Vernetzung und Digitalisierung machen auch vor dem Gesundheitsbereich nicht Halt. Das schafft einerseits neue Möglichkeiten bei Diagnose und Behandlung von Patienten durch das Zusammenführen von Informationen, die an unterschiedlichen Stellen gesammelt werden. Andererseits sind Datensammlungen immer ein Sicherheitsproblem.

Wenn das Internet of Things (IoT), drahtlose oder mobile Netzanbindung und Künstliche Intelligenz zusammenkommen, ist äußerste Vorsicht geboten, ist man sich auch bei Wien Digital bewusst, zuständig für alle IT-Agenden der Stadt Wien. Daher wurden viele unterschiedliche Vorkehrungen getroffen.

Private Netze - gesunde Daten

Nur private Netze sind sicher für Gesundheitsdaten, meint Herlinde Toth.
Nur private Netze sind sicher für Gesundheitsdaten, meint Herlinde Toth.

"Generell werden bei uns keine Gesundheitsdaten über öffentliche Netze übertragen, außer via Bürgerportal zum Patienten. Daten werden zwischen Gesundheitsdiensteanbietern nur über abgesicherte private Netze transportiert", erkärt Herlinde Toth, E-Health-Koordinatorin der Stadt Wien, im Gespräch mit der "Wiener Zeitung".

Private Netze, damit sind eigens errichtete Datennetze gemeint. Healix etwa geht auf eine Initiative verschiedener Bundesländer zurück und ermöglicht die Datenkommunikation zwischen Spitälern und niedergelassenen Instituten. Auch das eHI-Netz, das der Hauptverband der Sozialversicherungsträger aufgebaut hat, um seine Häuser zu verbinden, wird für Gesundheitsdaten genützt. Das City-Netz der Stadt Wien kommt ebenfalls für den Transport der sensiblen Daten zum Einsatz."Um diese Netze nutzen zu können, müssen teilnehmende Institutionen Vertragswerke mit vielen Verhaltensregeln unterschreiben und diese auch einhalten. Die Daten werden mit speziellen Zertifikaten verschlüsselt und können nur zwischen Nutzern verschickt werden, die im sogenannten E-Health-Verzeichnis angeführt sind", so Toth.

Wolfgang Steiner kennt sich aus mit dem Innenleben "seiner" Maschinen.
Wolfgang Steiner kennt sich aus mit dem Innenleben "seiner" Maschinen.

Für den Umgang mit Gesundheitsdaten gibt es in Österreich das "Gesundheitstelematik-Gesetz", das unter anderem vorschreibt, wie sich Benutzer authentifizieren müssen und wie lange und wie sicher die Schlüssel sein müssen. "Österreich war eines der ersten Länder, das ein solches Gesetz herausgebracht hat", ist sie stolz.

"Wir dürfen uns jedoch nicht ausruhen. Auch wenn wir bislang keine Vorfälle gehabt haben, müssen wir permanent beobachten, wohin die Entwicklung geht und wo wir Maßnahmen verstärken müssen", beschreibt Wolfgang Steiner, Leiter des Teams Security, Safety und Compliance und von Wien Cert, die Sisyphos-Arbeit rund um sichere Daten.

"Einem Angreifer reicht es, eine einzige Schwachstelle im Netz zu finden. Wir als Verteidiger müssen alles gleichzeitig im Auge behalten, all unsere Schwachstellen kennen und schützen. Also hat der Angreifer einen Vorteil."

Schicht für Schicht

Generell setzt man auf mehrere Schichten im Netz, ein mehrstufiges Sicherheitskonzept, damit, selbst wenn es ein Angreifer durch eine Schicht schafft, nicht gleich alles offen steht. "Aber niemand kann Sicherheit allein mit technischen Maßnahmen erreichen. Auch die Anwender müssen mitspielen und geschult werden. Wenn jemand Patientendaten lokal speichert und diese dann verloren gehen, nützt das sicherste Netz nichts", warnt Steiner.

Strenge Regeln für Sicherheit

Vorkehrungen hat man getroffen, so haben Endanwender innerhalb der Hochsicherheitsnetze keine Rechte, selbst Software zu installieren. Zugriffsrechte hat jeder nur, soweit diese unbedingt für die Arbeit nötig sind. Software, die auf die Terminals gespielt wird, wird erst getestet und dann freigegeben. Und jeder einzelne Terminal wird laufend überprüft.

"Es sind viele verschiedene Maßnahmen, die zusammen ein dichtes Netz ergeben. Bislang waren wir damit erfolgreich, allerdings verzeichnen wir eine täglich steigende Anzahl von Angriffen auf unsere Netze", so Steiner.

"Eine Kette ist nur so stark wie ihr schwächstes Glied", mahnt Herlinde Toth. Das bedeutet, dass nicht nur Spitäler, sondern auch niedergelassene Ärzte, die als selbstständige Organisationen eigene Software-Lösungen anwenden, die hohen Sicherheitsanforderungen erfüllen müssen. Immerhin fragen auch sie ELGA und künftig den Impfpass ab. Hilfreich sei hierbei die strikte Zertifizierung. Denn wer mit ELGA arbeiten will, muss Regeln einhalten. Sensibilität im Umgang mit Gesundheitsdaten ist daher auf allen Ebenen der Gesundheitsdiensteanbieter notwendig.

Die Zukunft bringt Quantencomputer und damit neue Angriffsmöglichkeiten. Was tun? "Sicherheit ist ein Wettlauf, bei dem das Limit permanent erhöht wird", so Wolfgang Steiner. Und dieser Wettlauf muss Tag für Tag aufs Neue gewonnen werden.