^{Allie Mellen, Analystin beim Beratungsunternehmen Forrester}

Frau Mellen, die Digitalisierung des Gesundheitswesens schreitet voran und bringt mit der Bereitstellung großer Datenmengen viele Vorteile. Aber birgt das nicht auch große Risiken für die Datensicherheit?

Absolut. Die Einführung neuer Technologien im Gesundheitswesen kann sowohl für Anbieter als auch für Patienten von großem Nutzen sein. Aus Sicherheitssicht ist das jedoch nicht ohne Herausforderungen. Wenn diese Daten gespeichert oder über das Internet zugänglich sind, werden sie zu einem Ziel für Cyberkriminelle oder Nationalstaaten, die online verkauft oder für Überwachungs- oder Doxing-Zwecke verwendet werden können.

Digitale Gesundheitsdaten sind von besonderem Interesse für Cyberkriminelle. Warum ist das so?

Digitale Gesundheitsdaten sind zutiefst persönlich und sehr wertvoll, nicht nur für Patienten, sondern auch für Anbieter und böswillige Drittakteure. Cyberkriminelle erkennen, dass sie Gesundheitsdaten für eine hohe Prämie im Dark Web verkaufen oder Patientendaten gewinnbringend nutzen können. Abhängig von der Raffinesse der Organisation können sie gestohlene Gesundheitsdaten verwenden, um auf illegalem Weg Rezepte zu erhalten, Versicherungsanbieter zu betrügen oder medizinische Geräte unter der Identität einer anderen Person zu kaufen. 

Warum sind Datenschutzverletzungen im Gesundheitswesen besonders schlimm?

Datenschutzverletzungen im Gesundheitswesen stellen eine besondere Herausforderung für Patienten dar, da es kein formelles System zur Verfolgung von Gesundheitsdaten und ihrer Verwendung gibt. Es ist viel schwieriger zu erkennen, ob ein Krimineller diese Daten auf betrügerische Weise verwendet, was bedeutet, dass Cyberkriminelle sie ohne potenzielle Auswirkungen für sich selbst für böswillige Absichten verwenden oder verkaufen können. 

Wer ist außer den Patienten noch betroffen?

Es gibt zwei Gruppen, die von Datenschutzverletzungen bei Gesundheitsdaten betroffen sind: Neben den Patienten trifft das natürlich auch auf die Technologieanbieter zu. Technologieanbieter, die angegriffen werden, gehen das Risiko von Geschäftsausfällen, den Verlust des Kundenvertrauens, von geistigem Eigentum sowie von Kundendaten und anderen Faktoren ein. Patienten, die einen Verstoß gegen ihre Gesundheitsdaten erleiden, sollten sich des möglichen Missbrauchs durch Cyberkriminelle bewusst sein und unbedingt darauf achten, dass es möglichst gar nicht dazu kommt.

Wo liegen denn die Hauptgefahrenquellen?

Die Hauptgefahrenquellen dürften Cyberkriminelle oder nationalstaatliche Akteure sein. Cyberkriminelle konzentrieren sich in den meisten Fällen auf den Geldwert der Gesundheitsdaten, die sie stehlen; also auf die Suche nach Möglichkeiten, mit den Daten so viel Geld wie möglich zu verdienen. Im Gegensatz dazu stehlen Nationalstaaten eher Gesundheitsdaten zu Überwachungszwecken oder um Informationen über Einzelpersonen zu sammeln. Dies wird wahrscheinlich in Abstimmung mit anderen, größeren Überwachungsoperationen erfolgen.

Und wer ist bei Schutzmaßnahmen primär gefragt – die Anbieter der Technologien oder die Anwender?

Das hängt davon ab, wo der oder die Betroffene wohnt. Es gibt einige Länder, die Vorschriften wie die DSGVO haben, die den Benutzern die Kontrolle über ihre Daten geben und von den Anbietern verlangen, Verstöße innerhalb eines bestimmten Zeitrahmens offenzulegen. In diesen Fällen tragen die Technologieanbieter eine Verantwortung gegenüber den Benutzern, und die Benutzer haben das Recht, den Zugriff auf ihre Daten jederzeit zu widerrufen. In anderen Ländern ohne diese Vorschriften sind die Technologieanbieter für den Schutz der Benutzerdaten verantwortlich, aber die Benutzer haben nicht das gleiche inhärente Recht, den Zugriff zu widerrufen. 

Was müssen Anbieter tun, um Datendiebstahl zu verhindern? Welche Schritte sollten Sie unternehmen? 

Anbieter sollten unbedingt innerhalb ihrer Organisation ein Sicherheitsprogramm aufbauen, um sich vor Angriffen auf das Unternehmen und jede von ihnen entwickelte Technologie zu schützen. Dieses Programm sollte sich auf eine Zero-Trust-Sicherheitsstrategie konzentrieren und auch die Sicherheitsüberwachung der Umgebung umfassen. Darüber hinaus sollten Technologieanbieter Maßnahmen zur Produktsicherheit priorisieren und diese in ihr SDLC einbauen, um Kundendaten zu schützen.

Und welche Möglichkeiten haben Patienten beziehungsweise Kunden, die Sicherheit zu erhöhen?

Letztendlich müssen Nutzer darauf achten, mit welchen Anbietern sie ihre Daten teilen. Es ist wichtig, vertrauenswürdige Anbieter zu finden und die Weitergabe von Daten auf das unbedingt Notwendige zu beschränken. Fordern Sie außerdem eine Kopie Ihrer Daten für Ihre Unterlagen an und widerrufen Sie den Zugriff auf diese Daten, wenn Sie den Anbieter wechseln.