Die Zusammenarbeit im Gesundheitswesen verbessern Kontrollieren statt blockieren

In den meisten Krankenhäusern und Einrichtungen des Gesundheitswesens herrscht immer noch die Auffassung, dass durch die Sperrung des Zugriffs auf nicht genehmigte Cloud-Speicher oder Cloud-Collaboration-Tools der Abfluss sensibler Daten verhindert werden kann. Allerdings fließen Daten wie Wasser und finden immer ihren Weg nach draußen.

Zudem sollten im Zuge der Digitalisierung und der damit verbundenen Verbesserung der Zusammenarbeit „wasserdichte Kontrollen“ nicht das einzige Ziel sein, da sie oftmals sogar einen gegenteiligen Effekt haben: Wenn Mitarbeiter durch das Blockieren sinnvoller Dienste daran gehindert werden, ihre Arbeit bestmöglich zu erledigen, sind Daten besonders schwer zu kontrollieren.

Viele Einrichtungen des Gesundheitswesens arbeiten mittlerweile daran, die Zusammenarbeit aller Beteiligten zu optimieren, um so die Versorgungsqualität und die Behandlung der Patienten zu verbessern. Viele Patienten erkennen die Vorteile, wenn der Hausarzt, Fachärzte und andere Dienste und Einrichtungen, die an der Behandlung beteiligt sind, Zugang zu allen notwendigen Informationen haben und so die bestmögliche Versorgung gewährleisten.

Blockiert man jedoch standard­mäßig die gemeinsame Nutzung von Daten, schränkt dies die Möglichkeiten einer schnellen und abgestimmten Behandlung stark ein. Die Grundlage einer effektiven, auch abteilungs- und einrichtungsübergreifenden Zusammenarbeit ist eben der Austausch sensibler Patientendaten. Sie sind nicht zuletzt aufgrund gesetzlicher Vorgaben wie der DSGVO besonders zu schützen. Aus diesem Grund neigen Sicherheitsverantwortliche im Gesundheitssektor häufig dazu, grundsätzlich alles zu blockieren.

Alles oder nichts?

Wir sehen zwei Problemfelder aufeinandertreffen: Zum einen geht es um den Schutz der sensiblen Informationen und das Risiko eines Datenverlusts. Zum anderen um die Chancen, die aus der Zusammenarbeit für die Patienten resultieren. Die Sperrung von Tools für die Zusammenarbeit oder des Zugriffs auf Datenquellen außerhalb der Kontrolle des Krankenhauses kann zwar das Risiko eines Datenverlusts eindämmen, verhindert aber, Patienten mit den besten verfügbaren Ressourcen zu behandeln.

Ein Beispiel: Stellen wir uns vor, ein Krankenhaus nutzt als einzige verwaltete Cloud-Anwendung für die Zusammenarbeit Microsoft OneDrive. Das Sicherheitsteam des Krankenhauses sperrt den Zugriff auf alle anderen Dienste wie Dropbox, Google Drive oder Box, um ­sicherzustellen, dass Patienten­daten nicht über diese Tools ex­filtriert werden können.

Was aber, wenn ein Arzt mit einer Universität an einer speziellen Behandlung zusammenarbeitet und diese Einrichtung nur den Zugriff über Dropbox erlaubt? Dies stellt ein ernstes und verbreitetes Problem dar. Starre Richtlinien behindern die einrichtungsübergreifende Zusammenarbeit und die bestmögliche Behandlung eines Patienten, unabhängig davon, ob die fraglichen Daten sensible Informationen enthalten oder nicht. Es könnte sich durchaus nur um die Kommunikation und den Austausch allgemeiner Informationen zwischen dem Krankenhaus und der Universität gehen. Ohne den Kontext zu kennen, wird hier also standardmäßig gesperrt und wertvolle Zeit verschwendet, bis möglicherweise eine Ausnahmeregelung erteilt wird.

„Erlauben“ ist das neue „Blockieren“

In unserem Beispiel untersagt die Klinik die Nutzung von Dropbox und die Universität die Nutzung von OneDrive. Diese starren Richtlinien führen in der Praxis dazu, dass sie umgangen werden. Die Folge ist eine Schatten-IT, um die Daten jenseits der IT-Abteilung zu teilen. Um eine transparente, kollaborative Patientenversorgung zu gewährleisten, stellt das Blockieren somit keine gute Lösung dar. Stattdessen sollten die Beteiligten über sämtliche Möglichkeiten verfügen, um das zu tun, was sie tun müssen – zum Wohle der Patienten.

Wie kann man nun die Zusammenarbeit und die kooperative Pflege fördern, ohne die Datensicherheit zu gefährden? Zunächst sollte man sich einen Überblick über die Daten und die Benutzer verschaffen, die auf die Cloud und die Collaboration-Tools zugreifen möchten. Auf dieser Grundlage können granulare Kontrollen durchgesetzt werden, mit deren Hilfe festgelegt wird, was welche Nutzer mit welchen Daten auf welche Weise tun dürfen und was nicht.

In unserem Beispiel könnte das bedeuten, dass eine Gruppenrichtlinie angewendet wird, die es dem Klinikpersonal erlaubt, auf das Dropbox-Konto der Universität zuzugreifen, um gemeinsame Forschungsergebnisse anzuzeigen oder herunterzuladen, aber den Upload von Daten untersagt. Man könnte hier auch einen Schritt weitergehen und festlegen, dass die Klinikmitarbeiter auch Dateien hochladen können, es sei denn, sie enthalten geschützte Gesundheitsinformationen (PHI) oder personenbezogene Daten (PII). Wird dies dennoch versucht, verhindern die Sicherheitskontrollen automatisch, dass der Benutzer diese speziellen Dateien verschicken kann.

Durch die Schaffung von Transparenz und die Implementierung von richtlinienbasierten, granularen Kontrollen kann die Zusammenarbeit transparent gestaltet werden, während zuvor die universelle Blockierungsrichtlinie alle Beteiligten ausgebremst hat.

Obwohl das Blockieren wie ein massiver Schutzwall anmutet, lässt es dennoch eine wesentliche Komponente unberücksichtigt: die Nutzung unterschiedlicher Instanzen von erlaubten Diensten.

Verschiedene Instanzen als Herausforderung

So können beispielsweise Belegärzte auf eine vom Krankenhaus genehmigte Instanz von Office 365 zugreifen, verfügen aber möglicherweise auch über eine Windows-365-Instanz ihrer Praxis. Die Sicherheitsverantwortlichen des Krankenhauses haben aber in aller Regel keinen Einblick, auf welche Instanz zugegriffen wird oder ob hier Daten verschoben werden – und können entsprechend mögliche Datenschutzverstöße nicht verhindern. Abhilfe schaffen eine Instanz-bezogene Transparenz und granulare Kontrollen. Auf diese Weise können Richtlinien beispielsweise so festgelegt werden, dass ein Vertragsarzt sein Krankenhaus-Konto unbeschränkt nutzen kann. Seine privaten Instanzen darf er jedoch nur zu Referenzzwecken einsehen, kann hier aber nichts hochladen.

Sicherheitslösungen, welche dieses angepasste Vertrauen mit flexiblen, bedarfsgerechten Rechten ermöglichen, sind in der Lage, eine dynamische Zusammenarbeit und einen angemessenen Informationsaustausch zu gewährleisten, ohne Patientendaten und Einrichtungen einem unnötigen Risiko auszusetzen.

Sicher zusammenarbeiten

Wir müssen uns immer wieder vergegenwärtigen, dass Daten wie Wasser fließen. Sie finden immer eine Lücke, um aus den vorgesehenen Bereichen zu entweichen. Krankenhausmitarbeiter werden immer Wege finden, die Sicherheitskontrollen zu umgehen, die ihrem Hauptziel – der bestmöglichen Versorgung der Patienten und der Rettung von Leben – im Wege zu stehen scheinen.

Deshalb muss sich die Cybersicherheit im Gesundheitsbereich jetzt auf Transparenz und wirkungsvolle Schutzmaßnahmen konzentrieren. Statt auf bloßes Blockieren zu setzen, sollten granulare Richtlinien durchgesetzt werden, die die Risiken reduzieren, ohne die Zusammenarbeit zu behindern. Glücklicherweise gibt es bereits Sicherheitslösungen, die genau das ermöglichen.

* Damian Chung, Business Information Security Officer von Netskope

(ID:47903835)