Eindringliche Warnung im Halbjahresbericht 2020/2 des «Nationalen Zentrums für Cybersicherheit NCSC» an alle Akteure im Schweizer Gesundheitswesen: Die Digitalisierung schreitet im Gesundheitswesen rasch voran. Globalisierte Lieferketten und computergesteuerte Logistik durchdringen den Praxisalltag. Patientendossiers werden digital geführt. Wie in anderen Bereichen vergrössert sich dadurch die potenzielle Angriffsfläche für die weltweit immer aggressiveren Cyberkriminellen. Das ist im Gesundheitswesen besonders heikel, weil die Patientendaten einerseits besonders schützenswerte Personendaten sind und anderseits, wie beispielsweise die Ergebnisse früherer medizinischer Untersuchungen, bei Verlust nicht mehr nachträglich erhoben werden können. Deshalb gilt: Im Gesundheitswesen müssen alle Mitarbeitenden für die Abwehr von Cyberangriffen besonders geschult und sensibilisiert werden.
Patientendaten sind «besonders schützenswerte Personendaten»
Im Halbjahresbericht 2020/2 des «Nationalen Zentrums für Cybersicherheit NCSC» ist zu lesen: Daten über die Gesundheit von Personen sind gemäss Datenschutzgesetz «besonders schützenswerte Personendaten» und sollen entsprechend besonders gut vor unbefugter Kenntnisnahme geschützt werden. Sie sind einmalig und lassen sich bei Missbrauch nicht wie Passwörter einfach ändern.
Die Gesundheitsdaten müssen überdies vor jeder möglichen Zerstörung besonders gut geschützt werden. Beispielsweise lassen sich Ergebnisse früherer Untersuchungen nicht nachträglich erheben. Dabei ist namentlich auch der der Schutz von Patientendaten vor jeglicher unbefugter Veränderung sicherzustellen. Denn Infusionen mit der falschen Blutgruppe können tragisch enden. Und Falschinformationen über Medikamentenunverträglichkeiten oder Allergien können verheerende Folgen haben.
Personenkreis mit Datenzugriff so weit wie möglich einschränken
Eine gekonnte Digitalisierung kann die Risiken rund um die Patientendaten entschärfen. Wichtig dabei: Ausschliesslich berechtigte Personen sollen auf Patientendaten zugreifen können und der Kreis von Personen, die diese Daten ändern können, muss weitestgehend eingeschränkt werden. Das muss die eingesetzte Informationstechnologie zu hundert Prozent erfüllen.
Erfolgreiche Cyberangriffe sind im Gesundheitsbereich besonders heikel
Während die Bedrohungen in den meisten Wirtschafsbereichen sehr ähnlich oder sogar gleich sind, sind die Konsequenzen von erfolgreichen Cyberangriffen im Gesundheitswesen stets besonders schwer. So sind zum einen bei einem Datenabfluss immer unabänderliche, besonders schützenswerte Personendaten betroffen. Zum anderen können Funktionsausfälle von informationstechnologischen Systemen oder eine auch nur temporäre Nichtverfügbarkeit von Daten bei Gesundheitseinrichtungen die Gesundheit oder sogar das Leben von Patientinnen und Patienten gefährden.
Alle Mitarbeitenden schulen und für die Cyberbedrohungen sensibilisieren
Spitäler und andere Gesundheitsdienstleister sind grundsätzlich genau den gleichen globalen Cyberbedrohungen ausgesetzt wie alle Unternehmen, die einen Internetanschluss haben und mit Computern arbeiten. Wegen der potenziell menschengefährdenden Folgen von erfolgreichen Cyberangriffen ist es aber im Gesundheitsbereich besonders wichtig und unabdingbar, die notwendigen Sicherheitsmassnahmen stets auf dem Stand der modernsten Cyberabwehrmöglichkeiten zu halten. Dabei sind insbesondere alle Zugänge zu Daten und Systemen mit Mehrfaktorauthentifizierungen abzusichern. Infektionen mit Schadsoftware sind mit allen möglichen Mitteln zu verhindern, im Schadenfall zeitnah zu erkennen und sofort zu beheben.
Im Mittelpunkt sollte stets eine leider oft vernachlässigte, aber unabdingbare Schutzmassnahme in der Abwehr von Cyberangriffen stehen: Alle Mitarbeitenden im korrekten und sicheren Umgang mit Informatikmitteln schulen und für alle möglichen Cyberbedrohungen laufend sensibilisieren.