Souveränität in der Gesundheitsbranche
Digitale Souveränität ist ein Thema der politischen Diskussion, das auch das Gesundheitswesen einbezieht, denn deren IT-Infrastruktur muss den unabhängigen Austausch und die Verarbeitung sensibler Gesundheitsdaten garantieren können.
Save to Folio
Alle Unternehmen und nicht zuletzt medizinische Einrichtungen sind Cyberangriffen durch Kriminelle und staatliche Akteure ausgesetzt. Diese eindeutig illegalen Taten sind für eine Diskussion zur digitalen Souveränität allerdings nicht hilfreich.
Der Begriff digitale Souveränität bezeichnet allgemein den Aspekt der legalen Abhängigkeit von Unternehmen und Staaten und die daraus folgenden Möglichkeiten der ungewollten Einschränkung bei der Erbringung kritischer Dienstleistungen. Für die öffentliche Diskussion liegt dabei der Schwerpunkt auf dem Begriff der „Legalität“. Souverän ist der, der diesen Begriff definieren und ändern darf. Und darüber herrscht in der Welt der IT derzeit Uneinigkeit.
Healthcare und Genfer Konvention
Es ist ein Paradoxon, dass gerade medizinische Einrichtungen besonders betroffen sind. Denn nach der Genfer Konvention sind diese vor „Angriffen“ – alles, was Menschen gefährdet – eigentlich geschützt. Ja, auch in der IT. Dass dies menschenverachtende Kriminelle nicht interessiert, verwundert nicht weiter, aber auch Staaten sind diesbezüglich Täter. Denn auch wenn sich Nationen dazu bereit erklärt haben, den Status dieser Einrichtungen zu achten, so ist das in der IT-Welt praktisch nicht machbar. Tatsächlich sind gezielte Sabotage-Angriffe auf entsprechende Einrichtungen – wohlgemerkt durch staatliche Akteure - selten und meist unbeabsichtigt oder „nur“ Kollateralschäden (wie z.B. Wannacry). Und dennoch attackieren Nationen IT-Systeme von Gesundheitseinrichtungen anderer Länder bewusst, um die dort vorhandenen Daten zu stehlen.
Eine verlässliche medizinische Versorgung und die Möglichkeit der Menschen, sich vertraulich an Ärztinnen und Ärzte zu wenden, sind wesentliche Eckpfeiler gesellschaftlicher Stabilität. Während der Covid-19-Pandemie wurde deutlich, dass die staatliche Organisation des Gesundheitswesens auch ein komplexes politisches Thema ist. Der Souveränitätsanspruch einer Nation umfasst diesbezüglich das Recht und die Fähigkeiten, diesen Bereich nach eigenen Vorgaben zu betreiben und zu regulieren.
Die IT-Infrastruktur spielt dabei eine zentrale Rolle, da sie den Austausch und die Verarbeitung sensibler Gesundheitsdaten unterstützt. Die digitale Erfassung dieser Daten ermöglicht unter anderem den Zugriff darauf für medizinische Forschung und andere wissenschaftliche Analysen.
Dass Forschung und Datennutzung im Einklang mit nationalem Recht erfolgt, ist Ausdruck politischer Souveränität. Ausgeschlossen wird Missbrauch durch andere Unternehmen oder Nationen. Gerade weil das so ist, sollte es nicht überraschen, dass es im digitalen Untergrund und speziell bei regierungsnahen Tätern ein großes Interesse an diesen Daten gibt. Und so gilt es als Beeinträchtigung der Souveränität, wenn ein Drittstaat ohne Autorisierung auf Gesundheitsdaten zugreifen und sie nutzen kann – auch dann, wenn dies auf legalen Instrumenten dieses Landes beruht.
Die dadurch entstehenden Herausforderungen lassen sich am Beispiel der Cloud-Nutzung aufzeigen. Obwohl diese in allen Ländern Europas (nicht nur innerhalb der EU) rechtlich erlaubt ist, gibt es praktisch überall besondere Auflagen für Patientendaten. Die Auslagerung speziell auf Systeme von US-Unternehmen ist seit dem Cloud Act von 2018 besonders umstritten.
Die Diskussion betrifft weniger die praktische Umsetzung dieses Gesetzes, sondern seine theoretischen Möglichkeiten: Denn unter bestimmten juristischen Voraussetzungen müssen Daten, die auf Systemen amerikanischer Unternehmen (und deren Töchtern) abgelegt sind, an die US-Behörden ausgehändigt werden. Ob das Gesetz, abgesehen vom allerersten Fall, je in Bezug auf europäische Kunden angewendet wurde, ist nicht bekannt, wohl auch, weil die betroffenen US-Unternehmen in so einem Fall zum Stillschweigen verpflichtet wären.
IT-Sicherheit
Die somit notwendige Diskussion über die Risiken einer IT-Strategie schließt auch Anbieter von IT-Sicherheit mit ein, weil die ebenfalls Cloud-gestützte Technologien offerieren. Auch sie müssen die Gesetze ihres Heimatlandes akzeptieren. Auch wenn die dabei behandelten Informationen nichts mit den besonders geschützten Patientendaten zu tun haben, muss das in einer Risikodiskussion zu Cloud (ja oder nein) natürlich berücksichtigt werden.
Die IT-Sicherheit kann allerdings auch die Lösung für viele Themen der Souveränitätsdebatte sein.
Zum einen unterstützt sie Fähigkeiten, um die Kritikalität von Daten einzuordnen, und um danach abschließend zu bestimmen, wo und in welchem Rahmen diese verwendet bzw. gespeichert werden können. Auch die Antwort auf die Frage, wer auf Daten zugreifen darf, kann durch die Technik verfeinert werden. Die dabei zugrunde liegende Strategie „Zero Trust“ geht davon aus, dass ein eigentlich als vertrauenswürdig eingestufter Zugriff sich auch im laufenden Prozess noch als riskant herausstellen kann im Sinne der Cybersicherheit. Wird beispielsweise auf einem mit sensiblen Daten verbundenen Gerät eine Cyberbedrohung identifiziert, können auch zuvor als legitim eingestufte Zugänge abgebrochen werden.
Security aus der Cloud?
Aber das Risiko bleibt auch hier die Cloud, denn Sicherheitsanbieter vertrauen ebenfalls auf diese Technologie, und das ist in vielen Fällen nicht optional. In einigen Ländern, wie z.B. Deutschland, gibt es deshalb für Gesundheitseinrichtungen Vorschriften, die festlegen, unter welchen Bedingungen sie die Cloud überhaupt nutzen dürfen. Das so genannte C5 Testat (Cloud Computer Compliance Criteria Catalogue) ist eine Beschreibung von Verfahren zur Datenaufbewahrung und gilt für den deutschen Gesundheitssektor als Mindestanforderung für eine legitime Nutzung.
Trotz dieser Maßnahme bleibt die Cloud umstritten. Die Frage, ob ihre Risiken und Kosten den Nutzen übersteigen, müssen sich grundsätzlich alle Unternehmen stellen – nicht nur wegen des Datenschutzes. Es ist völlig normal, zu unterschiedlichen Einschätzungen zu kommen.
Trend Micro reagiert darauf mit Angeboten, die ein ähnliches Sicherheitsniveau auf unterschiedlichen Formfaktoren anbieten wie die eigenen Cloud-gestützten Offerten. Wir bezeichnen das diesbezügliche Portfolio als „Trend Vision One Sovereign & Private Cloud“. Die Idee dabei ist es, einem Kunden die Flexibilität zu bieten, seine Sicherheit nach eigenem Maßstab und Sicherheitsempfinden aufzubauen. Hat man sich beispielsweise entschieden, in die AWS „souveräne Cloud“ zu wechseln, kann die Lösung genauso eingesetzt werden, wie für ein System, das komplett autark in eigenen Rechenzentren sogar ohne Zugriff auf externe Ressourcen (Air-Gap) funktionieren muss.
Fazit
Der Bedarf an digitaler Souveränität einer Organisation ist abhängig von den verwendeten Daten und der Notwendigkeit, auf diese zuzugreifen. Dies kann auch innerhalb einer Branche stark variieren und ist oft abhängig von den politischen Umständen.
Für die Gesundheitsbranche sind das keine guten Nachrichten. Wie Cyberangriffe in den letzten Jahren mehrfach belegt haben, ist allein das Vorhandensein eines Akteurs im Netzwerk oft ausreichend, aus Sicherheitsgründen medizinische Maßnahmen umzudisponieren. Darüber hinaus gehören Gesundheitsdaten zu den gefragtesten Informationen im digitalen Untergrund. Die Eindämmung von Krankheiten ist für Staaten nicht nur primäre Aufgabe, sondern auch ein nicht zu unterschätzender Wirtschaftsfaktor.
Alle diese Punkte machen Unternehmen der Gesundheitsbranche zu einem Hauptziel für verschiedene Akteure. Die Herausforderung bezüglich der Souveränität bedeutet dabei eine zusätzliche Belastung, weil neben üblichen Sicherheitsvorkehrungen auch noch speziellere Maßnahmen gefordert sind.
Trend Micro kann in dieser Debatte die Kunden in der Beurteilung der mit Cybersicherheit zusammenhängenden Risiken unterstützen. Beim Einsatz unserer Technologien geht es zudem darum, möglichst viele Störfaktoren auszuräumen. So sind unsere Lösungen nach deutschem C5 sowie anderen europäischen und internationalen Standards zertifiziert.
Dennoch bleibt digitale Souveränität ein Thema für das Risikomanagement und ist abhängig von der individuellen Aufgabenstellung. Wir unterstützen gerne dabei, die Optionen zu beschreiben. Letztendlich besteht unsere Aufgabe aber darin, die getroffene Entscheidung bestmöglich zu unterstützen. Deshalb wurde unser Angebot darauf optimiert, flexibel die Bedürfnisse unserer Kunden zu bedienen.