Datensicherheit: Die Digitalisierung macht das Gesundheitswesen verwundbar

04 Januar, 2019

Durch die Digitalisierung des deutschen Gesundheitswesens spielen Daten in der Medizin inzwischen eine enorm wichtige Rolle. Der Austausch von Gesundheitsdaten kann dazu beitragen, dass die Versorgung besser und kostengünstiger wird. Doch wie stehen die Bürger in Deutschland zum Thema Datensicherheit? Glauben sie, dass ihre personenbezogenen Daten gut geschützt werden? Haben sie Angst vor Cyberangriffen?

Diesen Fragen ist PwC in seiner Studie „Datensicherheit in Kliniken und Arztpraxen“ nachgegangen. Im Interview erklären Michael Burkhart, Leiter des Bereichs Gesundheitswirtschaft, und Jörg Asma, Leiter des Bereichs Cyber Security, wie sie die Studienergebnisse werten.

Kliniken, die Opfer einer Cyberattacke werden, machen immer wieder Schlagzeilen. Wie sehr steht das Gesundheitswesen im Fokus von Cyberkriminalität?

Michael Burkhart: Tatsächlich haben Cyberkriminelle die deutsche Gesundheitswirtschaft im Visier. Die Angriffe häufen sich in den vergangenen Jahren. Kliniken sind verwundbarer für Angriffe geworden, weil sie inzwischen stark vernetzt arbeiten und auf digitale Technologien in praktisch allen Arbeitsbereichen angewiesen sind. Neben den Kliniken bieten aber auch andere Bereiche des Gesundheitswesens Angriffsflächen, beispielsweise die Praxen von niedergelassenen Ärzten oder die Leitstellen von Rettungsdiensten.

Welche Ziele verfolgen Internetkriminelle mit ihren Angriffen?

Jörg Asma: Bislang greifen Cyberkriminelle Kliniken vor allem mit Schadsoftware an, mit der sie IT-Systeme verschlüsseln. Im Anschluss können sie für die Entschlüsselung Lösegeld erpressen – so wie es Angreifer beispielsweise im Jahr 2016 im Neusser Lukaskrankenhaus, einem der bekanntesten Fälle in Deutschland, versuchten. Dass Angreifer medizinische Geräte hacken oder sich Zugriff auf Patientendaten verschaffen, ist bislang weniger bekannt geworden. Aber grundsätzlich ist das natürlich möglich. Die Patienten wissen um die Gefahren, wie unsere Studie zeigt: Etwa drei von zehn Deutschen haben Angst vor einem Ausfall der Computersysteme, wenn sie zu einem geplanten Eingriff in die Klinik müssen. Diese Angst ist unter jüngeren Patienten, die mit digitalen Technologien groß geworden sind, sogar noch ausgeprägter.

Welche Arten von Kliniken sind besonders gefährdet?

Burkhart: Größere Kliniken, die mindestens 30.000 vollstationäre Fälle pro Jahr haben, unterliegen der KRITIS-Verordnung und müssen ab Juli 2019 ein Mindestniveau an Informationssicherheit nachweisen. Viele Häuser können diesen Nachweis aktuell aus unserer Sicht aber noch nicht erbringen. Nicht von der Verordnung betroffen sind kleinere Krankenhäuser, die oftmals Nachholbedarf in puncto Datensicherheit haben. Das haben auch die Bürger erkannt, die wir für unsere Studie befragt haben: Viele Versicherte sind davon überzeugt, dass insbesondere kleinere kommunale Krankenhäuser in ländlichen Gegenden oder konfessionelle Krankenhäuser schlecht auf einen möglichen IT-Angriff vorbereitet sind.

Welche Folgen hat ein Angriff für die Patienten, welche für das medizinische Personal?

Burkhart: Für Patienten hat das gravierende Folgen. Insofern sind die Befürchtungen der Bürger durchaus gerechtfertigt. Ein Ausfall der IT-Systeme kann bedeuten, dass geplante Operationen verschoben werden müssen, Notfallpatienten an andere Krankenhäuser verwiesen werden und notwendige Behandlungen nicht durchgeführt werden können. Auch die Belegschaft spürt die Folgen, wie beispielsweise im Neusser Lukaskrankenhaus geschehen: Eine Klinik kann von einem Tag auf den anderen durch einen Hackerangriff für Wochen in das Papierzeitalter zurückgeworfen werden, sodass die medizinische Versorgung enorm erschwert wird.

Wie kann ein Krankenhaus sich so schützen, dass es gegen Angriffe gewappnet ist?

Asma: Eine wichtige Rolle spielt der Faktor Mensch bei der Abwehr von Cyberattacken. Internetkriminelle verschaffen sich Zugang zu Systemen oft über E-Mails oder betrügerische Anrufe bei Mitarbeitern. Je unachtsamer die Belegschaft ist, desto leichteres Spiel haben Cyberkriminelle. Daher ist es so wichtig, die Mitarbeiter laufend zu schulen und ihr Bewusstsein für die Gefahren aus dem Netz zu schärfen. Wie entscheidend der Faktor Mensch ist, haben auch die Befragten in unserer Studie erkannt – 87 Prozent halten die Schulung und Sensibilisierung der Klinik- oder Praxismitarbeiter für die wichtigste Maßnahme, um Sicherheit zu gewährleisten.

Nicht nur Krankenhäuser, auch Arztpraxen gehen täglich mit einer Fülle von personenbezogenen Informationen um. Wie hoch ist das Vertrauen der Bürger in ihren Hausarzt?

Asma: Die Patienten vertrauen ihrem Arzt in puncto Datenschutz nicht uneingeschränkt. Zwar sind die meisten Versicherten davon überzeugt, dass der Arzt seine Rechner durch eine Anti-Virus-Software vor Angriffen von außen schützt. Bei weitergehenden Maßnahmen zur Datensicherheit haben die Bürger aber Zweifel: Nur 69 Prozent gehen davon aus, dass alle Patientendaten verschlüsselt gespeichert werden, und lediglich 65 Prozent glauben, dass der Mediziner Datenpannen und Datenschutzverstöße an die zuständige Aufsichtsbehörde übermittelt. Knapp die Hälfte der Befragten ist davon überzeugt, dass der Arzt wirklich alle Schutzmaßnahmen umsetzt. Diese Ergebnisse zeigen uns, dass niedergelassene Ärzte noch mehr in Datensicherheit investieren müssen, um sich das Vertrauen ihrer Patienten zu erhalten.

Dennoch ist jeder zweite Bürger in Deutschland bereit, seine persönlichen Gesundheitsdaten über die elektronische Gesundheitskarte mit Ärzten oder der Krankenkasse zu teilen, wie Ihre Studie belegt. Lediglich 26 Prozent lehnen das strikt ab. Wie erklären Sie sich diese relativ hohen Zustimmungswerte?

Burkhart: Ich bin davon überzeugt, dass die Bürger die Vorteile erkannt haben, die ihnen die zunehmende Digitalisierung des Gesundheitswesens bieten kann: eine ortsunabhängige Versorgung, die ihnen viele Wege spart, eine konsequentere Überwachung der Gesundheitswerte, einen intensiveren Austausch mit dem Arzt. Insbesondere die Gesundheitskarte ermöglicht eine bessere Kommunikation zwischen dem Patienten, dem Hausarzt, niedergelassenen Fachärzten und dem Krankenhaus. Im Notfall kann sie Leben retten. Insofern verwundert mich die Bereitschaft der Bürger, ihre persönlichen Informationen zu teilen, nicht. Jetzt müssen noch die letzten Voraussetzungen geschaffen werden, damit die Gesundheitskarte für den gezielten Informationsaustausch genutzt werden kann. Dazu gehört auch, dass der Datenschutz sichergestellt wird.

Alle Daten auf einer Chipkarte – bereitet das den Bürgern nicht auch Sorge?

Burkhart: Tatsächlich sehen die Patienten auch die Risiken der Gesundheitskarte. Am häufigsten äußern sie in unserer Studie die Befürchtung, dass sie die Karte verlieren könnten und eine dringend notwendige Behandlung dann wegen der fehlenden Daten nicht stattfinden kann. Ebenso haben sie Sorge, dass Fremde im Fall des Kartenverlustes auf die personenbezogenen Daten zugreifen könnten. Der Gesetzgeber muss die Infrastruktur im Rahmen des E-Health-Gesetzes so ausbauen, dass ein hundertprozentig verlässlicher Datenschutz und -austausch gewährleistet ist.

Contact us

Michael Burkhart

Leiter Gesundheitswirtschaft und Managing Partner Region Mitte, PwC Germany

Tel.: +49 69 9585-1268

Jörg Asma

Cyber Security Leader PwC Europe, PwC Germany

Tel.: +49 221 2084-103