Sensible Patientendaten müssen besonders geschützt werden – auch vor unbefugter oder versehentlicher Weitergabe durch eigene Mitarbeiter. Gastbeitrag von Otfried Köllhofer
Foto: Centertools
Otfried Köllhofer ist Produkt-Manager bei Centertools Software
Wie können sich Krankenhäuser vor Datenverlusten und -diebstahl schützen? Eine Verschlüsselung in Kombination mit Daten- und Schnittstellenkontrolle sorgt für den wirkungsvollen Rundum-Schutz.
Aktuelle Studien decken auf: Die Bedrohung durch eigene Mitarbeiter scheint für viele Unternehmen ein größeres Risiko zu sein als Angriffe von außen. Nur neun Prozent der Teilnehmer an der „Insider-Threats“-Studie von Vormetric von April 2014 fühlen sich hier ausreichend abgesichert. Bei den befragten Unternehmen aus Deutschland, Großbritannien und Frankreich sahen 42 Prozent vor allem „privilegierte Nutzer“ als besonders großes Risiko.
Was für Firmen aller Größen und Branchen gilt, ist auch für Krankenhäuser und Kliniken eine drohende Gefahr. Schließlich ist die Zahl der Personen, die auf Patientendaten zugreifen, erheblich: Ärzte, das Pflegepersonal, Verwaltung sowie teilweise auch Drittfirmen haben Zugang zu Stammdaten, Röntgenbildern, Fotos und Dokumenten. Das zugesicherte Patientengeheimnis, die Behandlungsverträge, die Berufsordnung von Ärzten sowie das bürgerliche Strafrecht regeln offiziell den Schutz dieser Daten.
Verschlüsselung ist ein wirkungsvoller Schutz.
Insbesondere durch die Zertifizierung nach ISO 27001 verpflichten sich viele Krankenhäuser ohnehin zum Schutz ihrer sensiblen Daten. Verfügbarkeit, Vertraulichkeit und Integrität stehen im Fokus. Dabei ist es unabhängig, ob es um interne Festplatten geht, mobile Datenträger oder gar Daten in der Cloud: Sensible Patienten- und Unternehmensdaten sind nur verschlüsselt wirklich sicher. Einen optimalen Rundum-Schutz im Sinne der ISO-27001-Zertifzierung bietet eine Verschlüsselung mit integrierter Berechtigungskontrolle. Gleichzeitig regelt eine zusätzliche Daten- und Schnittstellenkontrolle, welche Anwendung oder welche Datei von wem auf welchem Gerät genutzt werden darf.
Rechtevergabe ist zu beachten.
Wird die Festplatte von Laptops und Arbeitsplatz-PCs grundsätzlich verschlüsselt, dann kann keine unberechtigte Person darauf zugreifen, selbst wenn das Gerät verloren geht oder gestohlen wird. Zudem sollte sichergestellt sein, dass keine Daten auf andere Datenträger kopiert werden dürfen – oder erst nach entsprechender Authentifizierung des Mitarbeiters.
Eine große Gefahr geht oft von den Accounts der Administratoren aus, weil sie typischerweise die Zugriffsrechte für weitere Mitarbeiter vergeben. Hacker könnten nun gezielt diese Personengruppe angreifen, um so an weitere Accounts und Kennwörter zu gelangen. Hier erfordert die Rechtevergabe eine Verwaltung mit zugewiesenen Zertifikaten. Wichtige Aufgaben wie beispielsweise die Durchführung einer Datensicherung oder das Ändern von Berechtigungen sollten davon nicht beeinflusst sein.
Interne Gefahrenquellen zuverlässig aufdecken.
Ein Erfolgsfaktor für mehr Datenschutz ist zudem auch die Überwachung der Aktionen im Inneren eines Krankenhauses. Es können etwa die Handlungen der Nutzer nachvollziehbar dargestellt werden, hier etwa der Einsatz von mobilen Speichermedien an Arbeitsplatz-PCs, Laptops oder auch Thin-Clients. Optimal ist es, mit Hilfe von dynamisch erzeugten Abfragen den gesamten Datentransfer zu überwachen. Dabei sollte die Software beispielsweise auch aufzeigen können, von welchem Computer eine bestimmte Datei auf welchen externen Datenträger kopiert wurde.
Eine zusätzliche sinnvolle Maßnahme zum Schutz sensibler Daten besteht in der Schulung und Sensibilisierung der Mitarbeiter. Neben typischen Inhouse-Schulungen können Mitarbeiter auch im Rahmen der täglichen Arbeit beispielsweise mithilfe kurzer Videos über Sicherheitsmaßnahmen informiert werden. Derartige Kampagnen werden von einigen Herstellern von Sicherheitssoftware bereits in deren Lösung integriert angeboten. Hier erhält beispielsweise ein Anwender, der einen USB-Stick anschließt, im ersten Schritt Hinweise zu möglichen Sicherheitsrisiken.
Fazit.
Erst das Zusammenspiel aller sicherheitsrelevanten Maßnahmen führt zum umfassenden Schutz gegen die Angriffe von innen. Das Thema „Insider Threats“ ist für Krankenhäuser jedoch keine Kür, sondern aufgrund der sehr strengen Datenschutzbestimmungen oberste Pflicht.
DriveLock: Datenlecks zielgerichtet identifizieren
DriveLock ist eine Sicherheitslösung, die durch einen mehrschichtigen Aufbau sehr granular einstellbar ist. Die Lösung verbindet die Eigenschaften der Verschlüsselung mit integrierter Datei- und Schnittstellenkontrolle, integriertem Antivirus und einer Sicherheitskampagne zur Schulung und Sensibilisierung der Krankenhaus-Mitarbeiter. DriveLock ist eine Software „made in Germany“: Der Hersteller versichert, dass er sich zu keinerlei Weitergabe vertraulicher Daten an ausländische Geheimdienste und Sicherheitsbehörden verpflichtet hat.