Lücken in der Sicherheitsarchitektur sind eine der gravierendsten Bedrohungen für Gesundheitsdienstleister. Abgesehen von der datenschutzrechtlichen Verantwortung, kann es bei Hackerangriffen zu großen finanziellen Schäden kommen. Zum einen werden gerne Lösegeldforderungen für das entschlüsseln von verschlüsselten und damit unbenützbare Systeme oder der Androhung der Veröffentlichung von Patientendaten eingesetzt. Zum anderen fallen während und nach Angriffen hohe Kosten für die Wiederherstellung und Überprüfung der ursprünglichen IT-Systeme und Notwendigkeit externer Beratungsleistungen an. Ungefähr jedes Dritte Krankenhaus in Europa war in den letzten Jahren von einem Cyberangriff betroffen, der zu substantiellen oder schweren Beeinträchtigungen des normalen Arbeitsablaufs führte.
Um einen groben Überblick über aktuelle Entwicklungen der Cybersecurity im österreichischen Gesundheitssystems zu erhalten, wurde im Rahmen des dHealth Kongress 2024 mehrere Aspekte dieses Themas beleuchtet. In die AGES eingebettet wird beispielsweise gerade das Austrian Health CERT (Computer Emergency Response Team) etabliert. Dieses wurde von der Bundeszielsteuerungskommission initiiert und ist das erste spezifisch nur für den Gesundheitsbereich zuständige Cymersecurity Team in Österreich. Die für den Aufbau und die Leitung verantwortlichen, Markus Hoffmann und Martin Habermayer, berichteten über die aktuell geplanten Aufgabenbereiche und die Herausforderungen, die bei Angriffen auf Netzinfrastrukturen anfallen. Besonderen Schwerpunkt liegt dabei auf dem Vertrauen der einzelnen Institutionen zueinander, da die berichtspflichtigen Krankenhäuser sensible Daten mit dem Austrian Health CERT teilen müssen. Dieses entwickelt dafür präventive bewusstseinsbildende Maßnahmen und kann frühzeitig über Bedrohungen informieren. Der Aufgabenbereich des Austrian Health CERT wird sich dabei zukünftig auch auf kleinere Gesundheitsdienstleiter erweitern.
Neue EU-Richtlinie wird gerade umgesetzt
Mit der Erfüllung aktueller und zukünftiger gesetzlicher Regularien zum Risikomanagement beschäftigte sich der Vortrag von Andreas Blaßnig-Kräuter, Chief Information Security Officer der ELGA GmbH. Die EU hat dazu bereits Anfang letzten Jahres eine neue Richtlinie in Kraft gesetzt, die bis Oktober 2024 in Österreich umgesetzt werden muss. Diese Regularien verschärfen die Vorgaben an das Risikomanagement für Gesundheitsdienstleister und weiten den Anwendungsbereich zusätzlich von den aktuell schon reglementierten großen Krankenhäusern auf mehr als 2500 Betriebe in Österreich aus. Besonders tragend wir dabei aber auch die weiterführende Verpflichtung in der Zuliefererkette für eine Risikoabschätzung zu sorgen, sowie die neu eingeführten Strafbestimmungen bei Verstößen gegen die Richtlinie. Nicht zuletzt appellierte Blaßnig-Kräuter aber an kleine Arztpraxen, sich ebenfalls Gedanken über ein umfangreiches Risikomanagement, angefangen von Stromversorgung über Datenbackup und Firewalls zu machen.
Cybersecurity von Anfang an mitdenken
Christof Tschohl, wissenschaftlicher Leiter und Gesellschafter des Research Institute – Digital Human Rights Center, beleuchtete in seinem Vortrag einen weiteren aktuellen Aspekt der Cybersecurity: security by design. Der auf Datenschutz spezialisierte Jurist und Techniker wählte dabei als Beispiel ein aktuelles Projekt, das auf föderalem maschinellem Lernen fußt. Dabei müssen Patientendaten das Krankenhaus nicht mehr verlassen, sondern die KI-Algorithmen werden in den einzelnen Krankenhäusern separat trainiert und dann zusammengefügt. Dennoch muss auch hier untersucht werden, ob die dabei generierten Metadaten Rückschlüsse auf einzelne Patient:innen zulassen. Konkret umgesetzt wird so ein Modell gerade im EU-Projekt Screen4care, bei dem genetische Screeninguntersuchungen auf Rare-Diseases quer durch Europa vernetzt untersucht werden sollen.