Schwachstelle Datenverlust: Sensible Daten richtig sichern

Backup-Lösungen für Krankenhäuser Schwachstelle Datenverlust: Sensible Daten richtig sichern

16.11.2023 Ein Gastbeitrag von Björn Albers Lesedauer: 5 min |

Anbieter zum Thema

Der Gesundheitssektor ist zunehmend der Gefahr von Cyberangriffen ausgesetzt. Zur Sicherung der digitalen Patientendaten sind fehlerfreie Backups unerlässlich. Worauf es dabei ankommt, erklärt Björn Albers in seinem Gastbeitrag.

Nicht nur regelmäßige Backups sind wichtig, sondern auch Wiederherstellungstests – um sicherzugehen, dass die Daten im Ernstfall tatsächlich regeneriert werden können.
(© Murrstock – stock.adobe.com)

Die fortschreitende Digitalisierung kommt zunehmend im Gesundheitswesen an. In der heutigen digitalen Gesundheitslandschaft spielen Patientendaten eine entscheidende Rolle, vor allem bei der Bereitstellung hochwertiger medizinischer Versorgung. So gibt es seit Januar 2021 die elektronische Gesundheitsakte (ePA) für alle gesetzlich Versicherten. In der ePA können medizinische Befunde und Informationen umfassend gespeichert werden – und zwar über Praxis- und Krankenhausgrenzen hinaus. Diese Art der Verwaltung und Distribution medizinischer Informationen ist neuartig und die Sicherheit dieser sensiblen Patientendaten extrem wichtig, damit nicht nur der Datenschutz, sondern auch die Patientensicherheit gewährleistet ist. Vor dem Hintergrund aktueller Cyberrisiken sollten Krankenhäuser, Kliniken und Arztpraxen deshalb besonders vorsichtig mit diesen Daten umgehen und Maßnahmen zu deren Schutz ergreifen.

Angriffsziel: Gesundheitssektor

In den letzten Jahren hat die Cyberkriminalität einen extremen Anstieg erlebt. Auch der Gesundheitssektor ist ein beliebtes Ziel von Hackern geworden. Eine diesjährige Studie des Sicherheitsanbieters Claroty zur globalen Cybersicherheit im Gesundheitswesen hat ergeben, dass 73 Prozent deutscher Gesundheitseinrichtungen im Jahr 2022 von Cyberattacken betroffen waren. Dabei hatten 33 Prozent dieser Vorfälle moderate bis erhebliche Auswirkungen auf die Patientenversorgung und sogar 27 Prozent hatten ernsthafte Konsequenzen für die Gesundheit und Sicherheit der Patienten in Deutschland. Die Mehrzahl der Cyberangriffe fand auf cyberphysische Systeme statt. Darunter fallen medizinische Geräte und die Gebäudetechnik. Bei jedem zweiten Vorfall wurden die IT-Systeme attackiert, wobei in 30 Prozent dieser Fälle weltweit auch sensible Daten, wie zum Beispiel geschützte Gesundheitsinformationen, betroffen waren. Damit diese Zahlen in den kommenden Jahren sinken, müssen Praxen, Krankenhäuser und Kliniken umfangreich in ihre Cybersicherheit investieren. Denn medizinische Geräte und Systeme sind zunehmend vernetzt und generieren immer komplexere Mengen an sensiblen Daten. Demnach kann ein einziger erfolgreicher Hackerangriff einen großen Datensatz betreffen.

Erster Schritt in Richtung Cybersicherheit

Der Grundstein jeder Strategie gegen Datenverlust sind Backups. Im Bereich der Cyberkriminalität ist Ransomware eine der häufigsten Methoden von Hackern. Dabei infiltrieren Angreifer das System und verschlüsseln wichtige Daten, für die sie anschließend Lösegeld fordern. In Deutschland haben laut Claroty 20 Prozent der Institutionen, welche im letzten Jahr Opfer von Ransomware waren, das geforderte Lösegeld gezahlt. Gut gesicherte Backups ermöglichen es, die Daten wiederherzustellen, ohne auf die Forderungen der Angreifer einzugehen. Aber nicht nur Hackerangriffe können zum Abfluss von Daten führen, sondern auch Hardware- oder Softwarefehler. Ein Faktor, der unberechenbar ist und häufig übersehen wird, ist menschliches Versagen. Im alltäglichen Betrieb kann es immer wieder zu Situationen kommen, in denen ein IT-Problem durch internes Verschulden generiert wurde.

Backups sollten daher häufig und regelmäßig durchgeführt werden. Im Idealfall verläuft die Sicherung automatisch, sodass manuellen Fehlern vorgebeugt werden kann. Wichtig ist zudem eine effiziente Verschlüsselung, um unbefugtem Zugriff vorzubeugen. Das gilt nicht nur für die zu sichernden Daten, sondern auch für die Backup-Speicher. Außerdem sollte es mehrere Backupversionen geben. Die Möglichkeit, auf verschiedene Versionen von Backups zuzugreifen, kann entscheidend sein, wenn Daten aufgrund von Fehlern oder Angriffen beschädigt werden. Im Fall von großflächigen Ereignissen wie Bränden oder Naturkatastrophen sollten die Backups an physisch getrennten Orten aufbewahrt werden. Sind die Daten angemessen gesichert, gilt es, sie regelmäßig zu überwachen und auf Fehler zu prüfen. Dazu gehört auch die Durchführung von Wiederherstellungstests, um sicherzugehen, dass die Daten im Ernstfall tatsächlich regeneriert werden können.

Auf der nächsten Seite: Probleme in der Umsetzung.

Probleme in der Umsetzung

Die Sicherung von sensiblen Daten durch Backups ist zwar entscheidend für die Behandlung und Versorgung von Patienten, aber es gibt auch einige Herausforderungen, denen Gesundheitseinrichtungen ausgesetzt sind. Häufig spielt der Kostenfaktor eine Rolle. Denn das Sichern und Speichern großer Mengen an Patientendaten und Backups kann teuer werden, insbesondere wenn Offsite-Backups im Spiel sind. Außerdem sollten sich Krankenhäuser und Praxen genauestens über Regelungen und Normen informieren, von denen sie betroffen sind. Die Einhaltung gesetzlicher Anforderungen im Gesundheitswesen kann komplex werden. Eine gründliche Überwachung und eine detaillierte Dokumentation aller Backups und Backup-Prozesse ist dafür essenziell. Für die komplexe Verwaltung von Backups sind zum einen Fachkenntnisse und zum anderen Ressourcen erforderlich, daher ist es wichtig, dass Gesundheitseinrichtungen über das erforderliche Personal und die Technologie verfügen. Dabei sehen sich viele Institutionen mit dem aktuellen Fachkräftemangel in der IT konfrontiert. Die Studie von Claroty zeigt, dass jede zweite Gesundheitseinrichtung in Deutschland neue Mitarbeiter für den Bereich Cybersecurity sucht. Ganze 70 Prozent der Befragten haben bei der Rekrutierung Schwierigkeiten. Automatisiertes Monitoring und Reporting kann Krankenhäuser und Arztpraxen bei diesen Problemen entlasten.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Automatisierung als Lösung

Wer das Problem der begrenzten personellen Ressourcen angehen möchte, sollte auf automatisierte Tools setzen. Die IT-Admins im Gesundheitssektor haben begrenzte Kapazitäten und manuelle Backup-Prozesse und -Überwachung kostet Zeit. Hinzu kommt, dass mit steigendem Leistungsdruck auch vermehrt Fehler unterlaufen können. Automatisiertes Monitoring und Reporting bietet eine ressourcensparende Lösung, vor allem für die Berichterstattung über Backups. Welche Nachweise gewünscht sind, können Admins individuell einstellen. Den Rest erledigt die Software: Statusbelege der Backups sind in kurzer Zeit so kategorisiert, dass sie die geforderten Dokumentationsvorgaben erfüllen. Monitoring und Reporting trägt außerdem als wichtiger Faktor zu der IT-Sicherheit von Krankenhäusern und Praxen bei. Fehlende und fehlerhafte Backups werden automatisch erkannt, ohne dass Admins diese eigenhändig und zeitaufwendig suchen müssen. Wenn gewährleistet ist, dass alle sensiblen und wichtigen Daten fehlerfrei im Backup abliegen, ist die Wiederherstellung im Falle eines Cyberangriffs, eines Hard- oder Softwareschadens oder eines internen Fehlers garantiert. Besonders die Ransomware-Erkennung im Monitoring kann Institutionen vor hohen Lösegeldforderungen bewahren. Dabei werden all die Backups identifiziert, welche bereits verschlüsselte Daten enthalten und somit unbrauchbar sind. Wenn alle anderen Überwachungssysteme versagt haben sollten, kann durch das Monitoring auch der Angriff an sich erkannt werden. Somit ist nicht nur das Backup auf Brauchbarkeit geprüft, sondern im Ernstfall wird gleichzeitig noch ein Cyberangriff erkannt.

Datensicherung sorgfältig planen

Die Sicherung von Patientendaten durch Backups ist unerlässlich, um deren Integrität und Verfügbarkeit zu gewährleisten. Gesundheitseinrichtungen sollten die besten Software-Lösungen für die Datensicherung implementieren und gleichzeitig die Herausforderungen in Bezug auf Kosten, Komplexität und Compliance berücksichtigen. Dabei helfen Backup-Lösungen, die mit automatisiertem Monitoring und Reporting einen umfangreichen Überblick über komplexe Backupumgebungen bieten. Denn durch eine sorgfältige Planung und regelmäßige Überwachung können Gesundheitseinrichtungen sicherstellen, dass Patientendaten geschützt und im Bedarfsfall wiederhergestellt werden können. Dies ist entscheidend, um eine hochwertige medizinische Versorgung und den Schutz der Privatsphäre der Patienten sicherzustellen.

Björn Albers
ist Senior Systemberater bei der Schmitz RZ Consult GmbH.

Bildquelle: Schmitz RZ Consult GmbH

(ID:49784851)

Merkliste