be- züglich der Sicherheitslücken in der TI mit den Namen „Spectre“ und „Meltdown“ aus dem Jahr 2018 in Erinnerung – also einge- baute Einfallstore in den Prozessoren. Hier hat das BSI sehr schnell gehandelt und die TI sofort auf diese Probleme untersucht. Genau dies ist aber das Problem. Das BSI kann grundsätzlich nur reagieren. Solange für die Hersteller Security by Design und Haftung gesetzlich nicht vorgeschrieben sind, kann nur reagiert werden. Wenn man auf den Praxisalltag eines Arztes oder Zahnarztes schaut: Was muss dieser in Sachen Daten- und Informationssicherheit beachten? Der Schutz fängt beim Arzt und bei den Mit- arbeitern an. Der Faktor Mensch ist die größte Schwachstelle. Ein einfaches Beispiel ist, nicht über das Praxisnetzwerk privat ? ? ? ? ? Interview mit Cybersicherheitsexperte Holger Berens „Der Mensch ist die größte Schwachstelle“ Natürlich sind Patientendaten hochsensensibel. Aber die Zeit lässt sich ja auch nicht zurückdrehen: Ein Großteil der Bevölkerung nutzt heute Apps, auch im Gesundheitswesen – und zur analogen Patientenakte wollen wir auch nicht zurück. Geht es nach Cybersicherheitsexperte Holger Berens, sollte man Anbieter dazu verpflichten, alle Sicherheitsaspekte schon bei der Entwicklung ins Produkt einzuarbeiten.

RkJQdWJsaXNoZXIy MjMxMzg=