Cloud-Computing für Ärzte – geht vielleicht doch?
Um Datensicherheit im medizinischen Bereich bei voller Bewegungsfreiheit zu gewährleisten, müssten bestimmte Sicherheitsrisiken der Vernetzungstechnik komplett ausgeschaltet werden. Denn Public Clouds und Auftragsdatenverarbeitung sind für Ärzte je nach Betrachter ein No-go oder zumindest eine heikle Angelegenheit. Schon das Vernetzen und sogar die Datenspeicherung selbst sind kritisch, was die Datensicherheit betrifft.
Dazu kommt, das die gesetzlichen Bestimmungen des § 203 StGB zur Schweigepflicht problematisch sind: Nach der Auslegung vieler Datenschützer zählen IT-Dienstleister keineswegs zu den Erfüllungsgehilfen des Arztes und dürften deswegen unter keinen Umständen Einsicht in Patientendaten bekommen. Eine Unterschrift unter eine Geheimhaltungsvereinbarung ist dabei unerheblich: Bereits der ITler selbst ist eine Person, die unberechtigt Einblick erhält. Entweder Sie stehen also in Zukunft immer neben Ihrem ITler und achten darauf, dass er auf keinen Fall Patientennamen oder Akten zu Gesicht bekommt - oder Sie müssen die IT in Zukunft selbst machen ...
- Dr. Spalka, inwiefern ist das "Zeitalter der Vernetzung" eine spezielle Herausforderung für IT-Sicherheitsexperten im Gesundheitsbereich?
- Aber kann es denn überhaupt eine Lösung geben, die gegen die Risiken der digitalen Vernetzung gefeit ist und sogar präventiv gegen mildere Datenschutz-Gesetzgebung immunisiert?
- weitere Inhalte
Um das Dilemma zwischen Gesetzeslage und Realität zu entschärfen, könnte man natürlich die gesetzlichen Anforderungen herunterschrauben – was auch ernsthaft diskutiert wird. Man könnte aber auch nach technischen Antworten suchen, um den Herausforderungen im Zeitalter der Vernetzung zu begegnen.
Dr. Adrian Spalka, Corporate Head of IT-Security der CompuGroup Medical AG und Privatdozent für Sicherheit von Informationssystemen an der Universität Bonn, versucht das bereits seit einigen Jahren. Und er glaubt, jetzt zu einer guten Lösung gekommen zu sein.
Dr. Spalka, inwiefern ist das "Zeitalter der Vernetzung" eine spezielle Herausforderung für IT-Sicherheitsexperten im Gesundheitsbereich?
Dr. Spalka: Wer sich vernetzt, bietet Angriffsfläche: Es kommen IT-Dienstleister ins Spiel, die Daten werden übers Netz durch die ganze Welt geschickt und sie werden in grossen Mengen in Rechenzentren gesammelt.
Meine Aufgabenstellung vor fünf Jahren lautete: Bauen Sie uns ein System für die Speicherung von Patientenakten, das nicht nur heute den Schutz der Daten garantiert, sondern auch dann noch sicher ist, wenn sich die Gesetzeslage drastisch verändert und der Staatsanwalt alles auf einmal beschlagnahmt – also den Produktionsserver einschliesslich des Serveradmins, sogar der Programmierer wird mitgenommen. Gesucht war also so etwas wie ein technischer Beschlagnahmeschutz, korrespondierend zum gesetzlichen Beschlagnahmeschutz.
Aber kann es denn überhaupt eine Lösung geben, die gegen die Risiken der digitalen Vernetzung gefeit ist und sogar präventiv gegen mildere Datenschutz-Gesetzgebung immunisiert?
Dr. Spalka: Wir glauben, ja. Erinnern Sie sich, wie die Arztpraxis in der "alten Welt", also in einer Welt ohne Computer gearbeitet hat? An welchen Stellen konnten Patientendaten gestohlen werden? Durch einen Einbruch zum Beispiel, über Bestechung des Praxispersonals oder auch über Manipulation – wenn sich zum Beispiel eine sonore Stimme am Telefon als Dr. Spalka ausgibt und die Akten vom Patienten xy haben möchte.
Ich denke, dass es machbar ist, trotz IT-Vernetzung auf genau dieses Sicherheitsniveau zurückzukehren: Wir können weiterhin nicht verhindern, dass eine MFA aus Versehen etwas aus der Praxis ausplaudert – aber wir können die erheblichen Sicherheitsrisiken, die durch Vernetzung entstehen, ausbremsen.
Welche Datenschutz-Risiken sind das? Und wie haben Sie das technisch umgesetzt?
Dr. Spalka: Mit hinzugekommenen Risiken, die ausgeschlossen werden können, meine ich Sicherheitslücken in Rechenzentren oder solche, die durch das IT-Personal entstehen, wie auch die Weiterentwicklung der Hacker-Techniken.
Das Prinzip ist einfach: Das Risiko, dass die Praxisdaten abgefischt werden, bleibt grundsätzlich bestehen – aber die Daten können nicht ausgelesen werden. Das geht über bestimmte kryptographische Verschlüsselungen – letztlich keine grossen Geheimnisse, schliesslich muss die Lösung auch funktionieren, wenn die Verfahren z.B. von Hackern genauer unter die Lupe genommen werden. Der einzige Schlüssel, der das Lesen der Daten möglich macht, liegt aber in der Hand des Auftraggebers, also des Arztes, und zwar in Form eines Passwortes oder einer Smartcard.
Das heisst: Die Faktoren, auf die ich als Arzt keinerlei Einfluss habe und denen ich blind vertrauen muss – nämlich Speicherort und Speicherpersonal –, stellen keine Gefahr mehr für meine Daten dar. Lediglich auf den Leseschlüssel muss ich aufpassen – so wie ich auch meinen Praxisschlüssel nicht verlieren darf.
Und wenn der Arzt das Passwort doch mal vergisst oder seine Smartcard verliert?
Dr. Spalka: Ja, auch das war eine Herausforderung. Wir haben eine Lösung gefunden, die in etwa nach dem Pin-und-Puk-Prinzip der Handys funktioniert. Dazu bekommt der Arzt ein Programm auf seinen lokalen Rechner gespielt, der ihm eine Pin und einen Puk produziert. Ausser ihm hat also keiner Kenntnis davon, auch nicht der ITler oder irgendein Admin oder der Hersteller des Programms!
Der Arzt speichert den Puk dann z.B. auf einem Stick, den er im Tresor lagert, und löscht ihn von seinem Computer. Vergisst er seine Pin, kann er sich mithilfe des Puks und des Programms einen neue Pin produzieren. Verliert er seine Smartcard, bekommt er eine leere Smartcard geschickt, die er selbst mithilfe seines Puks mit neuen Schlüsseln bestückt.
O.k. – trotzdem ist kein Passwort so sicher, dass es nicht irgendwann mal geknackt werden könnte.
Dr. Spalka: Ja, grundsätzlich haben Sie damit natürlich recht. Die Frage ist aber, wie viel Aufwand ein Hacker betreiben will. Im Moment müssen Sie einen Server knacken, um sich Zugriff auf die Patientendaten von - sagen wir mal - 10.000 Arztpraxen zu verschaffen, die dort gespeichert sind. Das kann durchaus interessant sein.
Braucht man aber, um diese Daten auch auslesen zu können, noch 10.000 Passwörter oder Smartcards, die an 10.000 verschiedenen Orten ausfindig gemacht werden müssen, wird die Aufgabe wesentlich anspruchsvoller - um nicht zu sagen, nur noch theoretisch lösbar.
Herr Spalka, vielen Dank für das Gespräch!