Datensicherheit
Gerade in Bezug auf medizinische Daten ist eine ausreichende Datensicherheit wichtig. Niemand möchte, dass medizinische Informationen in falsche Hände gelangen. Dabei spielt neben dem Datenschutz auch die technische Datensicherheit eine wichtige Rolle. Es werden Lösungen benötigt, die einen sicheren Umgang bei der Verarbeitung medizinischer (und anderer sensibler) Daten ermöglichen.
In diesem Artikel werden Szenarien aus der Praxis diskutiert, um ein Bewusstsein für mögliche Fallstricke zu schaffen sowie relevante Aspekte der Lösung zu zeigen. Dabei ist wichtig: Um eine Aufgabe zu erledigen, greifen Beschäftigte häufig auf bereitstehende Werkzeuge zurück, ohne sich über die Eignung Gedanken zu machen. Die ausreichende Sicherheit wird implizit angenommen, was leider oft eine falsche Einschätzung ist.
Nutzung von mobilen Geräten zur Unterstützung
Mobile Geräte wie Smartphones oder Tablets erleichtern den Arbeitsalltag ungemein. Wunddokumentationen per Foto, direkt
digitalisierbare Notizen und ausfüllbare Formulare, zum Beispiel zur Anamnese oder für Begehungsberichte, bilden einen guten Übergang von gewohnten Arbeitsweisen, die sich direkt in digitale Prozesse überführen lassen, auch wenn keine Spezialanwendungen vorliegen. Lokal lassen sich die Daten sicher auf dem Gerät speichern, wenn eine Verschlüsselung genutzt wird. Zur weiteren Verarbeitung müssen die Daten aber vom Mobilgerät meist auf einen Arbeitsplatzrechner beziehungsweise den zentralen Server übertragen werden. Solange Firmengeräte verwendet werden und diese zentral in die Infrastruktur und die Prozesse eingebunden sind (Stichwort „MDM“ – Mobile Device Management), kann von einer sicheren Anbindung ausgegangen werden. Datenschutz- und gegebenenfalls Informationssicherheitsbeauftragte haben dann meist die Thematik geprüft.
Schwieriger ist es, wenn Beschäftigte einzeln unterwegs beziehunsgweise die mobilen Geräte nicht zentral in die Infrastruktur integriert sind. Wie können in diesem Fall die Daten sicher auf ein anderes Gerät übertragen werden, um sie weiterzunutzen? Die Grundinstallation der Geräte bringt genügend Möglichkeiten mit, Daten zu transferieren, wie beispielsweise Cloudspeicher. Aber können und sollten diese Wege gefahrlos verwendet werden? Apples iCloud ist nachweislich nicht geeignet. In der iCloud kann Apple auf alle gespeicherten Daten zugreifen. Für sensitive Daten, insbesondere personenbezogene Daten Dritter, ist sie daher definitiv nicht sicher nutzbar. Dies gilt übrigens auch für die Backups des Geräts, die in der iCloud gespeichert werden – auch bei Firmengeräten. Bei GoogleDrive und Microsoft OneDrive weist die persönliche Version, die auf den Geräten installiert ist, das gleiche Problem auf. Mittels kommerzieller Lizenzen können verbesserte Sicherheitseinstellungen genutzt werden, die eine Nutzung möglich machen, sofern dies von den beteiligten Unternehmen freigegeben wurde.
Daher sollten nur geschützte Daten in die Cloud gespeichert werden, egal ob als Backup oder zum Transfer auf ein anderes Gerät.
Um die Sicherheit zu gewährleisten gibt es Tools (auch kostenlose), die verschlüsselte, nur mit einem Passwort zu öffnende Zip-
Archive erzeugen. So können die geschützten Daten über die Cloud transferiert werden. Alternativen sind sichere Cloud-Speicher, die für den Zugriff einen Client mitbringen. Dieser verschlüsselt die Daten auf dem Endgerät, bevor sie in die Cloud übermittelt und beim Zugriff wieder automatisch entschlüsselt werden. Bei diesen Tools ist der Schutz für die Nutzenden transparent und es müssen keine „extra“ Schritte vorgenommen werden. Das Passwort ist quasi im Client eingebaut. Hierbei ist allerdings zu prüfen, ob die Daten dann nur von einem Gerät aus verwendbar sind oder ob der Zugriff auch von mehreren Geräten möglich ist und der Schlüssel von einem Client auf einen anderen übertragen werden kann.
Alternativ können Daten auch direkt zwischen Endgeräten synchronisiert werden, was als sicher gelten kann. Die Verbindung und der Datenabgleich dürfen dabei allerdings nicht versteckt im Hintergrund stattfinden oder das Gerät ungefragt Verbindungen zu unbekannten Geräten aufbauen, sondern die Nutzenden müssen aktiv eine Verbindung zulassen. Andernfalls können auch Fremde die Daten mit ihren Geräten synchronisieren.
Datenaustausch mit Dritten
Ein ähnliches Szenario liegt vor beim Austausch von Daten mit Dritten, das heißt externen Parteien, wenn beispielsweise Arbeitsschutzbeauftragte Daten aus dem betreuten Unternehmen zu sich übertragen müssen oder ärztliches Fachpersonal Daten mit einer Herstellerfirma, dem Labor oder Kolleginnen und Kollegen austauschen muss.
Finden solche Transfers regelmäßig statt, lohnt es sich, über die Unternehmens-IT einen definierten Weg hierfür aufzubauen. Für die Umsetzung bestehen viele Möglichkeiten; so kann zum Beispiel per Virtual Private Network (VPN) ein Zugriff auf die entsprechenden Ressourcen ermöglicht werden oder es wird ein sicherer Datentransferserver genutzt. Hierbei können die beteiligten Unternehmen die Sicherheit gewährleisten.
Schwieriger wird es, wenn die Beteiligten „mal schnell“ Daten austauschen müssen oder aus sonstigen Gründen (z. B. langwierige Antragsprozesse im Unternehmen) eine Lösung an der IT vorbei gesucht wird. Die Ideen der Beteiligten sind hier vielfältig: Nutzung von Cloudspeichern, wobei per Freigabe Daten oder Speicherbereiche für andere zugänglich gemacht werden. Dieser Speicher kann bei einem Anbieter stehen, aber auch „privat“ auf dem Server eines der Beteiligten aufgesetzt sein. In diesen Fällen bestehen mehrere Probleme:
Hinsichtlich der Authentizität sollte der Server sich mit einem Zertifikat, wie es aus Browsern bekannt ist, ausweisen können und eine feste Internetadresse (IP-Adresse) haben. Die Verwendung von Angeboten hinter „dynamischem Domain Name System (DNS)“ (also DNS-Namen, die wechselnden IP-Adressen zugeordnet werden, wie be iprivaten Internetanschlüssen), sind dazu ungeeignet.
Statt für spontane Anfragen jedes Mal eine neue Lösung zu suchen, lohnt es sich auch hier, im Unternehmen einen geeigneten Datentransferdienst aufzubauen, über den Sicherheit und Nachvollziehbarkeit gewährleistet sind. Gegebenenfalls kann dann schnell eine sichere Option angeboten werden. Um diesen Service schnell nutzen zu können, sollten Antragswege, Freigaben und Datentransfers geeignet protokolliert werden.
Zu bedenken ist auch: Wenn Daten an Dritte übergeben werden, muss sichergestellt sein, dass der Transferweg sicher und gesetzeskonform ist. Wenn das Transfersystem erkennbar den Beteiligten zuzuordnen ist, kann in der Regel davon ausgegangen werden, dass diese für die Sicherheit verantwortlich sind. Sollte das System erkennbar bei einem Dienstleister betrieben werden, z. B. als öffentlicher Cloud-Service, ist dies nicht der Fall. Hier lohnt es sich, die Verantwortlichen eine grobe Beschreibung der Sicherheits- und Datenschutzmaßnahmen erstellen zu lassen, die auf Anfrage bereitgestellt werden können.
Datenaustausch per Fax oder Mail
In der Medizin ist aktuell die Datenübermittlung per Fax noch üblich. Während Faxen bisher eine akzeptierte Lösung war, gelten E-Mails seit jeher als unsicher. Dies hat sich geändert: Auch das Fax wurde in diesem Jahr von einigen Datenschutz-Aufsichtsbehörden als nicht mehr akzeptabel (d. h. unsicher) eingestuft. Hintergrund ist, dass das normale Telefonnetz, über früher gefaxt wurde, ein sicheres Netz darstellte, weil es vom Internet getrennt war und daher als nicht angreifbar galt. Seit der Umstellung der Telefonie auf das Internetprotokoll „IP“ gibt es keine getrennten Netze mehr. Faxe gehen wie E-Mails über das Internet und sind daher genauso angreifbar. Es werden also Alternativen benötigt.
Am sichersten ist die Verwendung von verschlüsselten E-Mails nach den Standards S/MIME oder PGP. Dies fordert aber auch die größten Vorbereitungen. Verschlüsselung von Mails bedeutet immer, dass beide Kommunikationspartner diese nutzen können müssen, also entsprechende Sicherheitsschlüssel eingerichtet haben. Dafür besteht dann die Sicherheit einer „Ende-zu-Ende-Verschlüsselung“, bei der Mailtext und Anhänge geschützt sind und nur die miteinander kommunizierenden Personen auf die Daten der Mail zugreifen können.
Sollte eine so geschützte Kommunikation nicht möglich sein, können wie beim Datenaustausch verschlüsselte Zip-Archive oder Passwort-geschützte Dateien genutzt werden, in denen die vertraulichen Daten an die Mail angehängt sind. Hier ist aber zu beachten, dass im Mailtext selbst keine vertraulichen Daten stehen dürfen. Der Mailtext ist etwa so sicher wie eine Postkarte das heißt, es wird nur der Anhang mit Verschlüsselung geschützt.
Statt einer Mail stellt auch eine Datenaustauschplattform eine passende Alternative dar. Per Mail wird in diesem Fall nur der Hinweis auf neu vorliegende Daten übermittelt.
Video-Konferenzen und Telekonsile
Das nächste Szenario beschreibt die digitale Version der direkten Kommunikation: Videokonferenzen und Online-Meetings. Die Nutzung von digitalen Konferenzen hat sich gerade in der Corona-Pandemie zu etwas Normalem und als Ersatz zu persönlichen Meetings entwickelt. Auch wenn die Tools alle sehr ähnlich erscheinen – in der technischen Umsetzung unterscheiden sie sich teils in relevanten Punkten. Für den medizinischen Einsatz sind sie in der Regel nicht geeignet. So wurde in einem Fall der Einsatz von Microsoft Teams explizit für den Einsatz für Tumorkonferenzen untersagt. Begründung: „Das Tool bietet keinen durchgängigen Schutz des Gesprächs zwischen mehreren Parteien (Stichwort: Ende-zu-Ende-Verschlüsselung), diese wird aber als Teil der vertragsärztlichen Bestimmungen benötigt, sobald Dritte am Betrieb der Lösung beteiligt sind. Für eine akzeptable Lösung muss die Konferenzlösung entweder durch einen der Teilnehmer als Verantwortlichem betrieben werden, oder die Lösung muss die Kommunikation von Teilnehmer bis Teilnehmer durchgängig verschlüsseln“ (mündl. Mitteilung des zuständigen Datenschutzbeauftragten).
Die meisten Produkte bieten bei Gruppen nur eine Verschlüsselung zwischen den Teilnehmenden und dem zentralen Server an, der Betreiber kann alle Sitzungsinhalte mitverfolgen. Microsoft ist hier nicht allein betroffen; auch andere gängige Konferenz-Tools (WebEx, Zoom, GotoMeeting) bieten in der Grundversion aktuell keine Ende-zu-Ende-Verschlüsselung. Als Ausnahme bietet WebEx ein solches Feature, dies muss aber bereits bei der Planung des Meetings berücksichtigt werden.
Die Berliner Datenschutz-Aufsicht hat eine Übersicht gängiger Konferenzlösungen erstellt und mit einer Datenschutz-Ampel als Bewertung versehen. Diese kann zur Auswahl einer Lösung herangezogen werden (siehe „Weitere Infos“). Alternativ bietet sich mit Open-Source-Lösungen (z. B. BigBlueButton (BBB) oder Jitsi) die Möglichkeit ein eigenes System aufzubauen.
Für den medizinischen Einsatz (z. B. Videosprechstunde und Telekonsile) sind diese Lösungen nicht geeignet, dort gelten besondere Zulassungsanforderungen. Diese reichen von Sicherheits- und Datenschutzzertifikaten bis hin zu Anforderungen an Bildübertragung und Technik. Eine Liste zugelassener Lösungen findet sich unter den „Weiteren Infos“.
Cloud-Praxissysteme
Für kleinere Praxen bieten sich Praxissysteme aus der Cloud als Alternative zu eigenen Systemen an. Auch hier ist darauf zu achten, dass diese sicher sind. Die Nutzenden stehen in der Pflicht, den Dienst angemessen zu prüfen. Dazu gehört Folgendes:
Die Anmeldung sollte eine Zwei-Faktor-Authentisierung erfordern. Manchmal lässt sich der Zugriff auf bestimmte Geräte oder Internetbereiche (z. B. die IP-Adresse der eigenen Praxis) beschränken, auch dies verhindert unberechtigten Zugang.
Der Dienst sollte eine Zertifizierung für Informationssicherheit vorweisen können; im Idealfall kann zusätzlich ein
Sicherheitskonzept vorgelegt werden.
Wichtige Sicherheitsmaßnahmen bei der Datenverarbeitung
Zusammenfassend ist festzustellen, dass auch bei unterschiedlichen Szenarien immer wieder ähnliche Sicherheitsmaßnahmen zum Erfolg führen. Die Nutzung von qualifizierten und sicheren Dienstleistern (bzw. Produkten) ist das A und O. Dies gilt auch für die Verschlüsselung: beim Speichern in der Cloud, beim Transfer über das Internet, aber auch für das Speichern auf lokalen Geräten, wie beispielsweise Laptop oder Smartphone/Tablet.
Darüber hinaus sind weitere Maßnahmen wichtig, die stets beachtet werden sollten:
Faktor- bzw. Multifaktor-Verfahren bei Online-Diensten,
Im Rahmen der Telematik-Infrastruktur gibt es ebenfalls konkrete Anforderungen an die Umsetzung von Sicherheitsmaßnahmen, die sich in wesentlichen Teilen mit den hier genannten decken. Durch Berücksichtigung dieser Punkte lassen sich die größten Stolperfallen im Umgang mit der IT entschärfen.▪
Interessenkonflikt: Die Autorin gibt an, dass kein Interessenkonflikt vorliegt.
doi:10.17147/asu-1-211438
Weitere Infos
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: Cloud-Speicher sicher nutzen
https://www.datenschutz.rlp.de/de/themenfelder-themen/cloud-speicher-si…
Liste zertifizierter Videodienstanbieter
https://www.kbv.de/media/sp/liste_zertifizierte-Videodienstanbieter.pdf
Berliner Beauftragte für Datenschutz und Informationsfreiheit: Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen…
Kernaussagen
Info
Gängige Cloud-Zertifizierungen für Datenschutz und Informationssicherheit
(Bundesamt für Sicherheit in der Informationstechnik) spezifiziert Mindestanforderungen an sicheres Cloud-Computing und kann auditiert werden (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Inform…-
nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html). Verbreitung hauptsächlich in Deutschland
Internationaler Cloud-Sicherheitsstandard, bei dem die Einhaltung der CSA Cloud Controls Matrix (CCM) (alternativer Katalog zum BSI C5) geprüft wird (https://cloudsecurityalliance.org/star/).
Aber Vorsicht: Im Rahmen von Zertifizierungen/Nachweisen immer den Anwendungsbereich prüfen, der die benötigte Leistung umfasst!
Info
Vergleich gängiger Messenger-Dienste
Neben den in den Vergleichen genannten allgemeinen Messenger-Diensten gibt es auch Spezialprodukte für den medizinischen Bereich (z. B. Siilo).
Kontakt
Das PDF dient ausschließlich dem persönlichen Gebrauch! - Weitergehende Rechte bitte anfragen unter: nutzungsrechte@asu-arbeitsmedizin.com.