bottomshape
Table of Contents

Schutz der Daten elektronischer Gesundheitsakten mit MDR

Mit dem Terminservice- und Versorgungsgesetz von 2019 wurden alle deutschen Krankenkassen verpflichtet, auf elektronische Gesundheitsakten (ePA) umzustellen. EPA-Systeme erweitern den Zugang zu den Versicherten. Die Versicherten erhalten Zugang zu ihren Daten und können diese aktualisieren, ohne die Krankenkasse zu informieren.

Der Schutz von ePAs mit nahtloser Integration ist ein hochkomplexer Prozess. Im Vergleich zu den meisten anderen Ländern in der Europäischen Union (EU) und dem Rest der Welt hat das deutsche Gesundheitssystem bei der Einführung von ePA mit viel Gegenwind zu kämpfen, der sich aus rechtlichen Fragen, Herausforderungen im Zusammenhang mit der Telematik sowie aus Compliance- und regulatorischen Vorgaben ergibt.

Die Sicherung der Daten obliegt den Krankenkassen nur dann, wenn es sich bei der Akte um eine ePA handelt. Der größte Teil Deutschlands ist ein öffentliches Gesundheitssystem, und weniger als 10 % sind privat versichert. Die Verbindungen zwischen den verschiedenen Anbietern von digitalen Gesundheitsdiensten und dem Inhaber der ePA sind noch nicht abgeschlossen.

EPAs sind immer noch eine Wahlmöglichkeit. Andere entscheiden sich dafür, ihre persönliche Gesundheitsakte (PHR) zu führen.

Um eine ePA und eine PHR zu sichern, müssen die Versicherungskassen nach wie vor einen Querschnitt von Cybersicherheitskontrollen ermöglichen, um die EU- und weltweiten Compliance-Vorschriften, Cybersicherheitsbedrohungen und Sicherheitslücken zu berücksichtigen. Versicherungsunternehmen, die mit der Einstellung und Bindung von Sicherheitspersonal zu kämpfen haben, sollten ein Managed Detection and Response (MDR)-Angebot von Sicherheitsanbietern wie ForeNova in Betracht ziehen.

Überblick über die elektronischen Gesundheitsakten in Deutschland

Deutschlands Weg in die Welt der elektronischen Patientenakten (ePA) für den Gesundheitssektor ist noch nicht abgeschlossen. Im Jahr 2023 gab es weniger als 600.000 ePAs im Land. Ein Teil der Herausforderung bei der Einführung der ePA hatte mit den Patentrechten zu tun, wo die Daten gespeichert werden sollten und wer Zugriff darauf hatte.

Die Herausforderung besteht weiterhin in der Fähigkeit der ePA-Systeme, den Zugriff auf die Krankenakte auf der Grundlage der vom Dateneigentümer festgelegten Kriterien zu granularisieren. Der Mangel an Granularität führte zu einer negativen Einstellung gegenüber der Initiative.

Viele kritisierten die ePA auch wegen fehlender technischer Standards in Bezug auf die Stabilität kritischer Infrastrukturen, die Interoperabilität mit anderen Systemen und die Fähigkeit zur Unterstützung der grenzüberschreitenden Zusammenarbeit mit anderen EU-Mitgliedern.

Das Büro des Gesundheitsministeriums stellte fest, dass eine der Herausforderungen bei der Strategie für die digitale Transformation der ePA darin bestand, dass man sich zu sehr auf die Technologie konzentrierte und weniger auf das Verständnis für die Nutzer der Lösung. Im Rahmen des Registrierungsprozesses mussten die Patienten ihre Zustimmung geben, ohne den gesamten Prozess zu verstehen. Während der Einführung der ePA boten die Krankenversicherer keine Anreize für sensible Patienten, die den ePA-Lösungen nicht vertrauten, was zu einer sehr geringen Teilnahme führte, insbesondere bei Personen, die Schwierigkeiten hatten, die sicherheitsbezogenen Fragen zu verstehen.

Ein weiterer Punkt, der vielen in der deutschen Gesundheitsbranche Sorgen bereitet, ist der Mangel an öffentlichen Informationen für die Patienten über die Funktionsweise von ePA und den Sicherheitsschutz.

Mangelnde Interpretierbarkeit, geringe Patentbeteiligung und Verwirrung über die grenzüberschreitende Zusammenarbeit führten dazu, dass die gesamte ePA zu einem Ziel für Hacker wurde.

Welche Regelungen gelten für die ePA in Deutschland?

„Das deutsche Gesundheitssystem hat drei Ebenen: den gesetzlichen Rahmen, die Selbstverwaltung und die einzelnen Akteure.“ „Bund, Länder und Kommunen verwalten den rechtlichen Rahmen, wobei das Bundesministerium für Gesundheit die Gesundheitspolitik auf Bundesebene beaufsichtigt.“

Mehrere Gesetze legen den digitalen Rahmen für das deutsche Gesundheitssystem fest, insbesondere für die Einführung der ePA und die Nutzung von Gesundheitsdaten. „Auch die Datenschutz-Grundverordnung (GDPR) und das Bundesdatenschutzgesetz (BDSG) finden Anwendung.“ Das E-Health-Gesetz, das am 29. Dezember 2015 in Kraft getreten ist, legt den Grundstein für die Digitalisierung in diesem Bereich.

Einhaltung der DSGVO beim ePA-Management in Deutschland

Die DSGVO spielt eine wichtige Rolle in Bezug auf Dateneigentum und Datenschutz für alle Bürger in Deutschland. Die Menschen, nicht das Bundesministerium, sind Eigentümer ihrer Daten, und laut Gesetz sind sie diejenigen, die die Erlaubnis zum Zugriff erteilen.

Der Deutsche Bundestag hat das Patientendatenschutzgesetz (PSDG) verabschiedet, das für alle Einrichtungen des Gesundheitswesens – Krankenhäuser, Ärzte, Versicherungen und Apotheken – gilt, die die Telematikinfrastruktur für die Verarbeitung von Patientendaten nutzen, unabhängig von der Organisationsgröße.

Der deutsche Bundesbeauftragte für den Datenschutz hat die Krankenkassen gewarnt, dass die Einhaltung des PSDG sie nicht von der DSGVO befreit. Das Bundesgesundheitsministerium wird dafür sorgen, dass die deutschen Bürger ihre Rechte in Bezug auf Gesundheitsdaten im Rahmen der DSGVO beibehalten.

Was ist OpenEHR in Deutschland?

In Deutschland ist OpenEHR eine offene Standardplattform für die Verwaltung elektronischer Gesundheitsakten (ePA). Sie erleichtert den nahtlosen Datenaustausch zwischen Gesundheitsdienstleistern durch standardisierte klinische Modelle. Dieser herstellerneutrale Ansatz verbessert die Interoperabilität der Daten und die patientenzentrierte Versorgung, die für die Entwicklung der digitalen Gesundheitsinfrastruktur in Deutschland von entscheidender Bedeutung ist.

  • Ziel von OpenEHR ist es, die deutschen Krankenkassen bei der Einführung von ePA zu unterstützen, indem mehr Open-Source-Funktionen genutzt werden, um die Interoperabilität zwischen Plattformen und Anbietern zu verbessern und eine bessere grenzüberschreitende Zusammenarbeit zu fördern.
  • OpenEHR verfolgt einen dualen Modellansatz für Krankenhausinformationssysteme, der semantische Interoperabilität sicherstellt und eine ganzheitliche Lösung für elektronische Patientenakten bietet.
  • „OpenEHR enthält Elemente interoperabler, sicherer ePA-Software und wird von seinen Befürwortern als optimaler Ansatz für die Entwicklung von Krankenhausinformationssystemen angepriesen.“

Es gibt 50 DSGVO-Anforderungen und 8 OpenEHR-Grundlagen. Die OpenEHR-Grundsätze erfüllen 30 % (15/50) der DSGVO-Anforderungen und stimmen mit den DSGVO-Standards überein.

Die größten Sicherheitsherausforderungen für den Schutz von ePA in Deutschland?

Zu den größten Herausforderungen für die Cybersicherheit beim Schutz von ePA in Deutschland gehören Ransomware, Phishing, Insider-Bedrohungen, Datenschutzverletzungen, Schwachstellen bei medizinischen Geräten, Altsysteme, komplexer Datenaustausch und die Sensibilisierung von medizinischem Fachpersonal. Die DSGVO und andere Compliance-Vorschriften tragen dazu bei, das Risiko von Cybersecurity-Angriffen auf ePA zu verringern, indem sie umfangreiche Schutzschichten, Einwilligungen und eine kontinuierliche Überwachung vorschreiben.

Gefälschte Genehmigungen zwischen dem Dateneigentümer und dem Gesundheitsdienstleister sind in Deutschland weiterhin ein Problem. Selbst mit der Aktivierung eines PIN-Codes führen gefälschte Berechtigungen weiterhin zu unvorhergesehenen Datenverletzungen.

Die größte Lücke in der ePA in Europa im Jahr 2024?

Cyberkriminelle haben es auf Gesundheitsdaten abgesehen, weil sie umfangreiche persönliche Daten enthalten, darunter geschützte Gesundheitsinformationen, vollständige Namen, Geburtsdaten und Wohnadressen.

Hacker können leicht Identitätsdiebstahl begehen, indem sie auf die Daten von Gesundheitsdienstleistern zugreifen und sie aufgrund ihres hohen Wertes verkaufen. Viele Organisationen des Gesundheitswesens müssen schneller auf digitale Aufzeichnungen umstellen. Obwohl viele von ihnen den Wechsel bereits vollzogen haben, verwenden einige noch immer veraltete Technologien und verfügen über eine schwache Cybersicherheit.

Krankenhaus Simone Veil in Cannes, Frankreich, 2024

Simone Veil, ein regionales Krankenhaus, betreut jährlich 150.000 ambulante Patienten und 50.000 Notfälle. Die meisten Dienste liefen weiter, aber die Kommunikation und Datenverarbeitung beruhten auf veralteten Methoden. Zunächst wurde angenommen, dass es sich um einen Ransomware-Angriff handelte, doch es dauerte Wochen, bis dies bestätigt wurde. Am 30. April gab das Krankenhaus bekannt, dass die Gruppe LockBit 3.0 hinter dem Erpressungsversuch stand.

Das Krankenhaus Simone Veil lehnte es ab zu zahlen.

Wer verwaltet die Telematikinfrastruktur in Deutschland?

Telematikinfrastrukturen (TI) und Gesundheitssysteme müssen sich gegen externe Bedrohungen und interne Nachlässigkeit schützen. Sie müssen Cybersicherheitsmaßnahmen wie Firewalls, Antivirensoftware und sichere Passwörter einsetzen und pflegen. Zu diesem Auftrag gehört auch, die unnötige lokale Speicherung sensibler Daten zu verhindern und die Weitergabe über nicht autorisierte Kanäle wie E-Mail oder Filesharing zu vermeiden.

Im Bereich der ePA ist das Bundesministerium für Gesundheit zu 51 % an dem TI-Anbieter Gematik beteiligt, der die Telematikinfrastruktur, die elektronische Gesundheitskarte, Fachanwendungen und ein Interoperabilitätsverzeichnis verwaltet und die Datensicherheit überwacht.

Die Gematik GmbH koordiniert ihre TI-Anwendungen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und dem BSI nach dem deutschen Sozialgesetzbuch (SGB).

Die Rolle von MDR beim Schutz von ePAs

Aufgrund einer Talentlücke im Bereich der Cybersicherheit suchen viele Unternehmen Hilfe bei der Einstellung und Bindung qualifizierter Fachkräfte. Da die Bewältigung der komplexen Cyber-Bedrohungen von heute oft Fachwissen erfordert, das intern nicht ohne weiteres verfügbar ist, hat dieser Mangel an Talenten viele Unternehmen dazu veranlasst, Sicherheitsfunktionen auszulagern.

Viele MDR-Dienste befassen sich mit den Herausforderungen der Cybersicherheit. MDR stellt externe Teams mit spezialisiertem Fachwissen bereit, die als ausgelagertes Security Operations Center (SOC) dienen. Diese Lösung ermöglicht es Unternehmen, Experten für Sicherheitsoperationen zu nutzen, ohne die Kosten und Komplexität des Aufbaus eines internen Teams auf sich nehmen zu müssen. Dies ist eine strategische Entscheidung, die den heutigen Anforderungen an die IT-Sicherheit gerecht wird, bei der Flexibilität und spezialisierte Fähigkeiten im Kampf gegen fortschrittliche Bedrohungen entscheidend sind.

Leistungserbringer, Krankenkassen und medizinische Dienstleister in Deutschland sehen sich weiterhin mit Ressourcenknappheit, sich überschneidenden und komplexen Compliance-Mandaten und kontinuierlichen Änderungen der bestehenden deutschen regulatorischen Mandate sowie neuen Compliance-Rahmenwerken im laufenden Jahr konfrontiert.

MDR-Dienstleistungen bieten die Möglichkeit, TTIs und Gesundheitsdienstleister mit verschiedenen Angeboten zu unterstützen, die auf ihre Geschäfts-, Compliance- und Sicherheitsanforderungen abgestimmt sind.

  • 24/7 kontinuierliche Überwachung
  • Automatisierte Erkennung und Reaktion auf Vorfälle
  • Bereitstellung, Verwaltung und Zukunftssicherheit von Firewalls
  • Verwaltung der Endpunktsicherheit
  • Compliance-Berichterstattung
  • Zugang zu Threat Intelligence

Neben den verschiedenen Serviceangeboten sind die Mitarbeiter das wichtigste Attribut von ForeNova. Das Unternehmen ist stolz darauf, erfahrene Sicherheitsingenieure einzustellen, die die komplexe Welt des deutschen Gesundheitswesens unterstützen.

ForeNova bietet außerdem erstklassige Beratungsdienste für die Integration von Cybersicherheit in Kombination mit technischen Angeboten. Unternehmen des Gesundheitswesens und der Technologiebranche, die noch alte Technologien und Methoden verwenden, können das Beratungsteam von ForeNova nutzen, um ihre Cybersicherheit zu verbessern. Dies hilft ihnen, von der Reaktion auf Probleme zu deren Vermeidung überzugehen.

Warum wurde ForeNova gewählt?

Ein Schlüsselelement, das einen MDR-Anbieter von einem anderen unterscheidet, ist die Erfahrung. MDR-Anbieter, die jeden vertikalen Markt unterstützen, sind eher ein Modell, das für alle passt. Die einzigartige Fähigkeit von ForeNova, ein MDR-Engagement zu erstellen, schneidet es explizit auf die Bedürfnisse ihrer Kunden zu.

Möchten Sie eine Demo dieses unglaublichen MDR-Angebots sehen? Klicken Sie hier, um noch heute einen Termin mit dem ForeNova-Entwicklungsteam zu vereinbaren!

Share This Article

Related Posts

2024 Cybersecurity-Zusammenfassung
03 Jan, 2025
2024 Cybersecurity-Zusammenfassung
Das Jahr 2024 war geprägt von noch nie dagewesenen Herausforderungen und Fortschritten im Bereich der Cybersicherheit. Von groß angelegten Ransomware-Angriffen...
Zusammenfassung der größten Ransomware-Angriffe im Jahr 2024
19 Dez, 2024
Zusammenfassung der größten Ransomware-Angriffe im Jahr 2024
Hacker konzentrierten sich im Jahr 2024 auf Ransomware, was zu einem Anstieg der Lösegeldforderungen führte. „Allein in der ersten Hälfte...
Effektive Cybersicherheitsstrategien für Einrichtungen des Gesundheitswesens
09 Dez, 2024
Effektive Cybersicherheitsstrategien für Einrichtungen des Gesundheitswesens
Jüngste Äußerungen des Generalarztes der Vereinten Nationen vor dem Sicherheitsrat haben Besorgnis über den aktuellen Stand der Cybersicherheit in Krankenhäusern...