- DAZ.online
- DAZ / AZ
- DAZ 32/2021
- Zunehmende Risiken ...
Digitalisierung
Zunehmende Risiken erfordern proaktives Handeln
Was Apotheken bei der Informationssicherheit beachten sollten
Ende Januar 2020 wurde beim Einbruch in ein Berliner Krankenhaus eine Festplatte mit der Sicherungskopie von 18.000 Patientendatensätzen entwendet [1]. Mit etwas Zynismus könnte man sagen: Immerhin gab es eine Sicherungskopie. Aber angesichts eines erheblichen Reputationsschadens für das Klinikum verbunden mit einer möglichen Verletzung der EU-Datenschutzgrundverordnung ist so ein Datenverlust natürlich ein absolutes Desaster. Dabei handelt es sich hier nicht um einen Einzelfall. Besonders in Kliniken kommt es in letzter Zeit immer häufiger zu Angriffen, die kritische IT-Systeme zum Teil komplett lahmlegen [beispielhaft 2].
Das ist kein Zufall, sondern die Kehrseite der Medaille der immer weiter fortschreitenden Digitalisierung und Vernetzung im deutschen Gesundheitswesen. Genau wie alle anderen Akteure können sich auch die Apotheken diesem Trend nicht entziehen. Es geht hier nicht darum, ob Veränderungen wie die Einführung von E-Rezepten sinnvoll oder wünschenswert sind. Angesichts der getroffenen politischen Entscheidung stellt sich nur noch die Frage, welche praktischen Auswirkungen sich daraus für die Apotheken ergeben. Damit sind wir beim Thema Informationssicherheit, denn wenn zukünftig viel mehr Daten als bisher verarbeitet und zwischen Arztpraxen, Apotheken, Abrechnungszentren, Krankenkassen und nicht zuletzt den Patienten hin- und hergeschickt werden, dann steigt auch das Risiko, dass Daten verloren gehen, missbraucht werden oder vertrauliche Patientendaten bekannt werden. Inzwischen schon weit verbreitet ist das Risiko einer Erpressung durch einen Angreifer, der die Daten mithilfe einer Software verschlüsselt und nur gegen Zahlung eines Lösegeldes wieder freigibt. All dies ist keine Theorie, sondern in Deutschland oder anderen Ländern bereits passiert.
Wenn Sie sich unberechtigt Zugang zu Daten verschaffen wollten, dann sollten Sie sich ein möglichst schwaches Glied in der Kette der Beteiligten aussuchen. Häufig sind es gerade die vergleichsweise kleinen Akteure, die sich zu wenig um den Schutz von Daten kümmern. So ergab eine Befragung, dass gerade in Arztpraxen die Verwaltung von Passwörtern und Computerzugängen absolut ungenügend ist [3]. Dabei gelten alle Anforderungen an den Datenschutz für Krankenkassen genauso wie für Apotheken oder Arztpraxen. Das Entscheidende ist die Art der Daten und nicht die Größe der Organisation. Und um Sozialdaten handelt es sich z. B. bei E-Rezepten oder einem Medikationsplan auf jeden Fall. Die Auswirkungen zeigen sich beispielhaft an der Digitale Gesundheitsanwendungen-Verordnung (DiGAV). Die darin festgelegten Anforderungen an die Informationssicherheit bei Anbietern digitaler Gesundheitsanwendungen (DiGA) sind absolut angemessen, auch wenn sie für ein kleines Start-up mit wenigen Mitarbeitern sicherlich eine große Hürde darstellen [4, besonders Anhang 1]. Auch bei den Arztpraxen nimmt die Regelungsdichte zu. § 75b SGB V schreibt die Vereinbarung einer „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ vor. Die im Dezember 2020 von der Kassenärztlichen Bundesvereinigung (KBV) verabschiedete Richtlinie [5] ist jedoch sicher nur ein erster Schritt – dass die Praxen über längere Zeit ohne ein professionelles Informationssicherheitsmanagement auskommen, ist angesichts der dort verarbeiteten Daten schlicht unvorstellbar.
Auch die Apotheken können sich diesem Trend zu immer höheren Anforderungen an die Informationssicherheit nicht verschließen. Es braucht nur einen ersten größeren Datenverlust in einer Apotheke, der die öffentliche Aufmerksamkeit erregt. Dann wird nicht mehr die Frage sein, wie schnell sich Apotheken an die Telematikinfrastruktur anbinden mussten, sondern vielmehr welche Apotheken überhaupt noch an den Datenaustauschverfahren teilnehmen dürfen. Apotheken sollten sich daher aktiv auf die neue, vernetzte Welt vorbereiten. Dabei spielt Informationssicherheit eine zentrale Rolle.
Fünf Säulen für mehr Informationssicherheit
Informationssicherheit beinhaltet nicht einfach nur diverse umzusetzende Maßnahmen, sondern vielmehr eine Reihe von Strategien, Prozessen, Werkzeugen und Praktiken, mit denen sowohl digitale als auch nicht-digitale Informationen und Daten vor unbefugtem Zugriff (Vertraulichkeit) oder Änderungen (Integrität) geschützt werden. Darüber hinaus muss sichergestellt werden, dass diese Informationen und Daten vollständig und richtig (Authentizität) immer dann zur Verfügung stehen (Verfügbarkeit), wenn sie benötigt werden. Da diese vier Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität ggf. auf der Maßnahmenebene miteinander konkurrieren, muss zunächst die Priorität der Ziele definiert werden.
Bei der Sicherstellung der Informationssicherheit müssen alle Bereiche eines Unternehmens betrachtet werden. Diese lassen sich in fünf Säulen zusammenfassen:
Die erste Säule umfasst die primäre Wertschöpfungskette eines Unternehmens. Bei einer Apotheke wäre dies wohl der gesamte Prozess vom Einkauf der Arzneimittel, über die Kundenberatung bis hin zur Abgabe an die Kunden. Bei Versandapotheken kommt ggf. ein Online-Shop mit Lieferprozess hinzu, oder auch die Versorgung von Pflegeeinrichtungen. Ein weiterer Aspekt sind die in der Apotheke hergestellten Rezepturen, die den jeweiligen Patienten konkret zugeordnet werden können. Je nach der konkreten Tätigkeit der Apotheke müssen alle Prozesse möglichst vollständig betrachtet und auf mögliche Schwachstellen der Sicherheitsziele untersucht werden. Weder sollten Patienteninformationen an Unbefugte gelangen (Vertraulichkeit) noch sollten Bestellungen geändert werden oder verloren gehen können (Integrität, Authentizität) oder ein wichtiges Mittel plötzlich nicht zur Verfügung stehen (Verfügbarkeit), weil eine Bestellung nicht oder zu spät abgesendet wurde.
In der zweiten Säule werden sämtliche Dienstleister eines Unternehmens gemäß ihren Risiken für die Apotheke analysiert und in zwei Gruppen kategorisiert. Die erste Gruppe ist für die Wertschöpfungskette der Apotheke unabdingbar, wie z. B. die Lieferanten, aber auch Kuriere bzw. Boten, die Arzneimittel an Kunden ausliefern, oder die komplette Abwicklung von Kartenzahlungen. Bei Apotheken, die Bestellungen über das Internet anbieten, gehört auch der IT-Dienstleister bzw. das Rechenzentrum dazu, bei dem der Onlineshop betrieben wird. Die zweite Gruppe der Dienstleister ist nicht direkt an der Wertschöpfungskette beteiligt, könnte aber dennoch Zugang zu vertraulichen Informationen erlangen. Regelmäßige Prüfung und Risikobewertung dieser Dienstleister kann unterschiedliche Formen haben, von der direkten Beaufsichtigung (z. B. bei einem Handwerker) bis hin zum Abschluss von Verträgen mit Vertraulichkeitsvereinbarungen sowie Schulungen der eingesetzten Mitarbeiter z. B. bei regelmäßigen Reinigungstätigkeiten in größeren Objekten. Eine weitere Form der Überwachung ist die gezielte Auswahl von Dienstleistern, die selbst bereits eine Zertifizierung im Bereich Informationssicherheit haben (z. B. bei Rechenzentren ISO/IEC 27001 oder vergleichbar).
Rechenzentren und andere Daten verarbeitende Unternehmen sind ein Bestandteil der dritten Säule der Informationssicherheit. IT-Sicherheit wird oft mit Informationssicherheit gleichgesetzt, ist allerdings in der Betrachtung der Informationssicherheit nur ein – wenn auch wichtiger – Bereich, bzw. eine Säule auf der die Informationssicherheit beruht. In der IT-Sicherheit werden zusätzlich sämtliche EDV-Systeme betrachtet, die in einer Apotheke zu finden sind, wie z. B. PCs, Laptops, Netzwerkinfrastruktur und Internetanschluss sowie auch Server oder Kassensysteme. Für jedes System wird festgelegt wer Zugang hat und welche Tätigkeiten die Person darauf ausführen kann bzw. darf. Wie werden Sicherheitskopien erstellt und wie sind die Systeme abgesichert vor Zerstörung oder Diebstahl? Wie werden die Systeme virenfrei und auf dem neuesten Stand gehalten? Auch ein klarer Lebenszyklus mit Update- und Änderungsprozessen ist hierbei festzulegen. Diese und noch viele weitere Aspekte müssen besonders auch unter Berücksichtigung des „Faktors Mensch“ definiert und dokumentiert werden.
Dieser Faktor Mensch ist die vierte Säule der Informationssicherheit, denn unabhängig davon, wie sicher IT-Systeme gestaltet sind, ist es doch der Mensch, der einem potenziellen Angreifer das Tor zu Informationen eines Unternehmens öffnet. Daher wird in der Personalsicherheit der gesamte Zeitraum einer Beschäftigung eines Mitarbeiters betrachtet, angefangen bei der Bewerbung über die Einstellung, die Arbeit selbst bis hin zur Trennung vom Mitarbeiter und auch darüber hinaus. Dies beinhaltet z. B. bei der Einstellung eines neuen Mitarbeiters Stellenbeschreibungen mit klarer Definition der Fachkenntnisse als auch die Feststellung der vorgesehenen Zugangsberechtigungen. Auch eine formale Überprüfung der Zuverlässigkeit bei kritischen Positionen ist denkbar, jedoch sind immer schriftliche Vereinbarungen zur Vertraulichkeit und zum Datenschutz als Teil des Arbeitsvertrages sowie Einführungsschulungen in Informationssicherheit und Datenschutz einzuführen. Auch nach der Einstellung sind regelmäßige Schulungen erforderlich, um neue Aspekte der Informationssicherheit zu berücksichtigen oder mögliche neue Schwachstellen aufzuzeigen. Schließlich muss es festgelegte Abläufe beim Wechsel des Zuständigkeitsbereiches sowie beim Ausscheiden aus dem Unternehmen geben. In beiden Fällen müssen z. B. nicht mehr benötigte Berechtigungen mit einem klar festgelegten Prozess in einer definierten Zeitspanne entzogen werden.
Der physische Zutritt und damit die Zutrittsberechtigungen sind ein Teil der fünften Säule – der physischen Sicherheit, die sich mit sämtlichen physischen Aspekten in einem Unternehmen beschäftigt. Dazu gehören sämtlichen Türen und Fenster (ggf. Kellerfenster oder Zugänge über verbundene Dächer), eine unterbrechungsfreie Stromversorgung und Klimaanlagen für kritische EDV-Systeme oder mögliche Schwachstellen im Brandschutz. In diesen Bereich fallen auch weitere Aspekte wie die Positionierung von Monitoren. Ein leichtes und sehr verbreitetes Angriffsszenario ist es, einer Person über die Schulter zu schauen oder, wenn der Monitor schlecht ausgerichtet ist, aus einem gegenüberliegenden Fenster zu beobachten, da von einem zum Fenster aufgestellter Monitor vertrauliche Informationen von außen eingesehen werden könnten. Üblicherweise besteht für den Angreifer dabei sogar sehr wenig Gefahr entdeckt zu werden, da es ihm ja schließlich nicht verboten werden kann aus dem Fenster zu sehen – auch nicht mit einem Feldstecher.
Fazit
Alle genannten Anforderungen an die Informationssicherheit bestehen schon jetzt. Sie ergeben sich aus der Art der verarbeiteten Daten und sind damit vollständig unabhängig von der Betriebsart oder -größe. Und damit gelten sie auch für alle Apotheken. Die Frage ist hier nicht, wie eine einzelne Anforderung konkret umgesetzt wird, sondern ob der Betrieb in Gänze seinen Verpflichtungen zur Informationssicherheit nachkommt und dabei regelmäßig den Zustand der Informationssicherheit prüft und bei Bedarf anpasst. Damit wird die Informationssicherheit zur unumgänglichen Managementaufgabe (auch) jedes Apothekers. In der näheren Zukunft werden Digitalisierung und Anforderungen an die Informationssicherheit zur Marktbereinigung bei Krankenhäusern, Arztpraxen oder auch kleinen Betriebskrankenkassen beitragen. Angesichts der gesetzlich verankerten Fragmentierung der Apothekenstrukturen müssen besonders hier jedoch Lösungen gefunden werden, die einerseits die Informationssicherheit garantieren, andererseits organisatorisch, technisch und finanziell dauerhaft umsetzbar sind.
Die Frage ist eigentlich nur, ob der Gesetzgeber oder andere relevante Akteure (z. B. die Gematik oder die Krankenkassen) die Apotheken zum Nachweis der Informationssicherheit verpflichten und so die Apothekerschaft zum Handeln zwingt; oder ob die Apotheker gemeinsam mit ihrer Selbstverwaltung eigenverantwortlich eine branchenspezifische Lösung erarbeiten. Die oben dargestellte IT-Sicherheitsrichtlinie der KBV greift sicherlich in vielen Punkten wesentlich zu kurz und ist daher ungenügend. Aber es gibt durchaus Beispiele aus anderen Branchen wie der Automobilindustrie, die für sich und ihre Dienstleister ein auf ISO 27001 beruhendes Zertifizierungsinstrument aufgebaut hat [6]. Die Apothekerschaft sollte das Thema also aktiv und kurzfristig angehen, um noch eigenverantwortlich agieren zu können. Das Zeitfenster hierfür wird sich sicher bald schließen. Dann entscheiden andere darüber, wie die Apotheken die Anforderungen umsetzen müssen. |
Literatur
[1] Tagesspiegel (2020): Datenklau in Klinikum in Berlin-Schöneberg: Festplatte mit Patientendaten aus Urologie gestohlen. Veröffentlicht am 28.01.2020 [Unter: https://www.tagesspiegel.de/berlin/datenklau-in-klinikum-in-berlin-schoeneberg-festplatte-mit-patientendaten-aus-urologie-gestohlen/25479982.html; letzter Zugriff: 20.06.2021].
[2] Heise online (2019): Zurück zu Bleistift und Papier: Schadsoftware legt Klinikserver lahm. Veröffentlicht am 17.07.2019 [Unter: https://www.heise.de/newsticker/meldung/Zurueck-zu-Bleistift-und-Papier-Schadsoftware-legt-Klinikserver-lahm-4473927.html; letzter Zugriff: 20.06.2021].
[3] Gesamtverband der Deutschen Versicherungswirtschaft (2019): Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden. Veröffentlicht am 08.04.2019 [Unter: https://www.gdv.de/de/medien/aktuell/deutschlands-aerzte-haben-ein-passwort-problem---zugangsdaten-haeufig-im-darknet-zu-finden-45192; letzter Zugriff: 20.06.2021].
[4] Bundesministerium der Justiz und für Verbraucherschutz (2020): Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung (Digitale Gesundheitsanwendungen-Verordnung - DiGAV). Ausfertigungsdatum 08.04.2020 [Unter: https://www.bgbl.de/xaver/bgbl/text.xav?SID=&tf=xaver.component.Text_0&tocf=&qmf=&hlf=xaver.component.Hitlist_0&bk=bgbl&start=%2F%2F*%5B%40node_id%3D%27818090%27%5D&skin=pdf&tlevel=-2&nohist=1 letzter Zugriff: 20.06.2021].
[5] Kassenärztliche Bundesvereinigung (2020): Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit. Datiert 16.12.2020 [Unter: https://hub.kbv.de/display/itsrl?preview=/63537214/66093803/2020-12-16_RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf; letzter Zugriff: 20.06.2021].
[6] Otto, Christian (2019): TISAX: Zertifiziert oder außen vor. Veröffentlicht am 01.07.2019, aktualisiert am 11.05.2021 [Unter: https://www.automobil-industrie.vogel.de/tisax-zertifiziert-oder-aussen-vor-a-841535/; letzter Zugriff: 20.06.2021].
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.