Sichere Datenspeicherung & Ransomware Schutz in der Cloud für Kliniken und Krankenhäuser

iTernity: Herr Bachmann, warum werden Cloud Lösungen für Kliniken und Krankenhäusern immer wichtiger?

Bachmann: Die IT hat sich in den letzten 20 Jahre enorm weiterentwickelt. IT-Installationen werden immer mächtiger, der IT-Fachkräftemangel nimmt zu und Datenmengen steigen. Die damit verbundene wachsende Komplexität und der zunehmende Ressourceneinsatz können im eigenen Rechenzentrum eines Klinikums oder Krankenhauses oft nicht mehr zu vertretbaren Kosten und Nutzen abgebildet werden.

Cloud-Lösungen hingegen ermöglichen den Aufbau eigener IT-Infrastrukturen ganz oder teilweise zu sparen. Stattdessen können Soft- und Hardware, Speicherplatz und Rechenleistung über die Cloud bezogen werden. Damit lässt sich die Effizienz der IT erhöhen sowie Komplexitäten und Aufwand erheblich reduzieren.

Warum ist gerade in Kliniken und Krankenhäusern die Not groß, Daten in die Cloud auszulagern?

Bachmann: Kaum ein Unternehmen hat so viele IT-Systeme im Einsatz wie ein durchschnittlich großes Klinikum mit 30.000 stationären Behandlungsfällen im Jahr. Die Anzahl der IT-Installationen bewegt sich hier zwischen 300 und 500 bei einer IT-Mitarbeiterzahl von 12-15 Personen. Diese Systeme zu administrieren und zu optimieren, ist mit einer hohen Komplexität verbunden, die man nicht unterschätzen darf. Oft haben Krankenhäuser und Kliniken nicht die nötige Infrastruktur, das Know-how sowie die personellen und finanziellen Ressourcen, um diese Systeme im eigenen Rechenzentrum aufzubauen. Daher müssen Daten und Prozesse in die Cloud ausgelagert werden.

Ein weiterer Grund für die Datenspeicherung in der Cloud liegt in der steigenden Anzahl von Ransomware Angriffen im Gesundheitsumfeld. Lediglich die Speicherung der Daten außerhalb der lokalen IT-Infrastruktur eines Klinikums oder Krankenhauses, von wo aus sie für die Ransomware nicht zugänglich sind, kann ein hohes Sicherheitslevel bieten. Die Cloud ist dafür eine zukunftsfähige Option.

Warum herrscht im Gesundheitsbereich dann immer noch eine Cloud-Skepsis? 

Bachmann: Grundsätzlich ist die Skepsis gegenüber der Datenspeicherung in der Cloud gesunken. Liegen dennoch Zweifel vor, hat dies meistens zwei Gründe. Ein Grund liegt sicherlich darin, dass viele Krankenhäuser und Kliniken wenig eigene Erfahrung im Umgang mit der Cloud haben. Die Cloud erfordert ein neues Modell der IT-Steuerung. Für viele IT-Mitarbeiter ist diese Administration und Steuerung von externen Cloud-Anbietern zunächst Neuland - damit ist auch immer eine gewisse Skepsis verbunden.

Der zweite Grund liegt darin, dass die Themen Risikomanagement und Patientensicherheit in den Kliniken angekommen sind und viele Cloud-Anbieter aufgrund diverser Datenpannen und unklarer Datenschutzfragen innerhalb der letzten Jahre im Gesundheitswesen in Verruf geraten sind. Hier muss zunächst eine neue Vertrauensbasis geschaffen werden. Das Vertrauen in Cloud-Anbieter ist jedoch unbedenklich, wenn die Kontrolle über die Infrastruktur nur das Krankenhaus oder Klinikum hat, wenn erstens die Daten hochverschlüsselt sind, sodass sie – selbst wenn sie für andere zugänglich wären - nicht lesbar sind und zweitens ein geografischer Speicherort gewählt wird, der einer regulatorischer Aufsicht untersteht, die hohe Sicherheitsstandard einhält und aktiv überwacht.

Wo sollte der Server-Standort eines Cloud-Rechenzentrums vor diesem Hintergrund liegen?

Bachmann: Der physikalische Server-Standort sollte mindestens im Bereich der Europäischen Union liegen. Diese Rechenzentren befinden sich auf dem neusten Stand der Technik und erfüllen hohe Sicherheitsstandards, welche den rechtlichen Vorgaben der EU unterliegen. Entsprechende Zertifizierungen nach ISO 27001 und ISO 9001 bestätigen, dass die Daten auf den Servern ordnungsmäßig geschützt sind.

Wie schätzen Sie die IT-Sicherheit in der Cloud ein?

Bachmann: Die Cloud erweist sich oftmals als sicherer als die Datenhaltung auf eigenen Servern von Unternehmen, Kliniken und Krankenhäusern. Daten- und Informationssicherheit ist hier mittlerweile als einer der Erfolgsfaktoren zu betrachten.

Server, die im Keller eines Klinikums stehen, sind ja per se nicht sicherer als bei einem Cloud-Anbieter. Eher im Gegenteil. Aus technischer Sicht kann ein Cloud-Rechenzentrum weitaus bessere IT-Infrastrukturen bereitstellen als ein Unternehmen oder Klinikum dies im eigenen Rechenzentrum je leisten könnte. Von der Perimeter-Sicherung über die System- und Infrastruktur-Sicherheit, Schutz vor unerlaubten Datenzugriffen und Ransomware bis hin zum Reporting und Monitoring. Die Auslagerung der Daten in die Cloud ist hier keine Verschlechterung, sondern ein qualitativer Sprung nach vorn beziehungsweise eine gute Ergänzung.

Wie wahrscheinlich ist es, dass ein Cloud-Anbieter Opfer eines Ransomware-Angriffs wird?

Bachmann: Einen erfolgreichen Ransomware-Angriff auf ein Cloud-Rechenzentrum halte ich für unwahrscheinlich. Cloud-Systeme sind so penetrationsfest, dass sie von üblicher Schadsoftware, wie z. B. Viren und Trojanern, nicht befallen werden können. Seriöse Cloud-Anbieter haben Anti-Malware und Schutzmechanismen im Einsatz, um gegen diese Angriffe einen wirkungsvollen Schutz zu bieten. Die entsprechenden Technologien sind in die Produkte und Dienste integriert.

Ransomware ist in der Regel nichts anderes als Social Engineering. Für erfolgreiche Ransomware Angriffe braucht es jemanden, der die Ransomware ins System reinträgt – z. B. über falsche Bewerbungen, Konferenzunterlagen etc. Aufgrund der hohen Automatisierung in Cloud Rechenzentren funktioniert diese Art von Social Engineering dort nicht.

Würden Sie einer Klinik empfehlen, Patientendaten in der Cloud zu speichern?

Bachmann: Ja, das wird auch so praktiziert – sowohl zur Komplexitäts- und Aufwandsreduktion als auch zum Schutz vor Ransomware. Es gibt zahlreiche große Klinikverbände, die alle IT-Systeme als Managed Services betreiben. Die gesamte Verantwortung der IT-Infrastruktur und Prozesse unterhalb der Patientendaten liegt dann in der Hand eines externen Anbieters. Moderne Klinken nutzen generell Mischformen aus der Cloud und dem eigenen Rechenzentrum. Um die Digitalisierung aller Prozesse zu vollziehen und die IT-Infrastruktur optimal zu nutzen, ist ein hybrider Speicheransatz unerlässlich.

Welche Voraussetzung müssen Kliniken und Krankenhäuser für die sichere Datenspeicherung in der Cloud erfüllen?

Bachmann: Aus Sicht des Patienten: Krankenhäuser und Kliniken müssen sicherstellen, dass personenbezogene Daten auf Verlangen des Patienten konsistent und vollständig herausgegeben werden können, dass diese Daten mit höchster Sorgfalt behandelt und nicht an Dritte weitergegeben wurden.

Aus Sicht des Klinikums: Hinsichtlich der Prozessqualität des Klinikums müssen Prozesse so organisiert werden, dass die Diagnostik und Behandlung des Patienten nach dem Stand der Technik erfolgt. Das bedeutet, dass sich im Behandlungskontext alle relevanten Informationen vollständig, richtig und akkurat zur Verfügung stellen lassen müssen. Die Systemqualität in Krankenhäusern muss sicherstellen, dass die benötigte Datenqualität in der jeweiligen Behandlungssituation angeboten werden kann – von der Notaufnahme bis zur Reha.

Datenschutz wird dabei sehr ernst genommen. Daher muss die Wahl auf einen Cloud-Anbieter fallen, der den Grundsätzen Vertrauen, Transparenz, Standardkonformität und regulatorische Compliance auf höchstem Niveau verpflichtet ist.

Kliniken und Krankenhäuser geraten zunehmend ins Visier von Ransomware Attacken. iTernity Archive Protection bietet einen Schutz vor den Angriffen, indem Archivdaten zusätzlich verschlüsselt in der Cloud gespeichert werden. Wie bewerten Sie dieses Konzept?

Bachmann: Bei Ransomware Attacken werden Unternehmens- oder Klinikdaten verschlüsselt - für diese Notfall Situation sind die Einrichtungen in der Regel nicht gut vorbereitet. Gibt es kein adäquates Sicherheitskonzept, liegt ein Unternehmen oder eine Klinik mitunter mehrere Monate im Koma.

iTernity Archive Protection schützt Unternehmen und Kliniken vor Notfallsituationen. Die Lösung bietet durch den Medienbruch, das Verschlüsselungskonzept und den Recovery Service aus der iTernity Cloud ein wirksames Rettungsnetz für die Daten eines Unternehmens, Krankenhauses oder öffentlichen Einrichtung im Falle von Ransomware Angriffen.