Cyber-Trends im Healthcare-Bereich

Dass die Digitalisierung des Gesundheitswesens vorangetrieben werden muss, hat die Bundesregierung schon länger erkannt. Die Telematikinfrastruktur wird sukzessive ausgebaut, neue Anwendungen werden eingeführt. Ein aktuelles Beispiel ist die elektronische Arbeitsunfähigkeitsbescheinigung (eAU), die den „gelben Schein“ bei Krankheit ersetzen soll. Ärzte und Krankenhäuser übermitteln die Daten bereits jetzt schon elektronisch an die Krankenkassen. Arbeitgeber sind vom 1. Juli 2022 an verpflichtet, diese auch auf elektronischem Wege abzurufen. Der Prozess hat zwar seine Tücken, so sind beispielsweise Privatärzte und -patienten ausgenommen, aber der erste Schritt ist gemacht. Auch das elektronische Rezept soll bald kommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiß allerdings, dass die Neugestaltung der Telematikinfrastruktur „mit erheblichen Eingriffen in die Sicherheitsstruktur verbunden“ ist, die „ein Umdenken und eine Neubewertung vieler Fragen erforderlich machen“. 

Ein ähnliches Szenario ist beim Onlinezugangsgesetz (OZG) zu beobachten. Es verpflichtet Behörden, Ämter, aber auch Krankenkassen, ihre Verwaltungsleistungen bis Ende 2022 online anzubieten. Trotz großer Kraftanstrengungen ist fraglich, ob es alle 575 OZG-Leistungen rechtzeitig über die Ziellinie schaffen. Das Vorhaben ist komplex, die digitale Affinität in den einzelnen Institutionen unterschiedlich – und ohnehin brauchen Veränderungen, die einen Wandel des Mindsets voraussetzen, Zeit.

Warum an der Cloud kein Weg mehr vorbeiführt

Ein Wandel, der ohnehin nicht mehr aufzuhalten ist, ist der Weg in die Cloud. Vor wenigen Jahren standen ihr noch viele Unternehmen und Institutionen kritisch gegenüber – vor allem wegen Sicherheitsbedenken[EE1] . Unsere Cloud Adoptions-Studie zeigt jedoch, dass ein Umdenken stattgefunden hat. Zu Recht: Eine Migration in die Cloud kann bei richtiger Handhabe sogar zu einer Verbesserung der Sicherheit beitragen, wenn von Beginn an cloudspezifische Sicherheitsprobleme mit cloudspezifischen Sicherheitslösungen angepackt werden. Zudem sind das Framework und die Sicherheitsmaßnahmen stets auf dem neuesten Stand, ohne dass sich jemand aus der eigenen IT-Abteilung darum kümmern müsste. Oftmals sind Unternehmen personell und finanziell auch gar nicht ausreichend ausgestattet, um ein annähernd gleiches Niveau an Security und Aktualität des Systems gewährleisten zu können. Deshalb stellt sich heute für die allermeisten Organisationen nicht mehr die Frage, ob sie in die Cloud gehen, sondern wann.

Dennoch sind Sicherheit und Datenschutz in der Cloud kein Selbstläufer. Daher wird die sogenannte Cloud Business Security immer bedeutsamer. Ein sicherer Zugriff muss ebenso gewährleistet sein wie eine Geschäftsfortführung und eine Datenrettung in einem Krisenfall. Das Gute ist auch hier: Smarte technische Lösungen und erfahrene Partner beim Absichern und Betreiben der Cloud erhöhen das Sicherheitsniveau weit über das hinaus, was im eigenen Serverraum im Keller möglich ist.

Warum das mittlerweile fast schon Pflicht ist, zeigt ein Blick in einige aktuelle Studien und Reports. So richten Angriffe auf Healthcare-Einrichtungen mehr finanziellen Schaden an als in allen anderen Branchen. Zum elften Mal in Folge liegt das Gesundheitswesen an der Spitze einer entsprechenden Auswertung von IBM und dem Ponemon-Institut. Die Kosten für Breaches in diesem Bereich beliefen sich im Jahr 2021 auf durchschnittlich 9,23 Millionen US-Dollar. Mit Abstand am häufigsten betroffen waren Netzwerkserver, gefolgt von E-Mails, berichtet Infoblox.

Wie die IT-Konsolidierung Kosten senkt und Sicherheit erhöht

Sicherheitsmaßnahmen im Healthcare Bereich sind unabdingbar. Wer seine IT in der Cloud konsolidiert, geht einen großen Schritt in diese Richtung. Er spart Kosten für die eigene Infrastruktur und kann darauf vertrauen, dass die IT-Umgebung bestmöglich auch gegen akute und aktuelle Bedrohungen abgesichert ist. Gleichzeitig erhöht das den Datenschutz und die Datensicherheit. Ein weiterer Aspekt, der auf die Datensicherheit einzahlt, ist das leichtere Monitoring von Zugriffen. Nicht nur aufgrund der Datenschutz-Grundverordnung (DSGVO) ist ein gewisses Maß ihrer Nachverfolgbarkeit Pflicht. In der Cloud lassen sich solche Reports – und damit der Nachweis, dass Compliance-Anforderungen erfüllt sind – leicht erstellen. 

Wer nicht alle seine Daten in die Cloud schieben möchte oder das aus regulatorischen Gründen nicht kann, hat nach wie vor die Möglichkeit, diese im eigenen Rechenzentrum zu behalten. So oder so: Sie bleiben immer Herr der Daten. Hier ist noch einiges an Aufklärungsarbeit zu leisten, wie eine Studie der Non-Profit-Organisation HIMSS zum Cloud Computing in deutschen Krankenhäusern zeigt. Diese schätzen an On-Premise-Lösungen unter anderem den Schutz der Daten vor unberechtigtem Zugriff, die Einhaltung der DSGVO sowie die Reduzierung von Sicherheitsrisiken. Alles scheinbare Gewissheiten, die heutzutage auch und noch mehr für die Cloud gelten.

Zu den finanziellen und organisatorischen Vorteilen beim Wechsel in die Cloud kommt noch ein weiterer Pluspunkt, der allein dem Healthcare-Bereich vorbehalten ist: ein effizientes Datenmanagement, das Leben retten kann. Wer Datensilos aufbricht und Informationen an zentraler Stelle zusammenführt, zieht mehr Nutzen aus ihnen. So können beispielsweise schneller Diagnosen gestellt oder Ablaufprozesse in Krankenhäusern optimiert werden. 

Warum der Fachkräftemangel das IT-Outsourcing beschleunigt

Sicherheit ist in der IT nicht verhandelbar, erst recht nicht im Healthcare-Sektor. Gerade hier befinden sich jedoch viele Einrichtungen und Institutionen in einem Dilemma: Sie wollen und müssen die Digitalisierung vorantreiben, haben aber oftmals weder genügend Ressourcen noch ausreichendes Know-how dafür. IT-Security-Fachkräfte sind jedoch kaum zu gewinnen – der Arbeitsmarkt ist schlicht leergefegt. Umso dringender ist die Nutzung von Cloud- und Softwarelösungen sowie Beratung, um sich zeitgemäß absichern zu können. Das hebt nicht nur das Sicherheitsniveau, sondern schafft den vorhandenen IT-Fachkräften auch mehr Freiraum, um sich auf ihre eigentlichen Aufgaben zu konzentrieren: den Schutz der intern verbleibenden Prozesse und ihre Optimierung durch digitale Tools. Andernfalls bleibt ihnen nur, zu reagieren statt zu agieren – mit möglicherweise gravierenden Folgen.