Operation gelungen

In medizinischen Einrichtungen geht das Personal täglich mit sensiblen Informationen um, während verschiedene Beispiele die Verwundbarkeit der digitalen Infrastruktur immer wieder vor Augen führen. Diese Diagnose ist angesichts gesetzlicher Richtlinien wie IT-Sicherheitsgesetz und Datenschutz-Grundverordnung (DSGVO) besonders bedenklich, weil viele Krankenhäuser als kritische Infrastruktur (Kritis) gelten und personenbezogene Daten schützen müssen. Umso wichtiger, dass beim Einsatz technischer Lösungen Sicherheit und Benutzerfreundlichkeit Hand in Hand gehen und keine „Schatten-IT“ entsteht. Zwei Kliniken, die dieses Problem erkannt und gelöst haben, sind die Medizinische Hochschule Hannover und das Krankenhaus Düren: Sie setzen bei der verschlüsselten Übertragung vertraulicher, mitunter auch sehr großer Patientendaten das Verschlüsselungs-Tool Cryptshare ein.

Mit ihren rund 10.000 Beschäftigten gehört die MHH zu den leistungsfähigsten medizinischen Universitäten Deutschlands. Ihr zentraler IT-Dienstleister, das Zentrum für Informationsmanagement (ZIMt), unterstützt sie unter anderem bei der Auswahl von IT-Anwendungen. Gefragt war eine Lösung, die das Brennen auf CDs und DVDs überflüssig macht. Der Postversand der Datenträger war zeitaufwendig, der E-Mail-Versand mit verschlüsselten ZIP-Dateien scheiterte an Größenbeschränkungen, und der Administrationsaufwand für den SFTP-Server war hoch. Während des Auswahlprozesses wurden ZIMt-Mitarbeiter von IT-Managern einer deutschen Universitätsklinik auf eine vom Administrationsaufwand einfachere Alternative zu S/MIME und PGP aufmerksam gemacht. Maßgebend bei der Entscheidung war dann, dass Cryptshare als Web-Anwendung und integriert in Microsoft Outlook zur Verfügung steht.

Ärzte und Pflegepersonal übermitteln nun Patientendaten verschlüsselt an Arztpraxen, nachbehandelnde Kliniken oder medizinische Leistungsträger – weil diese personenbezogenen Daten als besonders schützenswert gelten. Dazu zählen besonders umfangreiche Röntgenbilder und dreidimensionale CT-Scans, während Mitarbeiter aus Forschung und Lehre die Lösung in internationalen Projekten einsetzen. Im administrativen Bereich schließlich verwenden die Krankenhausangestellten sie unter anderem zum Versenden und Empfangen von Bewerbungsunterlagen.

IT-Dienstleister und Krankenhausmitarbeiter loben die höhere Produktivität und weisen auf einen anderen wesentlichen Aspekt hin: das Einhalten von Compliance-Richtlinien: „Die Medizinische Hochschule Hannover gilt als kritische Infrastruktur und muss personenbezogene Daten besonders schützen.“ Hier greift zum einen das IT-Sicherheitsgesetz, dessen Regelungsbereich im Juni 2017 ausgeweitet wurde und seitdem auch den Gesundheitssektor umfasst – und zum anderen die EU-Datenschutz-Grundverordnung. Seit sie im Mai 2018 endgültig in Kraft trat, müssen die Betroffenen Datenschutzverletzungen anzeigen. Einige Einrichtungen wie eben aus dem Gesundheitswesen, die zu den Betreibern kritischer Infrastrukturen gezählt werden, stehen hierbei unter besonders strenger Beobachtung von Regulierungsbehörden.

Outlook-Anbindung als Auswahlkriterium

Ein weiterer Anwendungsfall ist der des Krankenhauses Düren: Pro Jahr vertrauen rund 20.000 stationäre und 50.000 ambulante Patienten dem führenden Schwerpunktversorger zwischen Köln und Aachen, zwischen Eifel und Niederrhein. Die Klinik mit etwa 1.200 Mitarbeitern ist akademisches Lehrkrankenhaus der RWTH Aachen und darf als eine von bisher 35 der knapp 2.000 deutschen Kliniken das Goldsiegel der „Aktion Saubere Hände“ tragen.

Während die Übertragung von Keimen im Krankenhaus gänzlich unerwünscht ist, soll die Übermittlung digitaler Daten sicher und zuverlässig verlaufen. Das Personal tauscht täglich sensible, personenbezogene Patientendaten mit Krankenkassen, Arztpraxen und anderen Kliniken aus – darunter regelmäßig große Dateien. Die klassische E-Mail kam aus mehreren Gründen schnell an ihre Grenzen. Große Datenmengen wurden häufig auf CDs gebrannt oder auf USB-Sticks versendet, vertrauliche Daten gingen häufig den Weg per Briefpost oder Fax. Das war unsicher, zeitaufwendig und teuer, und die analogen Dokumente ließen sich nicht sofort weiterverarbeiten.

Um dem Sicherheitsrisiko einer Schatten-IT vorzubeugen und um die Produktivität der Anwender zu steigern, legten die IT-Verantwortlichen Wert darauf, dass der Aufwand bei der Installation einer Software gering und anschließend die Bedienung für Absender und Empfänger einfach sein sollte. Viele Angebote waren am Client java-basiert, während Cryptshare als eine der wenigen Ausnahmen mit jedem Browser ohne zusätzliches Add-on oder Software funktioniert. Beim Auswahlprozess überzeugte dann speziell das Outlook-Add-in. IT-Leiter Timo Dreger erklärt: „Wir bieten Cryptshare allen Mitarbeitern an, die die Möglichkeit benötigen, mit externen Partnern große Dateien und sensible Informationen auszutauschen. Da wir über eine Terminalserver-Infrastruktur verfügen, haben wir es so eingerichtet, dass nur die Nutzer, die mit dem Tool arbeiten, das Add-in zu sehen bekommen.“

Wegen ihres schützenswerten Inhalts werden beispielsweise Befunde an Kooperationskliniken und Patientendaten an Krankenkassen sowie Reha-Einrichtungen verschlüsselt versendet. Probleme, dass Daten aufgrund ihrer Größe nicht gemailt werden können, gehören nun der Vergangenheit an – etwa der Empfang bildgebender Diagnostik von Zuweisern oder der Versand an Kooperationskliniken. In der Aus- und Weiterbildung werden Schulungsunterlagen an die Teilnehmer übermittelt, in der akademischen Lehre Lehrmaterial und Hausarbeiten zwischen Studenten und Ärzten ausgetauscht oder Fachbeiträge an Fachverlage und Zeitschriften übermittelt. Selbst bei IT-Problemen kommt die Lösung zum Einsatz, wenn Daten zur Problemanalyse an Software-Hersteller übermittelt werden.

Bildquelle: iStock/Getty Images Plus