Weltweit sorgen die Meldung über Millionen von Datensätzen mit sensiblen Patientendaten für Schlagzeilen. Allein aus Deutschland waren mindestens 13.000 Datensätze ungeschützt im Netz abrufbar. Die grobe Fahrlässigkeit wirft Fragen auf und verdeutlicht, dass sich trotz DSGVO und IT-Sicherheitsgesetz die Lage beim Thema Informationssicherheit nicht verbessert hat.
Vor allem, wenn solche umfassenden Datenschutzverletzungen ausgerechnet in einem Bereich vorkommen, der unter den Begriff Kritische Infrastruktur (KRITIS) fällt und daher besonders gesichert werden sollte.
Im Data Threat Report zum Thema Gesundheitswesen erkennen Researcher, dass nur etwa 38 Prozent aller Einrichtungen im Healthcare-Bereich überhaupt auf kryptografische Mechanismen zurückgreifen - und das, obwohl alle tagtäglich mit sensiblen Informationen hantieren.
Eigentlich sollte durch die steigende Virtualisierung, Cloud Computing und smarte Devices Kryptografie zum unverzichtbaren Security-Standard im Gesundheitsbereich gehören. Das Beispiel und die Untersuchung verdeutlichen, dass dem nicht so ist.
Zudem muss man bedenken, dass solche Mechanismen ihre Schutzwirkung nur in Verbindung mit einem zentralen Key Management und starker Authentifizierung entfalten. Sicherheitsexperten sehen nicht nur das Fehlen von essenziellen Datenschutzmechanismen, sondern bemängeln zudem die falsche Umsetzung. Die Mehrheit der aktuellen Verschlüsselungsalgorithmen bieten ein hohes Maß an Sicherheit.
Allerdings haben insbesondere Krankenhäuser und größere Einrichtungen immer wieder Probleme beim Aufbau und der Wartung von entsprechenden Infrastrukturen. Immer wieder fehlt es an Strukturen und Verantwortung. In anderen Fällen werden zwar Informationen „irgendwie“ verschlüsselt, allerdings sind die Prozesse firmenintern nur schwierig zu koordinieren– insbesondere die Schlüsselverwaltung bereitet Probleme.
Speziell mit der Cloud-Adaption wird es immer schwieriger, einzelne Dienste und Apps korrekt zu verwalten und unter einen Hut zu bringen. Es passiert leicht, dass Daten im Klartext plötzlich abrufbar sind, da die IT-Abteilungen die Dienste nicht mehr komplett verwalten können. Bei gewachsenen IT-Umgebungen wird das Management immer aufwändiger und IT-Administratoren werden zu provisorischen Workarounds gezwungen.
Schutzmechanismen müssen sowohl Data-in-Motion als auch gespeicherte Informationen (Data-at-Rest) umfassen – egal, ob in der Rechenwolke oder im eigenen Rechenzentrum. Darüber hinaus sollte sichergestellt werden, dass sie nur für legitimierte Nutzer zugänglich sind.
Eine zeitgerechte Lösung, um durchgehend starke Verschlüsselung und Zugangskontrolle umzusetzen sind entsprechende Services von ausgewiesenen Sicherheitsexperten, die als Partner mit allen führenden Cloud-Anbietern integrieren - ohne einseitige Abhängigkeit und die Gefahr eines Vendor-Lock-In.