Das Fachthema 4 – digitale Sicherheit und Resilienz: notwendig für Vertrauen und entscheidend in Krisen stand im Brennpunkt beim 5. PRAEVENIRE Digital Health Symposion am 21. April und sorgte für spannenden Diskussionsstoff.
Mag. Dora Skamperls
PERISKOP-Redakteurin
Der zweite Themenblock am 21. April stand ganz im Zeichen der Sicherheitsaspekte im Umgang mit Patientendaten. Die Keynoter waren sich einig: Hier entsteht ein Paradoxon, denn die Maßnahmen zum Datenschutz sollen dem Schutz von Patientinnen und Patienten dienen, richten aber auf der anderen Seite enormen Schaden an. Wenn Forschung behindert wird, leiden erkrankte Menschen darunter, was nicht im Sinne der Beteiligten sein kann. Im Themenbereich „Digitale Resilienz“ wurde für die enormen Risiken im Bereich der kritischen Infrastruktur sensibilisiert.
Forschung durch Datennutzung ermöglichen
Zum ersten Thema „Digitale Datensicherheit: Ist Zustand des Schutzes der PatientInnendaten/MitarbeiterInnendaten — wie gut sind meine Daten als PatientIn/MitarbeiterIn heute geschützt und welche Risiken bestehen?“ startete Angelika Widhalm, Vorstandsvorsitzende Bundesverband Selbsthilfe Österreich (BVSHOE), mit ihrer Keynote aus Sicht von Patientinnen und Patienten. „Der derzeitige Datenschutz ver- oder behindert wissenschaftliche Auswertungen und das Forschen bei Erkrankungen. Wir sind sehr offen, diesbezüglich etwas zu ändern. Allerdings ist sehr wichtig, dass Daten immer zum Vorteil der Patientinnen und Patienten genutzt werden“, so Widhalm, und geht noch weiter: „Wir müssen die Möglichkeit schaffen, dass ein Datenaustausch auch überregional in Europa stattfinden kann, damit die österreichischen Patientinnen und Patienten nicht abgehängt werden.“ Gerade bei Seltenen Erkrankungen gebe es sowohl in der Forschung als auch Versorgung große Probleme, wenn eine europaweite Datennutzung nicht möglich sei. Dazu sei aber zunächst innerhalb Österreichs eine optimale Verknüpfung der Daten zwischen Spitälern und dem niedergelassenen Bereich Voraussetzung. Die wenigen in Europa angesiedelten Expertisezentren für Seltene Erkrankungen müssten das Recht und die Möglichkeit haben, Daten von Patientinnen und Patienten abzurufen.
Höchste Gefahrenstufe im Gesundheitsbereich
Univ.-Ass. Dr. Žiga Škorjanc, Universitätsassistent Post Doc und Habilitand am Institut für Innovation und Digitalisierung im Recht der Universität Wien, Geschäftsführer der lexICT, beleuchtete das Thema aus der Perspektive der Rechtswissenschaften. Cyberbedrohungen im Gesundheitsbereich erreichen eine Gefahrenstufe, die höchste Aufmerksamkeit erfordert, stellte Škorjanc eingangs klar. Im Gesundheitsbereich sei es nicht so einfach möglich, ganze Systeme vom Netz zu nehmen, eine eingehende Analyse durchzuführen und Risiken völlig auszuschalten – denn es hängen Leben davon ab, dass die Systeme weiterlaufen. Er definierte u. a. eine wichtige Maßnahme, um auf technischer Seite Datensicherheit herzustellen: Netzwerkfragmentierung, die die Abschaltung einzelner Systemteile ermöglicht, ohne die anderen zu beeinträchtigen. Ab nächstem Jahr wird auf rechtlicher Seite per Bundesgesetz der Anwendungsbereich, auf den sich kritische Infrastruktur erstreckt, drastisch ausgeweitet – hier werden auch größere Arztpraxen und PVE miteingeschlossen sein. Selbst im Bereich der Medizinprodukte und Pharmaprodukte werden viele Anforderungen hinzukommen.
Nutzen muss größer als Risiko sein
Als dritter Speaker sorgte Dr. Franz Leisch, Chief Digital Officer des gemeinnützigen Vereins PRAEVENIRE, für gespannte Aufmerksamkeit. Er erzählte einige Praxisbeispiele aus seiner fünfjährigen Periode als Leiter der ELGA GmbH. Jede Arztpraxis und jede Gesundheitseinrichtung muss ein IT-Sicherheitskonzept haben, was bei kleineren Einheiten gar nicht so selbstverständlich sei, so Leisch. Er fordert Schulungen für Einzelordinationen oder kleine Gruppenpraxen, um diese Sicherheitskonzepte auch umsetzen zu können. „Usability und Datensicherheit müssen zueinanderpassen. Zu komplizierte Sicherheitssysteme werden nicht angenommen, und der Patient oder die Patientin will einfach behandelt werden. Es wird hier ein Abwägen geben müssen“, so Leisch. Als Beispiel nannte er das Aussetzen des Steckens der e-card während der COVID-19-Pandemie für die telefonische Verschreibung. Damit fiel die Zwei-Faktor-Authentifizierung flach und die Ärztesoftwares mussten in kürzester Zeit umgestellt werden. „Jeder hier im Raum wird sagen: In der Verhältnismäßigkeit hat es damals gepasst.“ Nach einem weiteren Praxisbeispiel scherzte Leisch: „Es gab ja sogar die Diskussion, ob die Verwendung von Office 365 DSGVO- konform ist.“ Er schloss mit der Anekdote, als er seinerzeit in einem Interview gefragt wurde: „Herr Leisch, können Sie die hundertprozentige Sicherheit von ELGA garantieren? Und ich habe geantwortet: Nein, kann ich nicht – aber der Nutzen ist viel größer als das Risiko.“
Datennutzung vs. Datensouveränität
Lukas Helminger, MSc, Geschäftsführer und Co-Founder der TACEO GmbH, sprach über das Thema „Secure Data Collaborati- on – Die Zukunft des Datenmanagements im Gesundheitswesen“. Seine Firma beschäftigt sich mit Privacy-Enhancing Technologies. Auch er betont die Schere zwischen notwendiger und sinnvoller Datennutzung gegenüber Datenschutz bzw. Privacy. Privacy-Enhancing Technologies können dabei helfen, die „Verstümmelung“ von Daten so weit zu reduzieren, dass eine Nutzung für die medizinische Forschung möglich wird. Wichtig dabei ist, dass alle teilnehmenden Organisationen ihre Datensouveränität behalten.
Die Keynote von Prof. Dr. Juliana Bowles, Professorin in Computer Science an der University of St Andrews, UK, und Research Managerin am Software Competence Center Hagenberg, beschäftigte sich mit einem großen internationalen Forschungsprojekt mit dem Ziel, Gesundheitsdaten europaweit mit höchstmöglicher Sicherheit zu verknüpfen bzw. verfügbar zu machen. Es geht dabei um Systeme, die eine Möglichkeit von Schnittstellen schaffen, um Daten aus verschiedenen Quellen, Systemen und Ländern miteinander zu verknüpfen. Einerseits handelt es sich bei Gesundheitsdaten um hochsensible Daten, andererseits sollen diese grenzübergreifend nutzbar gemacht werden. Dies wurde anhand etlicher konkreter Use Cases erarbeitet. Hier werden mithilfe von Synthetic Data u. a. die individuellen Meinungen einzelner Patientinnen und Patienten abgefragt. Auch können auf diese Weise unterschiedliche medizinische Methoden und Behandlungsformen in verschiedenen Ländern erkannt und analysiert werden.
Cyber Crime ist Geschäftsmodell geworden
Der Themenkreis „Cyber Security: Messgeräte und Implantate – wie können Online-Messgeräte und Implantate gegen Angriffe, Internetausfälle und Software-Versagen geschützt werden?“ begann mit der Keynote von Michael Swoboda von der Sparte Information und Consulting der Wirtschaftskammer Wien.
„Cyberkriminalität ist mittlerweile ein riesiges Geschäftsmodell geworden. Wir haben in den letzten zehn Jahren knappe 600 Prozent Anstieg der Fälle“, erläuterte Swoboda. „So gibt es mittlerweile nur noch eine Frage – nicht, ob es mich treffen wird, sondern wann.“ Es gebe eine extrem hohe Dunkelziffer, so Swoboda. Man gehe davon aus, dass die Zahl abseits der über 60.000 angezeigten Fälle um den Faktor 4 höher sei. Cyberkriminialität werde inzwischen als Dienstleistung im Internet angeboten – wenn man die Zugänge zum Darknet kenne. Die Leistungen seien nicht einmal besonders kostenintensiv, ab 1000 Euro sei man schon dabei. Die größte Sicherheitslücke sei der Mensch selbst, erklärt Swoboda. Daher sei es so wichtig, Mitarbeiterinnen und Mitarbeiter sowie Führungskräfte ständig am Laufenden zu halten und in Cyber Security zu schulen.
IT-Systeme könnten durch Schulung und Qualifizierung aller Beteiligten wesentlich sicherer gemacht werden, ohne technisch etwas am System zu verändern. Für den Fall der Fälle braucht jede Firma, egal in welcher Größe, einen Notfallplan. Dieser könne auch einfach gestaltet sein – zum Beispiel: „Was sind die fünf ersten Schritte, die ich in dieser Paniksituation sofort umsetzen muss?“
Hohe Anforderungen an die digitale Zukunft
Ing. Franz Hoheiser-Pförtner, MSc, Vorstandsmitglied von Cyber Security Austria, referierte in seiner Keynote über die zukünftigen Risiken in einer immer stärker digitalen medizinischen Versorgung. Er wies darauf hin, dass bereits 2008 Herzschrittmacher gehackt wurden, das Problem also keineswegs neu sei. Es werde in Zukunft jedoch noch viel weitergehen. „Es ist moderne Erpressung: Früher war es das Schutzgeld auf der Straße, jetzt ist es das Schutzgeld im Internet“, warnte Hoheiser-Pförtner. Dies sei ein Bedrohungsbild bei jeder digitalen Vernetzung. Es reiche nicht mehr aus, einzelne Hard- und Softwarekomponenten als Risikofaktoren zu betrachten.
Je komplexer Systeme werden, umso besser müssen auch die damit befassten Personen ausgebildet und geschult werden. Die von der EU verabschiedete NIS-2-Richtlinie zur Cybersicherheit müsse von allen Mitgliedsstaaten spätestens im Herbst 2024 umgesetzt sein. Das Gesundheitswesen fällt hier in die höchste Sicherheitsstufe. Neu ist auch, dass im Fall einer Nichteinhaltung auch hohe Bußgelder verhängt werden können – bis zu 10 Mio. Euro oder zwei Prozent vom Jahresumsatz.
DI (FH) Rainer Kloimstein, Chief Information Security Officer (CISO)/Datenschutzbeauftragter der Oberösterreichischen Gesundheitsholding GmbH, ließ mit seiner Keynote zum Thema „Herausforderungen für Spitäler – welche Angriffe auf Spitäler dominieren derzeit, was ist konkret gefährdet und wie können sich Spitäler schützen?“ keinen Zweifel über die Brisanz der Situation offen. Wie das Bei- spiel des größten Krankenhauses in Barcelona zeige, gehen Cyberkriminelle mittlerweile dazu über, Daten im Darknet zu veröffentlichen, wenn ihren Forderungen nicht nachgegeben werde. In den USA wurden im Zuge einer Erpressung Fotos von Brustkrebspatientinnen veröffentlicht. In Frankreich gebe es daher Regularien, die ein Bezahlen von Lösegeldern in solchen extremen Fällen erlauben. In Österreich wurden die Kärntner Landesregierung und die MedUni Innsbruck gehackt. Gerade im Gesundheitsbereich entstehe durch eine besonders perfide Art der Erpressung ein hohes Sicherheitsrisiko für Patientinnen und Patienten, nämlich die bewusste Verfälschung von Daten. Damit sei die Gefahr von Falschbehandlung erhöht. Die letzte Verteidigungslinie, nämlich das komplette Trennen vom Netz, sei in Zeiten von Cloud-Lösungen nicht mehr ausreichend. „Die Cloud ist nicht nur Segen, sondern auch Fluch“, so Kloimstein, Offline verfügbare Dokumentation, das Vier-Augen-Prinzip bei der Implementierung, ein ISMS-System mit regelmäßigen Audits und Schulungen aller Beteiligten seien wesentliche Faktoren für die Cyber-Sicherheit. Das Durchspielen und Üben unterschiedlicher Modellsituationen und der Maßnahmenkette im Ernstfall sei ebenso unerlässlich, um darin Routine aufzubauen.
Die Firma von Manfred Scholz, Geschäftsführer der SEC4YOU Advanced IT-Audit Services GmbH, befasst sich mit IT-Revision und IT-Beratung auf internationaler Ebene. „Wir müssen es schaffen, die Kontrolle über Schadensereignisse zu erhalten. Derzeit haben wir sie nicht. In der Risikoprävention dreht sich alles um den Kern Risikomanagement“, warnte er in seiner Keynote. Regelmäßige Wirksamkeitsprüfungen von Maßnahmen seien unbedingt erforderlich, um ständig am Ball zu bleiben. Denn: Die Mehrheit aller weltweiten Sicherheitsvorfälle wird durch menschliches Versagen ausgelöst.
Auch analog auf Blackout vorbereiten
Der Themenblock „Digitale Resilienz: Blackout – digitale Resilienz ganz analog oder tot?“ startete mit der Keynote von Herbert Saurugg, MSc, internationaler Blackout- und Krisenvorsorgeexperte und Präsident der Österreichischen Gesellschaft für Krisenvorsorge. Der Begriff Resilienz werde mittlerweile inflationär verwendet und meistens mit Widerstandsfähigkeit übersetzt, begann Saurugg. Doch es gehe um viel mehr, denn „wenn ein Schaden bereits eingetreten ist, geht es um die Frage, wie kann ich damit umgehen? Wir müssen aber unsere Antizipationsfähigkeit nutzen und daraus lernen, bevor der Schaden eintritt.“ Daher seien weniger Widerstandsfähigkeit als Lernen und Anpassungsfähigkeit die wesentlichen Treiber für Resilienz. Der temporäre Stromausfall in einigen Häusern würde medial bereits als Blackout bezeichnet, auch das sei eine inflationäre Nutzung eines Schlagworts. Es gehe dabei vielmehr um einen überregionalen, längerfristigen Stromausfall mit einem daraus folgenden Ausfall von Infrastruktur und Versorgung. Dies betrifft natürlich auch das Gesundheitswesen als hoch kritische Infrastruktur. Die Pandemie habe alle eines Besseren belehrt, die meinten, ein solcher Fall könne kaum eintreten. Digitale Vernetzung werde dann nicht mehr funktionieren, daher müsse man sich auch analog auf den Krisenfall vorbereiten. In Österreich würde ein totaler Stromausfall in etwa 30 Stunden in Anspruch nehmen. Seit der Blockade des Suezkanals ist es klar, was ein größerer Zusammenbruch der Lieferketten bedeutet. In erster Linie gelte es aber, dass sich das Personal – auch privat – auf einen solchen Fall vorbereitet, denn ohne Personal kann der Krisenfall nicht bewältigt werden.
Mag. Markus Schober, Landtagsabgeordneter und Vertreter der Wiener Bildungsakademie, bekräftigte, dass es in den letzten Jahren schon viele Anstrengungen gegeben habe, sich gut auf einen möglichen Blackout vorzubereiten. „Wenn wir uns den Sicherheitsbericht des Bundesheers anschauen, wird klar, dass wir in den nächsten fünf Jahren zu 100 Prozent einen Blackout haben werden“, so Schober. Es sei daher wichtig, sich darauf vorzubereiten. Alternative Kommunikationsmethoden und -systeme seien eine vorrangige Aufgabe. „Wie kann ich das, was ich unbedingt brauche, am besten schützen? Darauf müssen wir uns im Ernstfall konzentrieren“, so Schober. „Plan- spiele können wir uns sparen, wenn wir von Blackout-Übungen sprechen. Es geht darum, die Menschen auf die reale Situation vorzubereiten.“ Schober schloss mit den Worten: „Wir können es uns nicht mehr leisten, weder gesellschaftlich noch finanziell, uns nicht auf den Ernstfall vorzubereiten.“
Vorbereitung ist von zentraler Bedeutung
Mag. Maria Troger von der Schiefer Rechtsanwälte GmbH referierte über ihre Spezialgebiete Konzeption und Umsetzung diffiziler Projekte in den Bereichen PPP und Kooperationen, Innovation und Gesundheit. In Krisenfällen gehe es auch darum, einen verlässlichen Partner an der Seite zu haben, der im Krisenfall zur Seite stehe und helfe, diesen zu bewältigen. Dies sei auch in den Vergabeverfahren der öffentlichen Hand zu berücksichtigen. Vergabeverfahren mit Berücksichtigung innovativer, kleinerer Anbieter seien zwar teurer, könnten aber für wesentlich bessere Ergebnisse sorgen.
Bastian Stockhausen, Bereichsleiter Medizintechnik & IT, Evangelisches Krankenhaus Gelsenkirchen, begann seinen Vortrag mit der Feststellung: „Jedes dritte von Cyberangriffen betroffene Unternehmen ist aus der Gesundheitsbranche. Die Bedrohungslage ist so hoch wie noch nie.“ Gerade auch durch den Krieg in der Ukraine sei diese noch weitergewachsen. Jedes Unternehmen im Gesundheitswesen verzeichnet rund 1700 Angriffe pro Tag, wobei nur ein Bruchteil tatsächlich schädliche Folgen hat. Eine große Einheit wie ein Krankenhaus müsse sich auch überlegen, ob es tatsächlich am Ende günstiger sei, sich nicht genug vorzubereiten, als im Ernstfall wochenlang nicht handlungsfähig zu sein. Der wichtigste Punkt für das Gesundheitswesen sei also: „Man muss sich so gut vorbereiten, dass aus einem IT-Notfall kein medizinischer Notfall wird.“
Abonnieren Sie PERISKOP gleich online und lesen Sie alle Artikel in voller Länge.
