Interview mit Cybersicherheitsexperte Holger Berens

„Der Mensch ist die größte Schwachstelle“

Natürlich sind Patientendaten hochsensensibel. Aber die Zeit lässt sich ja auch nicht zurückdrehen: Ein Großteil der Bevölkerung nutzt heute Apps, auch im Gesundheitswesen – und zur analogen Patientenakte wollen wir auch nicht zurück. Geht es nach Cybersicherheitsexperte Holger Berens, sollte man Anbieter dazu verpflichten, alle Sicherheitsaspekte schon bei der Entwicklung ins Produkt einzuarbeiten.

Holger Berens, Vorstandsvorsitzender des Bundesverbands für den Schutz Kritischer Infrastrukturen e.V. (BSKI), ist Studiengangsleiter für Wirtschaftsrecht und Leiter des Studiengangs Compliance und Corporate Security (LL.M.) an der Rheinischen Fachhochschule Köln. Darüber hinaus steht er dem Kompetenzzentrum Internationale Sicherheit der Rheinischen Fachhochschule Köln vor. Seit 30 Jahren berät er internationale, aber auch kleine und mittelständische Unternehmen im Bereich Compliance und Security Management. Er ist Autor und Experte für Compliance und Security. privat

Herr Berens, Sie haben sich vor Kurzem zusammen mit weiteren Datenschutz-Experten in einem offenen Brief an Bundesgesundheitsminister Jens Spahn gewandt und auf den dringenden Nachholbedarf  bei der Datensicherheit im Gesundheitswesen hingewiesen. Was genau ist Ihre Sorge?

Holger Berens: Uns allen ist klar, dass im Gesundheitssektor hochsensible Daten der Patienten im Fokus stehen. Über Kontonummer, Sozialversicherungsnummer, Anamnese und aktuellen Gesundheitsstatus werden hier die – aus meiner Sicht – wichtigsten Daten von Menschen verarbeitet, weitergeleitet und gespeichert. Hinzu kommt der Trend Cloud-Services einzusetzen. Ich möchte hier nicht alle Threats der Vergangenheit aufzählen. Bewusst muss uns aber sein, dass der Umgang mit diesen Daten so sicher wie möglich gestaltet werden muss. Durch die Einführung des IT-Sicherheitsgesetzes und den Verordnungen zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz wurde ein kleiner politischer Schritt Richtung Informationssicherheit gegangen.

Ich bin niedergelassener Zahnarzt. Ende vergangenen Jahres ist mir der Super-GAU passiert: Mein Praxiscomputer wurde gehackt, alle Patienten- und Abrechnungsdaten waren mit einem Mal weg. Ich wurde erpresst.

mehr

Nehmen wir als Beispiel das Lukas-Krankenhaus in Neuss. Eine kritische Infrastruktur liegt nach Definition dann vor, wenn ein gewisser Schwellenwert erreicht wird. Der liegt bei Krankenhäusern zurzeit bei 30.000 Patienten im Jahr. Das Lukas-Krankenhaus hatte meines Wissens etwas weniger als 30.000 Patienten. Dies bedeutet, dass dieses Krankenhaus nicht als kritische Infrastruktur gesetzlich einzuordnen ist und damit die Gesetze auch nicht anwendbar sind. Es werden also nur die „Großen“ verpflichtet. 

Daher ist dringend ein Masterplan erforderlich, um Ärzte, Notfallzentren und kleinere Kliniken in die Lage zu versetzen, adäquaten und vor allen Dingen praktisch umsetzbaren Schutz aller Daten und Informationen selbst regeln zu können. So habe ich mit anderen europäischen Kollegen für den EFTA-Raum „einfache“ Standards für kleinere und mittlere Unternehmen entwickelt*. Solche praktikablen Standards wünsche ich mir auch im Gesundheitswesen.

Welche kritischen Infrastrukturen von Heilberuflern sind denn besonders betroffen?

Zum Sektor Gesundheit gehören die Branchen Medizinische Versorgung, Arzneimittel und Impfstoffe und Labore. Wenn Einrichtungen des Gesundheitswesens keine ausreichenden Schutzvorkehrungen aufweisen, kann sich dies unmittelbar auf die Versorgung auswirken und Menschenleben gefährden. So schreibt es das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Homepage. Angreifer werden immer den leichtesten Weg nehmen. Wenn die „Großen“ abgesichert sind, werden sich demnach die Angreifer kleinere Einheiten vornehmen. Betroffen sind also alle!

Wie sehen Sie in diesem Zusammenhang Initiativen der Krankenkassen wie Gesundheitsnetzwerke und elektronische Patientenakten? Sind das nicht die idealen Einfallstore für Datenklau?

Die Frage ist: Was wollen wir? Wollen wir zurück zu analogen Patientenakten beziehungsweise zur „guten alten Zeit“? Ich denke, dass die Initiativen in der heutigen digitalisierten Welt Sinn machen und auch für die Patienten von Vorteil sind. Wenn alle Sicherheitsvorkehrungen und die entsprechenden Prozesse implementiert werden, ist das Risiko des Datenklaus zumindest minimiert. Daher hat die Datenschutzgrundverordnung (DSGVO) ja auch den Begriff „Privacy by Design“ postuliert. Dies muss um „Security by Design“ erweitert werden: Die Anbieter müssen gezwungen werden, alle Sicherheitsaspekte schon bei der Entwicklung zu berücksichtigen und ins Produkt einzuarbeiten. Hinzu kommen die Sensibilisierung und die Schulung der Anwender, also der Ärzte. Auch diese müssen wissen, wie sie Daten und Informationen in ihrer Praxis bestmöglich schützen können.

Betrifft das auch die Telematikinfrastruktur (TI)?

Selbstverständlich. Gerade hier sind alle Sicherheitsvorkehrungen, Zertifizierungen und Datenschutzthemen zu verifizieren. Vielleicht haben Sie noch die Diskussion bezüglich der Sicherheitslücken in der TI mit den Namen „Spectre“ und „Meltdown“ aus dem Jahr 2018 in Erinnerung – also eingebaute Einfallstore in den Prozessoren. Hier hat das BSI sehr schnell gehandelt und die TI sofort auf diese Probleme untersucht. Genau dies ist aber das Problem. Das BSI kann grundsätzlich nur reagieren. Solange für die Hersteller Security by Design und Haftung gesetzlich nicht vorgeschrieben sind, kann nur reagiert werden.

Wenn man auf den Praxisalltag eines  Arztes oder Zahnarztes schaut: Was   muss dieser in Sachen Daten- und Informationssicherheit beachten? 

Der Schutz fängt beim Arzt und bei den Mitarbeitern an. Der Faktor Mensch ist die größte Schwachstelle. Ein einfaches Beispiel ist, nicht über das Praxisnetzwerk privat im Internet zu surfen oder E-Mails zu verschicken beziehungsweise E-Mails mit Anhang zu öffnen, die verdächtig erscheinen. Dies ist nunmal der gefährlichste Angriffsvektor. Fast alle Ransom-Attacken laufen über infizierte Webseiten oder E-Mail-Anhänge. Wenn man also konsequent alle Geräte nur beruflich nutzt, hat man schon sehr viel für die Sicherheit in der Praxis getan.

Das Bundeskriminalamt (BKA) bilanziert im Bereich Cybercrime eine – wie in kaum einem anderen Deliktbereich - kontinuierlich steigende Entwicklung.

mehr

Die Mitarbeiter und der Arzt müssen geschult werden. Zugriffs- und Zugangsberechtigungen müssen vergeben werden. Wer darf alles die Patientendaten sehen? Müssen das auch der Azubi und die Praktikantin? Praktische Beispiele gibt es also viele und würden den Platz für dieses Interview sprengen. Was ganz wichtig ist: Alle sollten die DSGVO und die entsprechenden Informationssicherheitsmaßnahmen ernst nehmen und nicht als überflüssiges Beiwerk ansehen. Ein richtiges – praktikables – Datenschutz- und Informationssicherheitsmanagementsystem erleichtert die tägliche Arbeit, auch wenn Sie das vielleicht nicht glauben wollen.

Maßnahmen gegen Cyberkriminalität

Um den Jahreswechsel herum schlug eine Nachricht hohe Wellen: Persönliche Daten Hunderter Bundestagsabgeordneter und Prominenter wurden – von einem Schüler! – über Twitter veröffentlicht, von Kreditkarteninformationen bis hin zu ganz privaten Chatverläufen. 

Große Sorgen um die Cybersicherheit machen sich inzwischen die CDU/CSU-Fraktionschefs in Bund und Ländern. In einem Beschluss vom 22. Januar fordern sie mehr Personal und Geld im Kampf gegen Cyberangriffe. Die zuständigen Bundes- und Landesbehörden sollten so ausgestaltet werden, dass Attacken aus dem Internet schnellstmöglich erkannt, gefährdete Kreise gewarnt und Schwachstellen umgehend beseitigt werden können, heißt es in dem Papier, das die Fraktionsvorsitzendenkonferenz unter der Führung von Thüringens Fraktionschef Mike Mohring verabschiedet haben. Sie fordern eine gesamteuropäische Cyber-Verteidigung.

Mit Blick auf die IT-Sicherheit im Gesundheitsbereich hat sich vor Kurzem eine Gruppe von IT- und Datenschutzexperten in einem offenen Brief an Bundesgesundheitsminister Jens Spahn gewandt. Sie machen darauf aufmerksam, dass aus ihrer Sicht das Ausmaß der Risiken in der Informationstechnik von vielen Verantwortlichen noch nicht genügend erkannt ist und plädieren für eine Bildungsoffensive und Datenschutzfolgeabschätzung. Einer dieser Experten ist Holger Berens.

Und was sollte der Arzt einem Patienten raten, der Gesundheits- und Medizin-Apps bereits in seinen Alltag fest integriert hat?

Das ist ein wunder Punkt. Hier geht es um den verantwortlichen Umgang mit unseren eigenen Daten. Wir als Bevölkerung sind allein gelassen. Für alle Berufszweige und Unternehmen gibt es Berater, nur nicht für den einzelnen Menschen. Der Arzt könnte zum Beispiel Infobroschüren auslegen, die den Einsatz und den Umgang mit diesen Apps erläutern. Das wäre eine schöne Aufgabe für die Kammern.

Seit Mai 2018 gilt die DSGVO. Was bedeutet das für den Daten- verantwortlichen in der Praxis?

Ich bin ein großer Befürworter der DSGVO, wenn sie richtig verstanden und vor allen Dingen praktikabel umgesetzt wird. Durch die Einführung von dokumentierten Prozessen wird der Arbeitsalltag tatsächlich erleichtert. Da Ärzte mit besonders sensiblen Daten umgehen, sind sie verpflichtet, die besonderen Schutzprinzipien wie Vertraulichkeit, Integrität und Transparenz zu gewährleisten. Dies ist aber kein Hexenwerk. Für relativ kleines Geld gibt es bestehende Datenschutzmanagementsysteme, die eingesetzt werden können. Wichtig ist immer, dass hier nicht selbst „gefrickelt“ wird, sondern sich kompetente Beratung in die Praxis geholt wird.

Was müsste passieren, damit Ärzte und Zahnärzte hinreichend auf diese  Risiken vorbereitet sind?

Eine kurze Antwort: Schulung, Schulung, Schulung und Sensibilisierung.

Wofür setzt sich Ihr Verband ein?

Unser Verband versteht sich als Vertreter der kritischen Infrastrukturen aller Sektoren. Wir verfolgen einen ganzheitlichen Ansatz, sehen also nicht nur das Cyber-Sicherheits-Problem, sondern alle Faktoren – wie zum Beispiel Energiewende, Klimawandel und Katastrophenschutz. Wir bieten eine Plattform, auf der die Mitglieder sektorenübergreifend vertrauensvoll voneinander lernen können. Auch die Information der Bevölkerung und Lobbyarbeit stehen im Fokus.

Spätestens seit den Enthüllungen von Edward Snowden ist klar, dass Daten im Netz ein Sicherheitsrisiko darstellen. Hier finden Sie Tipps zur digitalen Selbstverteidigung.

26851122680155268015626801572685113 2685114 2680158
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare