Mit modernen medizinischen Geräten, die Leben retten, und neuartigen Systemen, die die Art und Weise optimieren, in der wir Informationen speichern und austauschen, wird die moderne Welt zunehmend digital. Allerdings ist die digitale Innovation ein zweischneidiges Schwert – sie macht uns empfänglich und anfällig für Angriffe auf die Cybersicherheit. Hackerangriffe auf Organisationen des Gesundheitswesens sind auf dem Vormarsch – und es gibt keine Anzeichen dafür, dass sich dieser Trend abschwächt. Von versteckten Website-Umleitungen und blinden Flecken bei der Verschlüsselung bis hin zu Phishing-Angriffen und Ransomware – der Schutz von Gesundheitsdaten stellt eine Herausforderung dar. Aber wie schützen wir die Reputation eines Krankenhauses und die Sicherheit der Patienten, wenn Cyberangriffe Milliarden von Euro kosten, die Effizienz des Krankenhauses beeinträchtigen und letztlich die Sicherheit der Patienten gefährden können?
Angesichts der sich weltweit ausbreitenden COVID-19-Pandemie hat das Gesundheitswesen ein besonders schwieriges Jahr hinter sich. Digitale Innovationen, die die Reaktion des öffentlichen Gesundheitswesens auf COVID-19 unterstützen, wurden begrüßt und mit großem Erfolg eingesetzt – von der schnellen Identifizierung von Fällen über die öffentliche Kommunikation bis hin zur Unterbrechung der Übertragungsketten1. Und selbst in einer pandemiefreien Welt haben digitale Innovationen die Gesundheitsversorgung positiv beeinflusst – und werden dies auch weiterhin tun. Sie unterstützen die Datenintegration, die Einbindung der Patienten und den klinischen Support.
Mit dem Siegeszug digitaler Technologien steigt jedoch auch die Bedrohung durch Ransomware und andere Angriffe auf die Cybersicherheit. Darüber hinaus hat die COVID-19-Pandemie ein perfektes Umfeld für opportunistische Hacker geschaffen, sodass die Zahl der Cyberangriffe auf Gesundheitseinrichtungen erheblich gestiegen ist 2 . Während der COVID-19-Pandemie beobachtete die Europäische Agentur für Cybersicherheit (ENISA) einen Anstieg der Cyberangriffe auf Krankenhäuser und medizinische Netzwerke um 47 % 3 .
Die Herausforderungen und Folgen von Cyberangriffen
Was die Cyberkriminalität betrifft, ist das Gesundheitswesen eine der am häufigsten angegriffenen Branchen. Im Gegensatz zu vielen anderen Branchen gehen die Auswirkungen der Cyberangriffe jedoch weit über finanzielle Verluste hinaus, da sie die Sicherheit, die Effizienz, den Ruf und die Wirtschaftlichkeit von Krankenhausorganisationen bedrohen. Denn sie gefährden die Privatsphäre der Patienten, die klinischen Ergebnisse und die finanziellen Ressourcen (Abbildung 1). Im Gesundheitswesen ist eine unterbrochene Leistungserbringung (wie z. B. ein unterbrochener Zugang zu Patientenakten) nicht nur eine Unannehmlichkeit, sondern ein wichtiger Faktor, der die Patientenversorgung beeinträchtigt und die Patienten selbst anfällig für betrügerische Aktivitäten macht. Cybersicherheitsbedrohungen zu bewältigen und gleichzeitig hohe Standards der Gesundheitsversorgung zu gewährleisten ist eine enorme Aufgabe für Krankenhausorganisationen. Und je ausgefeilter die Angriffe werden, desto schädlicher sind die Folgen für alle Beteiligten.
Im Jahr 2019 haben Forscher beispielsweise gezeigt, wie ein Angreifer mittels künstlicher Intelligenz (KI) Anhaltspunkte für Erkrankungen in medizinischen 3D-Scans hinzufügen oder daraus entfernen kann 4 . Besorgniserregend ist, dass den Autoren der Arbeit zufolge diese Art von Angriffen dazu genutzt werden könnte, die Patientensicherheit zu gefährden oder sogar einen Mord zu begehen. Obwohl diese spezielle Art von Angriffen noch nicht gemeldet wurde, wies eine Warnung der US-Arzneimittelbehörde FDA aus dem Jahr 2018 auf die Schwachstellen bei einer bestimmten Art von Herzschrittmachern hin, die eine Manipulation der Funktion aus der Ferne nicht ausschließen 5 .
Eine der jüngsten, groß angelegten Cyber-Bedrohungen war der WannaCry-Ransomware-Angriff auf den britischen National Health Service im Jahr 2017. Dieser führte zum Ausfall von fast 20.000 Behandlungsterminen, zur Schließung von Notaufnahmen und zur Umleitung von Rettungswagen in weiter entfernte Krankenhäuser 6 . Auch wenn es schwierig ist, die Auswirkungen dieses Vorfalls in vollem Umfang abzuschätzen, ist eine erhebliche Beeinträchtigung der Patientenversorgung offensichtlich. Gleichzeitig werden die Kosten auf mindestens £92 Millionen (107,59 Millionen €) geschätzt 6 .
Abbildung 1. Potenzielle Herausforderungen und Folgen von Angriffen auf die Cybersicherheit für Krankenhausorganisationen
Angriffe auf die Cybersicherheit können enorme finanzielle Auswirkungen haben. Hacker können direkt Lösegeld fordern und den Zugang zu Krankenhäusern sperren, bis das Lösegeld gezahlt wird. Auch der Schutz der digitalen Daten ist von entscheidender Bedeutung. Krankenhäuser können aufgrund der erheblichen Bußgelder bei Datenschutzverstößen nach der europäischen DSGVO Einnahmeverluste in Millionenhöhe erleiden. Aus der Sicht eines Patienten können Identitätsdiebstahl oder kompromittierte persönliche und medizinische Informationen das Privatleben stark beeinträchtigen, z. B. bei Versicherungsanträgen und bei der Arbeitssuche. Der Schutz der Daten ist daher von zentraler Bedeutung für die Wahrung der Reputation eines Krankenhauses.
Von versteckten Website-Umleitungen und blinden Flecken bei der Verschlüsselung bis hin zu Phishing-Angriffen und Ransomware – die Herausforderungen für die digitale Datensicherheit sind endlos. Mit der zunehmenden Digitalisierung der Welt wird dieses Problem nur noch größer werden. Bereits jetzt sind viele moderne medizinische Geräte vernetzt, darunter Patientenüberwachungsgeräte, Infusionspumpen und Computertomographen. Durch die zunehmende Vernetzung von Technologien und die Verlagerung von Informationen in virtuelle und Cloud-Systeme ergeben sich neuartige Schwachstellen.
Wie können komplexe Krankenhausorganisationen in unserer modernen, immer stärker digital geprägten Welt ihre Daten und Patienten schützen?
Qualität der Krankenhaus-IT-Infrastruktur
Die Eindämmung von Cybersicherheitsbedrohungen hängt von einer qualitativ hochwertigen IT-Infrastruktur ab, die von Hardwareplattformen und Softwareanwendungen über angeschlossene Geräte, Betriebssysteme und Netzwerkverbindungen bis hin zu Telekommunikationsmitteln reicht. Es genügt jedoch nicht, nur hochwertige IT-Sicherheitssysteme zu integrieren. Sie müssen auch kontinuierlich überwacht und aktualisiert werden. Zudem können vernetzte Geräte eine Schwachstelle in der Sicherheitskette darstellen, über die sich Malware verbreiten kann. Hier kann moderne Verschlüsselungssoftware dazu beitragen, die Kommunikation zwischen vernetzten Geräten, Anwendungen und Diensten zu sichern.
Anbieter medizinischer Lösungen wie Olympus liefern nicht nur hochwertige Hard- und Software in Verbindung mit den neuesten Sicherheitsfunktionen, sondern stellen auch automatische Sicherheits-Patches, Viren-Updates und tägliche Berichte über Windows Server Update Services bereit. Ziel ist, einen zukunftssicheren Schutz zu gewährleisten. Darüber hinaus ist im Fall von Olympus eine Inkompatibilität zu einem Windows-Sicherheitspatch ohnehin sehr selten. Um die Kompatibilität sicherzustellen, prüft Olympus jedoch einmal im Monat die Windows-Sicherheitsupdates. Für den Großteil der Kommunikation zwischen Anwendungen und Diensten verwendet Olympus ein Windows Communication Foundation (WCF)-Framework, das Sicherheitszertifikate abgleicht. So können nur authentifizierte Geräte auf das System zugreifen. Zudem sind alle diese Kommunikationskanäle SHA-2-verschlüsselt.
Die zunehmende Gefahr durch Cyberangriffe ist teilweise auf den Einsatz veralteter Software zurückzuführen. Zwar können automatische Updates und Kompatibilitätstests Unternehmen dabei helfen, die Sicherheit aufrechtzuerhalten, doch Anbieter, die auch nach dem Verkauf weiter mit den Krankenhausorganisationen zusammenarbeiten, sind von entscheidender Bedeutung. Olympus führt laufend Tests und Architekturüberprüfungen durch, um die Sicherheit von Produkten und Systemen zu gewährleisten und gleichzeitig proaktiv Risiken zu erkennen.
Datenschutzbewusste gemeinsame Nutzung und Speicherung von Daten im Gesundheitswesen
Da die Menge an elektronischen Informationen zunimmt, die bei Prozessen im Gesundheitswesen (bei Operationen, chirurgischen Instrumenten, medizinischen Geräten, Wearables usw.) anfallen, und die Patienteninformationen immer digitaler werden, besteht ein wachsender Bedarf an einer sicheren Datenspeicherung. Um jedoch die Zusammenarbeit und die Patientenversorgung zu unterstützen, müssen die Daten für die richtigen Personen leicht zugänglich sein. Daher besteht eine der größten Herausforderungen für Krankenhausorganisationen darin, den einfachen Zugriff einerseits und die datenschutzgerechte Nutzung und Speicherung von Daten andererseits sorgfältig auszubalancieren.
Der einfache und sichere Austausch von Gesundheitsdaten hängt von der Wahl des richtigen Content-Management-Systems ab. Überdies kann die richtige Plattform die Effizienz verbessern, sich leicht in bestehende Systeme integrieren lassen und zusätzliche Funktionen bieten. Dazu gehören starke Workflow-Attribute, ein intuitiver Content-Editor und Cybersicherheit auf medizinischer Ebene.
VaultStream von Olympus ermöglicht es Anwendern, klinische Bilder und Videos in Full-HD-Qualität abteilungsübergreifend zu speichern, zu verwalten, zu bearbeiten und auszutauschen. Die Zentralisierung der Speicherung durch eine krankenhausweite Lösung für das Medical-Content-Management verbessert den Schutz Ihrer gespeicherten Medien. Sicherheitskomponenten lassen sich so einfacher verwalten und auf dem neuesten Stand halten. Darüber hinaus bietet VaultStream IT-Sicherheit auf dem erforderlichen Niveau des Gesundheitswesens und unterstützt die Konformität mit der DSGVO durch Einhaltung der höchsten Standards für Informationssicherheit und Datenschutz.
Dazu gehört eine intelligente Systemintegrationstechnologie, die die Datenintegrität während der gesamten Kommunikation zwischen dem Aufnahmegerät (nCare) und VaultStream gewährleistet. Darüber hinaus wird bei einem Stromausfall oder einem Netzwerkabsturz die Übertragung automatisch an der Fehlerstelle fortgesetzt, sobald die Verbindung wiederhergestellt ist. Operierende können sicher sein, dass dank der automatischen Hintergrundaufnahmefunktion von EasyPost jeder Eingriff in voller Länge aufgenommen wird und postoperativ als Video überall und jederzeit zur Verfügung steht.
Die Frage, wer wann und wie auf Daten zugreift, ist ein wesentlicher Bestandteil der Sicherheitsverwaltung. Die Zugriffskontrolle stellt sicher, dass die Benutzer durch das Authentifizierungsmanagement verifiziert werden. Sie ermöglicht nur einen berechtigten und autorisierten Zugriff auf die Gesundheitsdaten. Wenn die Anmeldedaten eines Benutzers zur Authentifizierung an den VaultStream-Server weitergeleitet werden, werden sie über einen verschlüsselten Kanal übertragen, um ihre Sicherheit zu gewährleisten. Außerdem kann die Zugriffskontrolle durch einen maßgeschneiderten rollenbasierten Zugriff in Verbindung mit individuellen Benutzerkonten verwaltet werden.
Krankenhausabläufe optimieren
Eine mangelhafte Software-Integration kann eine ganze Reihe von Schwachstellen aufweisen, die Hacker ausnutzen können. Deshalb sollte die effiziente Integration von Software eine Priorität für Krankenhausorganisationen sein, wenn es um die Cybersicherheit geht – damit alle Komponenten reibungslos zusammenarbeiten. Ziel ist, die Produktivität und Funktionalität zu erhalten oder möglicherweise zu verbessern. Allerdings können die Komplexität von Krankenhausorganisationen, gesetzliche Vorschriften und standardisierte Informationsformate die Integration neuer Software erschweren. ENDOBASE von Olympus ist eine Software-Plattform, die den gesamten Endoskopie-Arbeitsablauf optimiert und unterstützt und die IT Infrastruktur und Sicherheit überschaubarer macht. Außerdem lässt sich ENDOBASE mit bestehenden Systemen wie einem Krankenhausinformationssystem (KIS) oder einem Bildarchiv (PACS oder Vendor Neutral Archive) integrieren. Darüber hinaus ist ENDOBASE so konzipiert, dass es sowohl auf einem realen als auch auf einem virtuellen Server sicher ausgeführt werden kann. Das vereinfacht die Sicherheitswartung und Backups.
Auch VaultStream ermöglicht eine Integration mit KIS, PACS und VNA-Systemen. Die Verwaltung von mit Patientendaten verknüpften Untersuchungsbildern und -videos in einer zentralen Bibliothek hilft Ärzten, schnelle und fundierte Entscheidungen zu treffen. Gleichzeitig wird die Speichereffizienz verbessert, weil nur relevantes Material im KIS/PACS gespeichert wird.
Benutzerfreundlichkeit von medizinischen Geräten und Software
Neue Software kann zwar mit beeindruckenden Sicherheitsfunktionen aufwarten, muss aber auch einfach zu bedienen sein. Ein benutzerfreundliches System hilft nicht nur dem medizinischen Fachpersonal, effektiv mit der Software zu interagieren, sondern minimiert auch unbeabsichtigte Fehler, die andernfalls die Sicherheit gefährden würden.
Anwenderfreundlichkeit beginnt mit einer gut gestalteten Benutzeroberfläche. Hytrack von Olympus kann als einfach zu bedienende Schnittstelle zu ENDOBASE oder anderen Dokumentationssystemen, die nicht von Olympus stammen, verwendet werden. Das medizinische Fachpersonal kann jederzeit den Aufbereitungsstatus seiner Endoskope über eine intuitive, berührungsempfindliche und App-basierte Benutzeroberfläche sicher nachvollziehen. Im Gegenzug profitieren Krankenhausorganisationen von einem geringeren Verwaltungsaufwand und einer maximalen Verfügbarkeit der Geräte – und das alles bei gleichzeitiger Einhaltung der DSGVO.
Ebenso verfügt VaultStream über eine benutzerfreundliche Oberfläche und eine Reihe von Funktionen, die das Management verbessern und vereinfachen. Zum Beispiel können Ärzte mithilfe von VaultStream EasyView komfortabel nach Eingriffen, Bildern und Videos suchen, Standbilder aufnehmen, Beschriftungen hinzufügen sowie neue und archivierte Aufnahmen direkt miteinander vergleichen. Enthalten ist auch eine einfache, aber leistungsstarke Videobearbeitungsanwendung (EasyCut), mit der Ärzte qualitativ hochwertige Präsentationen für die Lehre, für Fachkonferenzen, für die OP-Dokumentation und für die Zusammenarbeit mit Kollegen erstellen können.
Zusammenfassung
Digitale und vernetzte Technologien sind auf dem Vormarsch, und das aus gutem Grund. Die fortschreitende Entwicklung zu einem vernetzten Gesundheitssystem einerseits und die aktuelle Sicherheit, der Schutz der Privatsphäre und die Einhaltung der Datenschutzbestimmungen andererseits müssen jedoch sorgfältig ausbalanciert werden. Bei Olympus ist die Sicherheit ein zentrales Element des Produktdesigns. Sicherheitsmechanismen sind in alle Geräte und Softwareprogramme integriert. Wir arbeiten auch nach dem Verkauf mit unseren Kunden zusammen. Damit wird sichergestellt, dass deren hohe Ansprüche in Sicherheitsfragen kontinuierlich erfüllt werden – zum Schutz der Reputation des Krankenhauses, zum Schutz der Finanzen und zur Gewährleistung einer optimalen und ununterbrochenen Patientenversorgung.
