[datensicherheit.de, 19.09.2019] Die Digitalisierung stellt die Gesundheitsbranche offensichtlich immer wieder vor Herausforderungen – so auch im neuesten bekanntgewordenen Fall, bei dem millionenfach hochsensible medizinische Patientendaten ungeschützt im Netz gelandet sind. Schon 2017 habe eine Studie der Unternehmensberatung Roland Berger nachweisen können, dass bereits 64 Prozent der Kliniken mindestens einmal von einem Hacker-Angriff betroffen gewesen seien. Hans-Peter Bauer, „Vice President Central Europe“ bei McAfee, geht in seiner Stellungnahme auf die Herausforderungen ein, welchen sich Krankenhäuser im Umgang mit Cyber-Kriminalität stellen müssten, und zeigt Lösungsansätze auf.

Abbildung: McAfee

McAfee-Bericht „Gefahren für das Gesundheitswesen – Cyber-Kriminelle nehmen das Gesundheitswesen ins Visier“

Oftmals noch Gefahr der Cyber-Kriminalität unterschätzt

„Medizinische Daten sind durch ihre Sensibilität wertvoll. Oftmals wird die Gefahr von Cyber-Kriminalität unterschätzt, da sie fernab vom alltäglichen Leben lokalisiert wird. Die Gefahr ist jedoch für jeden real. Wenn man die letzten drei, vier Jahre etwa zusammennimmt, hat sich die Anzahl der Angriffe verdoppelt.“

Darkweb: Illegaler Handel mit Patientendaten

McAfee habe bei einer Untersuchung feststellen können, dass im sogenannten Darkweb bereits illegal mit Patientendaten gehandelt werde und eine aktive Nachfrage für diese bestehe. Der Paketpreis für solche Datensätze habe sogar über dem Großmarktpreis für Kreditkartendaten gelegen. Auch Erpressungen seien ein boomender Geschäftsbereich.

Gefahr durch Ransomware

Mögliche Risiken seien unter anderem, dass Unbekannte die Server und Datenbanken von Krankenhäusern verschlüsseln könnten, so dass das Personal nicht mehr auf benötigte Dateien zugreifen könne. Bauer betont: „Diese sind jedoch für die bestmögliche Versorgung von Erkrankten unerlässlich.“

Krankenhäuser müssen Präventivmaßnahmen ergreifen

„Daher müssen Krankenhäuser Präventivmaßnahmen ergreifen, um die Wahrscheinlichkeit eines Datendiebstahls zu verringern. Um die Innovationen, die sich hierdurch ergeben, nicht auszubremsen, können Sicherheitslösungen von IT-Dienstleistern unterstützend wirken, beispielsweise durch den aktiven Schutz der Daten in der Cloud.“ Dafür müssten jedoch alle Beteiligten zunächst die dazugehörigen Risiken verstehen und in die digitale Sicherheit der Patienten investieren.

Weitere Informationen zu Thema:

BR24, 17.09.2019
Millionenfach Patientendaten ungeschützt im Netz

Roland Berger, Juli 2017
Krankenhausstudie 2017

McAfee
Bericht: Gefahren für das Gesundheitswesen / Cyber-Kriminelle nehmen das Gesundheitswesen ins Visier

datensicherheit.de, 19.09.2019
Patientendaten: Luxemburg forciert sicheren Austausch

datensicherheit.de, 18.09.2019
Öffentlich zugänglich Patientendaten: Was Unternehmen nun lernen sollten

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

[datensicherheit.de, 30.04.2019] Die Gesundheitsbranche hat sich im Zuge der Digitalisierung stark verändert und Unternehmen sind darauf angewiesen, ihre Prozesse im Hinblick auf neue Wettbewerbsbedingungen zu optimieren. Die Nachfrage nach neuartigen Leistungen wie personalisierter Medizin steigt und die zunehmende Verlagerung des Geschäfts in den Consumer-Bereich hat den Konkurrenzdruck erhöht. Patienten haben heute die Wahl zwischen zahlreichen Anbietern.

Digitale Transformation ist für Pharma- und Healthcare-Unternehmen eine große Chance

Wer bei der Entwicklung von Medikamenten oder medizinischen Geräten gegen Richtlinien verstößt, setzt nicht nur viel Geld und seinen Ruf aufs Spiel, sondern auch die Gesundheit des Patienten. Umso entscheidender ist es also für Unternehmen, auf modernste Hilfsmittel zurückzugreifen, die sie dabei unterstützen. Oft setzen Firmen bei der Dokumentation und Validierung aber noch auf papierbasierte Lösungen. Doch selbst die immer weiter verbreitete Computer System Validation (CSV) gestaltet sich oft langwierig und kompliziert. Dabei vergehen vom Zeitpunkt der Entdeckung eines Wirkstoffs bis zur Genehmigung eines Medikaments in der Regel mindestens zehn Jahre. Die Kosten für die Entwicklung gehen nicht selten in die Milliarden. Effizienzoptimierung war in der Branche also noch nie so wichtig wie heute. Die digitale Transformation ist für Pharma- und Healthcare-Unternehmen eine große Chance, ihr Potenzial voll zu entfalten und sich langfristig auf einem hart umkämpften Markt zu behaupten. Ying Lei Product Marketing Manager, Application Lifecycle Management Portfolio, bei Micro Focus gibt vier Tipps zur Anwendung neuer Technologien.

1. Electronic Record Management
   Die papierbasierte Datenverwaltung hat viele Nachteile: Inkonsistenzen sind quasi vorprogrammiert, es kommt sehr wahrscheinlich zu Duplikaten und die Suche nach Informationen gestaltet sich schwierig. All das lässt sich mit einer digitalen Lösung umgehen. Wichtig ist dabei, dass die Software automatisch Audit Trails für alle Veränderungen speichert – das spart viel Aufwand bei der Änderungsnachverfolgung. Ein Workflow mit integrierter elektronischer Signaturfunktion ist unverzichtbar, wenn elektronische Daten direkt zur Prüfung eingereicht werden sollen. Das Zertifikat ISO 27001/ISO 27034 deutet zudem auf einen hohen Sicherheitsstandard hin.
2. Von GAMP 5 zur Continous Validation
   Auf der ganzen Welt nutzen Unternehmen den GAMP-5-Leitfaden für die CSV. Wenn der GAMP-5-Validierungsprozess mit der Wasserfall-Methode durchgeführt wird, kann sich die Validierung für ein On-Premise-System über Monate ziehen. So werden Probleme oft erst sehr spät entdeckt. Werden dann Änderungen vorgenommen, ist eine erneute Validierung erforderlich. Dieser Prozess bremst Healthcare-Unternehmen massiv aus. In allen Branchen sind agile Konzepte wie DevOps auf dem Vormarsch. Vor diesem Hintergrund hat sich die Continous Validation bewährt. Dazu sind entsprechende Pipelines erforderlich, mit deren Hilfe Tests bei jeder Änderung automatisch durchgeführt werden. Dieser Prozess kann beliebig oft wiederholt werden – wodurch jede Validierung innerhalb weniger Tage, in manchen Fällen auch weniger Stunden oder Minuten, abgeschlossen ist. Der Ansatz liefert alle erforderlichen Nachweise für die Validierung, da in jedem Schritt nachvollziehbar ist, was zu welchem Zweck ausgeführt wird. Alles, was man dafür braucht, ist ein Reporting Tool, das die Daten für einen Audit in Form bringt.
3. „Shift Left“ für Sicherheits- und Leistungstests
   Sicherheit und Verfügbarkeit spielen für Computersysteme im Gesundheitswesen eine ganz besondere Rolle. Wie auch immer die genutzte Software durch GAMP 5 klassifiziert ist: Sicherheit und Performance sind bei der Validierung von zentraler Bedeutung. In der Regel ist diese aber schwierig zu bewerkstelligen und wird daher oft auf eine späte Phase des Validierungsprozesses verschoben. Dabei sind Sicherheit und Performance absolut maßgebliche Faktoren für Healthcare-Systeme. Bei der dargestellten Implementierung der Continous Validation ist es wichtig, Sicherheits- und Performancevalidierung in die Pipeline zu integrieren – von der ersten bis zur letzten Stufe. Durch die frühzeitige Erkennung von Problemen lässt sich die unnötige Wiederholung von Validierungsschritten vermeiden.
4. Entwicklungsdaten konsolidieren
   Datenbasierte Insights gehören zu den wichtigsten Verheißungen der digitalen Transformation. Unter den unzähligen Datentypen, die im Healthcare- und Pharmabereich anfallen, gehören Forschungs- und Entwicklungsdaten zu den wertvollsten. Diese sollten mit einem Management-System gehandhabt werden. Meist müssen medizinische Geräte oder Medikamente an verschiedensten Orten getestet werden, was die Datenkonsolidierung zur Herausforderung macht. Besonderen Wert sollte man dabei auf einen mobilen Client legen, der für Testzwecke an jeden Ort mitgenommen werden kann und offline funktioniert. Die Datenkonsolidierung wird dadurch wesentlich unkomplizierter.

Fazit

Gerade die hochkomplexe Gesundheits- und Pharmaindustrie hat das Potenzial hat, durch die digitale Transformation zu gewinnen. Mit der Einführung eines elektronischen Aktenmanagements, der Implementierung von Coninous Validation, eines „Shift Left“ für Sicherheits- und Leistungstests sowie der Konsolidierung von Entwicklungsdaten gehen Gesundheitsunternehmen einen wichtigen Schritt dahin. So profitieren sie langfristig von besserer Effizienz und einer vollständigeren Sicht auf die Daten des gesamten Produktlebenszyklus.

Weitere Informationen zum Thema:

datensicherheit.de, 26.11.2018
Gesundheitsdienstleister müssen IT Sicherheit hohe Priorität einräumen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich