- Von Miriam Friedmann
Ausfallsicherheit im Krankenhaus: Mit der Cloud besser abgesichert
KRITIS-Häuser beschäftigen sich schon lange mit der Frage: Wie können wir unsere Ausfallsicherheit robuster gestalten und uns bestmöglich vor Cyberangriffen schützen? Mit der neuen EU-weiten NIS-2-Verordnung, müssen sich nun auch kleine und mittelgroße Krankenhäuser diese Fragen stellen. Was NIS-2 bringt und wie Sie mit der Cloud Ihre Ausfallsicherheit verbessern können, fasst dieser Beitrag zusammen.
Datensicherheit und Ausfallsicherheit im Krankenhaus werden immer wichtiger
Das Thema Datensicherheit gewinnt für Krankenhäuser an Bedeutung. Kaum eine Woche vergeht, in der in der Presse nicht von Cyberangriffen auf Gesundheitseinrichtungen berichtet wird.
Die dadurch entstehenden Schäden für Krankenhäuser sind vielschichtig: Neben der negativen medialen Berichterstattung, drohen wirtschaftliche Konsequenzen. Was noch schwerer wiegt sind Systemstillstände, die teilweise über mehrere Monate andauern können, oder die Verschlüsselung von Daten durch Hacker, deren Wiederherstellung nicht oder nur unter erheblichem Aufwand möglich ist. Besonders kritisch ist die Situation, wenn der Angriff medizinischen Bilddaten gilt: Das gefährdet die Patientenversorgung massiv, da Bilddaten in der Diagnostik und Behandlung essentiell sind.
Zusätzliche Dringlichkeit entsteht durch die neue EU-Richtlinie NIS-2. Diese muss auf nationaler Ebene bis Oktober 2024 umgesetzt werden und betrifft nicht nur KRITIS-Häuser, die bereits umfassende Sicherheitsmaßnahmen etablieren mussten, sondern auch kleinere und mittlere Gesundheitseinrichtungen.
NIS-2 steht für “The Network and Information Security Directive”. Die EU-Richtlinie wurde im Dezember 2022 veröffentlicht und ist auf EU-Ebene im Januar 2023 in Kraft getreten. Das Ziel der Richtlinie, die bis Oktober 2024 in nationales Recht überführt werden muss, ist es, die Cyber- und Informationssicherheit von Unternehmen und Institutionen zu regeln.
Welche Gesundheitseinrichtungen sind von NIS-2 betroffen?
Die NIS-2-Richtlinie ist bereits im Januar 2023 als EU-Recht in Kraft getreten und muss von den Mitgliedsstaaten der EU bis Mitte Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland soll das “NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz” – kurz NIS2UmsuCG – für diese Umsetzung sorgen. Aktuell (Stand Juli 2024) ist das Gesetz noch im Gesetzgebungsverfahren.
Der veröffentlichte Referentenentwurf für das NIS2UmsuCG zeigt allerdings: Die Geschäftsführung von Krankenhäusern und anderen Gesundheitseinrichtungen wird in die Pflicht genommen, definierte Maßnahmen im Bereich Cybersecurity umzusetzen. Neben Schutzmaßnahmen geht es auch um die Fähigkeit nach und während eines Angriffs schnell wieder einsatzfähig zu sein. Bei einer Nichteinhaltung der im NIS2 definierten Maßnahmen drohen erhebliche Geldstrafen.
Mussten bisher nur KRITIS-Häuser – also Krankenhäuser mit über 30.000 vollstationären Fällen pro Jahr – bestimmte Cybersicherheitsrichtlinien erfüllen, sind nun auch kleinere Häuser gefordert, Maßnahmen zum Schutz vor Cyberattacken zu ergreifen. NIS-2 gilt für alle Gesundheitseinrichtungen, die mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als zehn Millionen Euro aufweisen.
NIS-2: Welche Maßnahmen müssen Krankenhäuser jetzt ergreifen?
Die zu erbringenden Maßnahmen im Rahmen von NIS-2 sind nicht unerheblich. Krankenhäuser müssen verschiedene Aspekte zur Erhöhung der Cybersicherheit berücksichtigen.
Folgende Aspekte müssen Gesundheitseinrichtungen laut Verband Der Mittelstand. BVMW im Blick haben:
- Risikomanagementmaßnahmen wie technische und organisatorische Maßnahmen zur Risikoanalyse, der Bewältigung von Sicherheitsvorfällen oder der Aufrechterhaltung des Betriebs.
- Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für betroffene Einrichtungen
- Meldepflicht von Vorfällen innerhalb von 24 Stunden an das BSI
- Governance als Steuerung der Cybersicherheit durch die Geschäftsführung, die für deren Umsetzung auch haftbar ist.
- Lieferkettensicherheit, um u.a. sicherzustellen, dass nachgelagerte Dienstleister Maßnahmen zur Cybersicherheit erfüllen und ein Weiterbetrieb möglich ist.
DICOM-Daten: Großes Gefährdungspotenzial aufgrund der Datenmenge
Medizinische Bilddaten machen in Krankenhäusern den größten Anteil der Gesamtdatenmenge eines Krankenhauses aus. Je nach Bettenzahl und vorhandenen CT-, MRT- und Röntgengeräten können wöchentlich leicht über 100 GB an Daten erzeugt werden. Ein mittelgroßes Krankenhaus mit 400 Betten hat aus unserer Erfahrung im Durchschnitt 30 Terabyte alleine an DICOM-Bildern in seinen Archiven liegen.
Nicht nur das Management dieser großen Datenmengen ist für die Krankenhäuser eine Herausforderung, sondern auch deren sichere Aufbewahrung. Mit der zunehmenden Digitalisierung gehen die notwendigen Schutzmaßnahmen weit über spezielle Serverräume und Ausfallkonzepte hinaus. Cyberangriffe sorgen aufgrund der engen internen Vernetzung in Krankenhäusern meist für einen kompletten Stillstand aller Prozesse – auch des Bilddatenmanagements.
Mehr Datensicherheit durch Cloud-Lösungen
Eine erprobte Option, um die Datensicherheit zu erhöhen, sind Cloud-Lösungen. Die Cloud kann in unterschiedlichen Ausprägungsarten in Krankenhäusern genutzt werden. Im Bereich des Bilddatenmanagements sorgen z.B. Software-as-a-Service-Lösungen aus der Cloud, wie die TMD Cloud, dafür, dass die medizinischen Bilddaten außerhalb des Krankenhauses zuverlässig archiviert und gegen Cyberattacken besser geschützt werden.
Die Vorteile einer DICOM-Archivierung in der Cloud sind u.a.
- Professionell geschützte Archivierung von Bilddaten in Rechenzentren externer Anbieter
- Schnellerer Zugriff auf die geo-redundant gespeicherten DICOM-Daten bei Hackerangriffen sowie im Falle anderer Katastrophen (z.B. Brand, Überflutung)
- Geschützter Abruf der in der Cloud gespeicherten Gesundheitsdaten zum Beispiel von anderen Klinik-Standorten oder aus dem Home Office
- Schnelle Wiederherstellung von Bilddaten im Fall von Datenverlusten auf lokalen Systemen
Im Krisenfall: Schnell auf Notbetrieb umschalten
Im akuten Bedrohungsfall müssen Krankenhäuser schnellstmöglich einen Notbetrieb bewerkstelligen, um kritische Versorgungsleistungen aufrecht erhalten zu können – beispielsweise den Betrieb der Notaufnahme oder von kardiologischen oder gynäkologischen Abteilungen.
Haben Krankenhäuser eine ortsunabhängige Datenhaltung beispielsweise für ihre DICOM-Daten in einem Langzeitarchiv in der Cloud, können diese in kürzester Zeit wiederhergestellt und bereitgestellt werden. Auch das Archivieren von neu erzeugten Röntgen-, CT- oder MRT-Bildern im Cloud-Archiv stellt kein Problem dar – selbst wenn das eingesetzte PACS oder KIS vom Cyberangriff betroffen sind.
Denn die Übermittlung der DICOM-Bilder kann direkt von den Notfall-Modalitäten in die Cloud erfolgen. Im Falle einer gekappten Internetverbindung kann die erforderliche Verbindung zur Cloud über einen eigens für den Notfallbetrieb vorgehaltenen mobilen Hotspot erfolgen.
Diagnostik von DICOM-Daten im Notfallbetrieb
Neben der Archivierung und dem Abruf der Daten kann auch die Befundung unabhängig von einzelnen Arbeitsplätzen in einem Angriffsfall über Cloud-Lösungen weiterhin gewährleistet werden.
So bietet zum Beispiel die TMD Cloud von Telepaxx ein webbasiertes Nutzerportal, über das Ärzte die DICOM-Daten und Befunde geschützt über einen Webbrowser von jedem Computer aus befunden können. Das bedeutet: Schnelle Wiedereinsatzbereitschaft wichtiger Abteilungen in einer akuten Bedrohungslage.
Fazit: Mit Cloud- und SaaS-Lösungen die Ausfallsicherheit erhöhen
Die Datensicherheit von Gesundheitsdaten ist durch die zunehmende Digitalisierung von Prozessen und der Vernetzung von Systemen stark gefährdet. Die NIS-2-Richtlinie setzt hier an und möchte die Datensicherheit in für die Gesellschaft kritischen Einrichtungen in der Europäischen Union verbessern.
Innovative Technologien wie Cloud-Lösungen und Software-als-Service sollten eine zentrale Rolle bei der Entwicklung einer Cybersecurity-Strategie in Krankenhäusern spielen, da sie das Risiko minimieren und die Ausfallsicherheit erhöhen können.
Gerade für medizinische Bilddaten als größte Datenmenge eines Krankenhauses, ist eine externe Archivierung in der Cloud empfehlenswert, um im Krisenfall schneller wieder einsatzbereit zu sein und mögliche Datenverluste zu minimieren.
Weitere Beiträge, die sie interessieren könnten.
Entdecken Sie zehn Gründe, warum die Cloud-Technologie für Krankenhäuser nicht nur effizienzsteigernd, sondern auch unabdingbar für eine moderne Healthcare-IT ist – spätestens mit dem DigiG. Lesen Sie unseren Argumentationsleitfaden.
Moderne Teleradiologie: Effizienter Bildaustausch mit der Cloud
Cloud-Technologien revolutionieren die Teleradiologie. Wie das Strahlenschutzgesetz Teleradiologie definiert und wie die Cloud zum Einsatz kommen kann, erfahren Sie in unserem Beitrag.
Der European Health Data Space soll klare Spielregeln für den Austausch von Gesundheitsdaten in der Europäischen Union definieren. Dieser Artikel fasst das Wichtigste zusammen und stellt vergleichbare Ansätze vor.
Vereinbaren Sie jetzt ein kostenloses persönliches Beratungsgespräch.
Wir freuen uns auf Sie!