Wir haben es gerade erlebt: Besondere Zeiten erfordern besondere Maßnahmen. So lässt es sich wohl am ehesten beschreiben, was in kritischen Zeiten mit der Datensicherheit passiert.

Notverordnungen stehen teilweise im krassen Widerspruch zu anderen Verordnungen und Gesetzen. Auf einzelne Maßnahmen zur Datensicherheit wird gleich ganz verzichtet. Dabei könnten sich Verhaltensweisen einschleifen, die sich auf lange Sicht sehr kritisch entwickeln und das Krankenhaus dauerhaft gefährden können. Doch es gehört ein inzwischen recht umfangsreiches Arsenal an Ausrüstungen zum umfassenden Schutz der Mitarbeiter.

Datensicherheit im Home Office

Das Home Office, also die gute alte Heimarbeit, ist für Ärztinnen und Pflegepersonal zunächst schwer vorstellbar. Doch lassen auch einige Prozesse aus dem Krankenhaus eine Arbeit im Home-Office zu. Grundsätzlich liegt es jedoch nahe, möglichst alle Prozesse im Krankenhaus zu lassen. So, wie sich ein Chirurg nur schwerlich Arbeit mit nach Hause nehmen kann, sollten dies auch nur wenige ausgewählte andere Mitarbeiter dürfen – und dann auch nur unter bestimmten Voraussetzungen.

Die Server sind mit Firewalls abgesichert. Oft verlassen sich Administratoren allerdings auf die Fähigkeiten des Betriebssystems hinsichtlich der Firewall und einer Anti-Malware-Lösung, also einer Anti-Viren-Software. Das ist jedoch allenfalls ein Basiselement der Datensicherheit. Besonders schützenswerte Daten können auch durch eine Hardware-Komponente abgesichert werden, die die Rechenlast für die Überprüfung des ein- und ausgehenden Traffics vom Server nimmt. Die größte Gefahr besteht schließlich in der Einschleppung von Schadsoftware auf völlig legalen Wegen, also beispielsweise von einem verseuchten Mitarbeiter-Rechner.

Sicherheitsprotokolle bei der Übertragung müssen serverseitig implementiert und clientseitig verstanden werden. Das heißt, wenn die Verschlüsselung der Verbindungen mit TLS über SLL hergestellt wird, sollten die Client-Applikationen diese Verschlüsselungstechnologien unterstützen.

Wenn Mitarbeiter mit einem eigenen PC oder Mac vom Home-Office aus online gehen sollen empfehlen Experten inzwischen, für die Verbindung zum Server eine Zwei-Wege-Authentifizierung. Das heißt, der Login wird neben einem Passwort durch einen zweiten Code auf ein anderes Gerät abgesichert. Oft ist das eine Push-Nachricht auf das Handy. Eher unglücklich sind Lösungen, bei denen dieser Code auf dem gleichen Kanal bzw. Gerät übertragen wird. Geeignete Lösungen kommen zudem von unabhängigen Anbietern, das heißt, die Authentifizierung wird mit der Technik eines Anbieters als dem, von dem die Software für den Remote-Access oder die gegebenenfalls zu nutzende Cloud-Umgebung kommt, realisiert. Eine große Gefährdung der Sicherheit liegt allerdings in zwei Bereichen, zum einen die Benutzung mitgebrachter Geräte und zum anderen die Benutzung von nicht zertifizierter Software. Viele Sicherheitsmaßnahmen lassen sich mit geringem Aufwand mit Bordmitteln und Industriestandard-Tools einrichten.

Vermeiden nicht geprüfter Werkzeuge

Erfordert z.B. eine Gesamtsituation, dass einige Mitarbeiter vom Home-Office aus arbeiten – und kann auch einfach das über mehrere Tage anhaltendes schlechtes Wetter sein, bei dem z.B. der Verkehr stark eingeschränkt ist – so kommen viele Anwender auf die Idee, eine beliebige Lösung für Videokonferenzen einzusetzen. Während schon in der alltäglichen Arbeit immer neue Kommunikationsformen für Chats, Groupware und Terminabsprachen entdeckt und für eine Zeit genutzt werden (um ebenso rasch in Vergessenheit zu gerate), können firmenweit genutzte, nicht ausreichend geprüfte Tools Schaden anrichten

Mit der Verteilung der Arbeit auf verschiedene Standorte – aus welchen Gründen auch immer – kommt sofort das Bestreben der Mitarbeiter, sich zu vernetzen. Schnell werden die verschiedensten Collaboration-Tools ausprobiert und Einladungen fliegen hin und her – mal für dieses Portal, mal für jenes. Die meisten dieser Tools sind sehr charmant und erlauben das Anlegen von Diskussionen und unterstützen diese durch die Einbindung von Grafiken und anderen Dokumenten. Manche lassen sogar die Bearbeitung von Dokumenten zu. Diese Tools können, wie auch die Tools für Video-Konferenzen, einerseits die Sicherheit der Krankenhaus-IT kompromittieren. Andererseits stellen sie eine Belastung für die Infrastruktur dar. Jedes Tool legt seine eigenen Dateien ab – es entsteht ein unüberschaubarer Zoo an Tools. Auch daraus kann sich ein Sicherheitsleck ergeben.

Im ungünstigsten Fall werden neue Versorgungsangebote – beispielsweise für eine Video-Sprechstunde  auf der Basis eines Web-Konferenz-Dienstes entworfen – ohne diesen Service tiefgehend geprüft zu haben. Sicherheitsexperten warnen beispielsweise vor Lösungen, bei denen Video- oder Sprachdaten über Ports laufen, die im Grunde nicht dafür vorgesehen sind. Es wird dann vom „tunneln“ von Signalen gesprochen. Es ist bequem und wahrscheinlich für den privaten Gebrauch irrelevant, wenn Video und Audio über HTTP getunnelt wird, aber spätestens, wenn sich Server mit sensiblen Daten im Netzwerk befinden, öffnet man damit ein Scheunentor für Schadsoftware. Da diese nun völlig legal ins System eindringt, beginnt eine Hochleistungsschicht für die Kollegen, die für die IT-Sicherheit verantwortlich sind.

Auch sinnvolle administrative Entscheidungen dürfen die bestehenden Richtlinien und gesetzlichen Vorgaben nicht verletzen. So gab es im Zuge der Coronavirus-Pandemie immer wieder Fälle, wo eine direkte Verletzung des Datenschutzes gemäß der DSGVO „angeordnet“ worden ist. Im einfachsten Beispiel werden Helfer hinzugezogen, die nicht zur Geheimhaltung hinsichtlich der Patientendaten vergattert werden. Das mag für die Arbeit des medizinischen Personals nahezu unumgänglich sein, birgt aber die Gefahr, dass sich (Kommunikations-) Prozesse etablieren, die über die Krisensituation hinaus aufrecht erhalten werden. Dann drohen dem Krankenhaus mittelfristig Strafen, denn gerade die Daten über die Gesundheit von Menschen

Fazit: Sicherheit nicht außer Acht lassen

Sicherheitslücken können an den unterschiedlichsten Bereichen des Krankenhauses entstehen. Während die Zugangssicherheit in den meisten Häusern gewährleistet ist, bietet die IT generell viele verschiedene Ansatzpunkte für Sicherheitsverletzungen. Diese sollten auch in besonderen Situationen wie der Coronavirus-Pandemie nicht außer Acht gelassen werden.

Datensicherheit wird auch durch das Personalmanagement unterstützt. Ein gutes Management der Station basiert auf einem perfekt gepflegten Kalender mit Pufferzeiten – und immer häufiger mit den entsprechenden Berechtigungen für die Mitarbeiter. Noch gibt es wenige Lösungen, die Personalverwaltung, Personaleinsatzplanung und IT-Berechtigungen unter einem Dach vereinen.

Im Grunde ist es bei Bedrohungen für die IT jedoch genau so wie auch in anderem Kontext: Den besten Schutz liefern nun einmal Verhütung oder Enthaltsamkeit.