HIMSS 2017

Datensicherheit wird immer wichtiger

Hackerangriffe sind heute in allen Branchen an der Tagesordnung. Im Gesundheitswesen gibt es ebenfalls zahlreiche Betroffene. Die potenziellen Risiken verunsichern inzwischen auch die Leistungserbringer in Deutschland.

HIMSS 2017 – Datensicherheit wird immer wichtiger

Rund 1.300 Aussteller stellten auf dem weltgrößten Gesundheits-IT-Kongress „Healthcare Information and Management Systems Society“ (HIMSS) in Florida ihre Lösungen und Produkte vor. | © Für beide Fotos: Mirjam Bauer

Im letzten Jahr gab es erschreckende Beispiele: Kliniken konnten nicht mehr von Notärzten angefahren werden, mussten Operationen verschieben und wieder manuell arbeiten – wie Jahrzehnte zuvor. So adressierte auch die „Healthcare Information and Management Systems Society“ (HIMSS) auf ihrem Jahreskongress in den USA das Thema Datensicherheit als eines ihrer Trendthemen. Rund 42.000 Teilnehmer und 1.300 Aussteller trafen sich vom 19. bis 23. Februar in Orlando, Florida. Unter dem Motto „Where the brightest minds in Health and IT meet“ standen Keynotes, Posterausstellungen, Workshops und zahlreiche Sessions sowie Networking Events auf der Agenda.

Aufgrund der nicht einzuschätzenden Gefahren durch Cyberangriffe im Gesundheitswesen fordern Rahmengeber inzwischen verstärkt Vorsorge, beispielsweise in Deutschland durch das IT-Sicherheitsgesetz. In den USA, so Steve Lieber, Präsident und CEO der HIMSS, nutzen die Akteure im Gesundheitswesen vermehrt das Know-how von Softwareanbietern, die Erfahrung aus der Arbeit für den militärischen Sektor und für Banken und Versicherungen mitbringen. Auf der HIMSS-Ausstellung sprach MTA Dialog mit mehreren solcher Anbieter, darunter mit SASA-Software. Dahinter verbirgt sich ein Kibbuz in Israel, der sich auf die Herstellung militärischer Fahrzeuge und deren Export etwa in die USA spezialisiert hat und dadurch höchste Sicherheitsansprüche auch für seine Softwaresysteme erfüllen muss. Aus dieser Situation heraus beziehungsweise als Nebeneffekt entwickelte der Kibbuz daher auch hochkomplexe Sicherheitslösungen. Die Herangehensweise, Office-Dateien, PDFs und auch DICOM-Bilder durch Analyse und Generierung sicherer Dateiversionen problemfrei nutzbar zu machen, bietet Oren T. Dvoskin, Regionaldirektor USA, SASA-Software, jetzt auch erfolgreich international im Gesundheitssektor an.

Es gibt keine hundertprozentige Sicherheit

Doch absolute Sicherheit wird es im Bereich der IT niemals geben – da stimmen Experten überein. Wichtig ist bei jeder Art von Angriff das Zeitverhalten der Betroffenen. Geschädigte versäumen oft, unverzüglich Maßnahmen und Abstimmungen mit den Ermittlungsbehörden vorzunehmen. Das Ansehen des Lukas-Krankenhauses in Neuss, das nach dem Hackerangriff im Jahr 2016 tagesaktuell die Öffentlichkeit über den aktuellen Stand der Lage informierte, hat nicht gelitten, sondern es wurde eher mit Verständnis und Lob reagiert.

Die Polizei teilt die Gefahreneinschätzung bei Institutionen grundsätzlich in zwei Arten ein: zum einen in Unternehmen und Organisationen, die bereits angegriffen worden sind; zum anderen in solche, die den Angriff nicht bemerken. Teilweise erkennen Unternehmen über Monate und Jahre nicht, dass sie ausspioniert und angegriffen werden. Eine Ursache für erfolgreiche und unbemerkte Angriffe liegt in der „digitalen Sorglosigkeit“ der Betreiber und Nutzer von IT-Systemen. Neben dem Internet sind mobile Endgeräte ein weiterer Grund für Hackerangriffe.

Die Gesundheitsdaten sind in der Untergrundwirtschaft des „World Wide Web“ beliebt und wertvoll. Auf „Handelsplattformen“ werden fünf- bis sechsstellige Datensätze aus Healthcare Databases aufgerufen und gegen Bitcoins getauscht. Diese Bitcoins sind schwer zu verfolgen – wenn man sie mit echten Geldflüssen vergleicht. Gesundheitsdaten haben laut Beobachtungen einen Wert von bis zu 55 Euro je Datensatz.

Sichere Clouds für das Gesundheitswesen

Eine in den USA verbreitete und auch auf der HIMSS mehrfach diskutierte Lösung bieten sichere Clouds. So nutzen zahlreiche Krankenhäuser, Verbünde und Versicherer bereits Clouds. Doch in Deutschland herrschen im Hinblick auf den Begriff Cloud enorme Datenschutzvorbehalte. Sichere Lösungen, etwa getunnelte „Private Clouds“, bieten hier jedoch alltagstaugliche Ansätze.

Diskutiert wurden die sichere Datenbereitstellung und deren Austausch, die weltweite Zusammenarbeit in der Entwicklung und die Verbesserung von Workflows. All diese Dinge helfen Leistungserbringern, ihre Angebote künftig zu erweitern. Das Cloud Computing eröffnet kosteneffiziente Möglichkeiten, um das benötigte höhere Maß an Flexibilität und „Agilität“ – Flexibilität im Handeln – zu erreichen. Ein wichtiges Beispiel sind hier die hochsensiblen Patientenakten. Sie werden auf einem gesicherten, elektronischen Weg weitergeleitet, um schnelleren Zugriff auf Patienteninformationen zu ermöglichen.

 

Unter dem Motto „Where the brightest minds in Health and IT meet“ trafen sich 42.000 internationale Teilnehmer im Orange County Convention Center, Orlando, zum Austausch über die News und Trends der Gesundheits-IT.

Vernetzung

Das Zusammenspiel zwischen IT-Systemen ist ausschlaggebend für die Kommunikation über die gesamte Handlungskette hinweg. Sie bestimmt somit die Umsetzung eines richtungsweisenden Trends, der in den nächsten Jahren eine zentrale Rolle in unserem Gesundheitssystem spielen wird – die Vernetzung. Der entstehende Standard „Fast Healthcare Interoperability Resources“ (FHIR) zählte auf der HIMSS zu einem der wichtigsten Beiträge in diesem Zusammenhang.

FHIR unterstützt den Datenaustausch zwischen Softwaresystemen im Gesundheitswesen – vor allem im Hinblick auf die Vielzahl von Datenquellen und für mobile Anwendungen. So präsentierte der FHIR-Guru Dr. Russell B. Leftwich, Senior Clinical Advisor von Intersystems, die Entwicklung von Kommunikationsstandards der Initiative Health Level 7 (HL7) bis hin zu diesem neuen Standard. FHIR soll die Implementierung des Datenaustausches so einfach wie möglich gestalten und eine Brücke zu bestehenden Standards schlagen. Dies ermöglicht die Einbindung von Apps und Wearables. Diese und Patienteninformationen landen bequem am Ort der Behandlung – unter dem Schlagwort „mHealth“. Leftwichs Referate fanden großen Anklang bei den IT-Leitern und Anwendern. Auch die Initiative „Integrating the Healthcare Enterprise“ (IHE) war auf dem Kongress stark vertreten, etwa im Interoperability Showcase mit zahlreichen Anwendungsbeispielen auf Basis von Interoperabilität.

IT leistet einen wichtigen Beitrag für Krankenhäuser

Um den Wertbeitrag der IT in Krankenhäusern aus Unternehmenssicht aufzuzeigen, hat die HIMSS ein Beurteilungsraster mit Kriterien geschaffen, die den Nutzen messbar machen. Carla Smith, Executive Vice President der HIMSS, ging in Orlando auf Umfragen der Fachgesellschaft ein, die auf dieser Grundlage die Situation der US-Krankenhäuser beurteilen. Einrichtungen, deren IT-Umsetzungen in den Arbeitsprozessen eine besonders hohe Wertschöpfung gebracht haben, erhalten Auszeichnungen. Das „EMR Adoption Model“ (EMRAM), eine Analysemethode der HIMSS zur Durchsetzung elektronischer Patientenakten, zählt zu dem Instrumentarium, das die HIMSS in diesem Zusammenhang bereithält. Auch deutsche Krankenhäuser, beispielsweise das Universitätsklinikum Eppendorf, Hamburg, und das Universitätsklinikum Schleswig-Holstein haben gute EMRAM-Noten erhalten

Strenge Regeln auch in den USA

Im Zusammenhang mit dieser Durchsetzung digital unterstützter Prozesse und mit ganz neuen Anforderungen bezüglich der Einbindung patienteneigener Datenquellen – Trendthema sind hier Wearables – und des „Internet of Things“ erhält die Herausforderung, Sicherheit zu schaffen, noch eine größere Tragweite. Hierzulande stellen sich immer mehr Krankenhäuser auf die Vorgaben des IT-Sicherheitsgesetzes ein, etwa durch die Schaffung eines Informationssicherheitsmanagements laut ISO 27001. Auch in den USA – einem Land, das aufgrund vermeintlich laxer Vorgaben für Datenschutz und Datensicherheit von vielen in Deutschland belächelt wird – müssen Leistungserbringer und Kostenträger übrigens seit vielen Jahren strengen Sicherheitsvorgaben nachkommen: Der Health Insurance Portability and Accountability Act von 1996 sieht hohe Geldbußen und strafrechtliches Vorgehen bei Vergehen vor.

Wer sich über neueste Entwicklungen auf diesen Gebieten informieren möchte, hat durch die Teilnahme am HIMSS-Jahreskongress die Nase vorn. Die nächste Möglichkeit bietet sich vom 5. bis 9. März 2018 in Las Vegas. Bei ihrer Ortswahl denken die Organisatoren nicht an den Spaßfaktor: Nur solche touristisch orientierten Städte bieten ausreichend Hotelkapazitäten für Megaveranstaltungen wie den weltweit größten Healthcare-IT-Kongress.

 

Entnommen aus MTA Dialog 5/2017