Datensicherheit

CIO muss Vertrauen schaffen

09.08.2007 von Volker Scheidemann
Von elektronischen Patientenakten, Software für die Abrechnung mit den Krankenkassen, Lesegeräten für Versicherungskarten der Patienten bis hin zu High-Tech-Diagnosegeräten, die ihre Daten gleich per Netzwerk an den PC zur Auswertung schicken: IT durchdringt die Krankenhaus-IT. Doch Achtung: Die Datensicherheit darf nicht vernachlässigt werden.
Mit Hilfe der Software-Lösung fideAS file werden die Daten verschlüsselt und leisten so einen wichtigen Beitrag zur IT-Sicherheit.

Datensicherheit ist ein vielschichtiger Begriff. Er bedeutet einerseits, dass Daten stets dann verfügbar sind, wenn sie gebraucht werden. Das impliziert neben der Installation einer optimal aufeinander abgestimmten IT-Infrastruktur auch ein durchdachtes Backup-Konzept. Andererseits bedeutet er aber auch Integritätssicherung, d.h. den Schutz der Daten vor unbefugter oder auch nur unabsichtlicher Manipulation. Gerade im Fall der Patientendaten könnten (absichtlich oder unabsichtlich) manipulierte Daten, z.B. über Diagnosen oder Medikationsvorschriften sogar über Leben und Tod von Menschen entscheiden.

Last but not least ist die Vertraulichkeitswahrung in der Beziehung von Arzt und Patient ein Muss. Das ist nicht nur ein Grundsatz der medizinischen Ethik, der bereits im Eid des Hippokrates niedergeschrieben ist, das ist auch vom Gesetzgeber so geregelt. Neben den allgemeinen Bestimmungen des Bundesdatenschutz-Gesetzes greifen hier insbesondere die Regelungen des Strafgesetzbuches bei Verletzung der ärztlichen Schweigepflicht. Gut, dass moderne IT auch diesen Anforderungen gerecht werden kann. Das Zauberwort heißt hier "Verschlüsselung".

Verschlüsselung hilft dem Arzt und dem Patienten

Verschlüsselung bedeutet, dass Daten auf dem Computer mit Hilfe eines speziellen Verschlüsselungsprogramms in einen für Unbefugte nicht entzifferbaren Code übersetzt und dann so gespeichert werden. Nur die rechtmäßigen Schlüsselbesitzer können die Codierung bei Bedarf rückgängig machen und wieder die Ausgangsdaten lesen. Ein angenehmer Nebeneffekt ist, dass die Daten dadurch gleichzeitig gegen Manipulation geschützt sind. Verschlüsselung schlägt also zwei Fliegen mit einer Klappe und hat längst den Dunstkreis von Militär und Geheimdienst verlassen - zum Wohle aller, die vertrauliche Daten zu verarbeiten haben oder deren Daten verarbeitet werden.

Wichtig ist aber, dass durch die Maßnahmen zur Datensicherheit die normalen Arbeitsprozesse nicht behindert werden, weder die des Arztes noch die des Krankenhauspersonals. Nicht jede Software, die Verschlüsselung verspricht, ist auch einfach bedienbar. Viele Lösungen, die der Markt bietet, sehen die Aufgabe durch eine zu technische Brille und verlangen vom Anwender oder vom Administrator einiges an Know-how und Einarbeitung, um einen sicheren Betrieb einer Software zu gewährleisten. Glücklicherweise gibt es aber Ausnahmen.

Das auf digitale Medizintechnik spezialisierte IT-Systemhaus SCS Software Solutions aus Aschaffenburg favorisiert für die Datenverschlüsselung eine Lösung von Applied Security (apsec) namens fideAS file enterprise. "Die Applied Security steht nicht nur für ausgewiesene Expertise in IT-Sicherheit, wie Kunden in hoch sicherheitskritischen Bereichen - beispielsweise Banken - beweisen, sondern verfügt auch über spezielle langjährige Erfahrungen im Gesundheitswesen. Nicht umsonst kommuniziert in Deutschland ein Großteil aller Abrechnungsprogramme von Arbeitgebern und Leistungserbringern mit den Krankenkassen über Sicherheitssoftware von apsec", erklärt SCS-Geschäftsführer Markus Hoppe.

"Aber nicht nur deshalb ist apsec für uns der ideale Partner für Datensicherheit im Medizinbereich“, so Hoppe weiter, "sondern vor allem wegen der Bedienerfreundlichkeit. Apsec entwickelt Software und schaut dabei durch die Brille des Anwenders. Ein Arzt soll sich schließlich um die Patienten kümmern, nicht um die Technik. Was Verschlüsselung angeht, ist das Produkt fideAS file enterprise wirklich State of the Art, sowohl aus Sicht des Anwenders, als auch Sicht des Sicherheitsexperten.“

Das findet auch Prof. Dr. Rainer Thome, Lehrstuhlinhaber für Wirtschaftsinformatik an der Universität Würzburg und wissenschaftlicher Berater für das E-Government der bayerischen Landesregierung, der die Software einem ausgiebigen und kritischen Test unterzogen hat. In seinem abschließenden Gutachten kommt er zu dem Schluss, dass "sich die Datensicherheit durch den Einsatz von fideAS file enterprise erheblich verbessern lässt. Die intuitive Bedienung der Software - sowohl auf Seiten des Administrators als auch auf Seiten der Anwender - ist unkompliziert. Die Software wirkt sich nicht störend auf den normalen Arbeitsablauf aus. Es kommt zu keinen merklichen Verzögerungen durch die Verschlüsselung."

Datenzugriff mit verteilten Rechten

Wichtig für den Umgang mit sensiblen Daten ist, dass jeder nur die Daten zu sehen bekommt, die er für seine Arbeit benötigt und auf die er daher auch berechtigten Zugriff hat. Weiterhin muss es möglich sein, dass mehrere berechtigte Personen oder ganze Arbeitsgruppen gemeinsam gewisse Datenbestände bearbeiten können, auch wenn sie verschlüsselt sind.

Auf der anderen Seite müssen die Daten aber auch verschlüsselt bleiben, wenn sie z.B. im externen Rechenzentrum auf Datensicherungsbänder (Backup) geschrieben werden. Schließlich gehen den IT-Dienstleister die Dateninhalte nichts an, er soll sie nur speichern und verwalten. Nochmal Markus Hoppe: "Verschlüsselung sorgt für die Gewährleistung der ärztlichen Schweigepflicht bei elektronisch gespeicherten Daten, selbst wenn der PC mal gestohlen oder nach Auslaufen des Leasingvertrages wieder in fremde Hände gegeben wird. Die Ausstattung mit einer Verschlüsselungssoftware sollte eigentlich eine Selbstverständlichkeit für jeden Ärzte-PC sein, insbesondere, wenn es so einfach zu bedienende und kostengünstige Lösungen wie fideAS file enterprise gibt. Schließlich lebt die Arzt-Patienten-Beziehung entscheidend vom Vertrauen."

Drücken wir die Daumen, dass Hoppes Wunsch in Erfüllung geht. Der Nächste, bitte!

Volker Scheidemann ist Produktmanager bei der Applied Security GmbH.