Sensible Patientendaten besser schützen

eco – Verband der Internetwirtschaft e. V. fordert mehr Transparenz im Umgang mit Gesundheitsdaten

Datum
31. März 2017
Autor

Immer mehr medizinische Geräte sind über das Internet der Dinge vernetzt: Blutdruckmessgeräte, Insulinpumpen, Herzschrittmacher, … Die Vernetzung hat große Vor-, aber auch Nachteile. Weil nicht alle Geräte genügend vor Angriffen geschützt sind, nutzen Erpresser sie als Schwachstelle aus und dringen in die Netzwerke von Krankenhäusern oder Kliniken ein. Sie stehlen beispielsweise sensible Daten oder schleusen Schadcode ein, verschlüsseln alle Dateien und erpressen ein Lösegeld für die Freigabe. Außerdem können die schlecht gesicherten Geräte manipuliert und die schlecht geschützten Daten gestohlen werden.

Eine andere Gefahr sieht Dr. Bettina Horster vom eco – Verband der Internetwirtschaft e. V. im Umgang mit Patientendaten: „Die Zuverlässigkeit der Geräte sowie der sichere und transparente Umgang mit Patientendaten brauchen bei E-Health-Lösungen höchste Priorität“. Sie fürchtet Verhältnisse wie in den USA, wo alle Daten für alles frei gegeben werden, und fordert ein differenzierteres Vorgehen: „Im Sinne der Datenautonomie muss der Datenerzeuger und -eigentümer entscheiden können ob, wer, wie, was, wie oft und in welcher Granularität als auch in welchem Kontext seine Daten herausgegeben und analysiert werden dürfen“.

Einschätzung

Vernetzte medizinische Geräte sind eine Herausforderung für die Informationssicherheit. Sie kann nur gemeinsam gemeistert werden. Zum einen müssen die Hersteller ihre Geräte besser sichern, zum anderen müssen Krankenhäuser und Kliniken ihre Infrastrukturen, Prozesse sowie Informationen umfassend und strukturiert schützen. Die Basis dafür ist ein ISMS.

Der Umgang mit Patientendaten ist bereits gesetzlich streng geregelt. Horsters Vorschlag, Daten nach Nutzungsklassen zu kategorisieren und differenziert Auskunft geben zu müssen, wo sie gespeichert werden, ist sinnvoll und praktikabel. Differenzierte Lösungen sind wünschenswert. Die Hersteller sollten nur Daten sammeln, die sie wirklich brauchen, der Nutzer sollte dem Datentransfer ausdrücklich zustimmen (Opt-in).

Zielgruppen

  • IS- und IT-Sicherheitsverantwortliche
  • Management
  • Interessierte Kreise