Cyber Security: Wie Krankenkassen sensible Daten schützen

15 November, 2019

Die Akteure im deutschen Gesundheitswesen wie gesetzliche Krankenkassen gehen täglich mit einer Vielzahl von Daten ihrer Versicherten um. Wie schützen sie diese personenbezogenen Informationen am besten?

Wie groß ist die Bedrohungslage durch Angriffe von außen? Und wie hoch sind die regulatorischen Anforderungen an die Krankenversicherung? Ein Überblick über die aktuelle Lage zur Cyber Security:

Der Experte für Ihre Fragen

Jörg Asma
Partner Cyber Security bei PwC Germany
Tel.: +49 221 2084-103
E-Mail

Daten sind das Wirtschaftsgut des 21. Jahrhunderts

Gesundheits-Apps, Health-Tracker oder die elektronische Patientenakte: Daten als das Wirtschaftsgut des 21. Jahrhunderts spielen auch im Gesundheitswesen eine wichtige Rolle. Die Digitalisierung der Medizin trägt dazu bei, die Versorgung besser und wirtschaftlicher zu gestalten. Daher setzt auch die Gesundheitswirtschaft auf digitale Technologien, um Informationen zu teilen und einen papierlosen Austausch zwischen den einzelnen Sektoren zu ermöglichen. Davon profitieren nicht nur die Versicherten, sondern auch medizinisches Fachpersonal und die Forschung.

Das Wichtigste in 30 Sekunden

  • Je wichtiger Daten im Gesundheitswesen werden, desto wichtiger wird der Schutz dieser Daten.
  • Der Schutz von Patientendaten sollte oberste Priorität für Ihre Organisation haben, denn eine erfolgreiche Cyberattacke kann zu Reputationsverlust und hohen Bußgeldern führen.
  • Cyberkriminelle nutzen verschiedene Schwachstellen aus, wie ungenügend geschulte Mitarbeiter, zu weit gefasste Zugriffsrechte, unsachgemäße Datenlöschung oder unverschlüsselten Versand.
  • Deshalb sind ganzheitliche Lösungen nötig, die sowohl die technischen Aspekte als auch die involvierten Menschen und Prozesse betrachten.
  • PwC hilft gesetzlichen Krankenkassen und anderen Organisationen der Gesundheitsbranche dabei, diese nachhaltigen und integrierten Lösungen zu finden und umzusetzen.

Die Gesundheitswirtschaft wird verwundbarer für Angriffe aus dem Netz

Zugleich aber wächst die Komplexität von digitalen Infrastrukturen, sodass es immer schwieriger wird, Patientendaten mit hohem Schutzbedarf zu schützen. Organisationen des Gesundheitswesens, wie Krankenhäuser, Arztpraxen und gesetzliche Krankenkassen, sind verwundbarer für Angriffe von außen geworden, weil sie in praktisch allen Arbeitsbereichen stark vernetzt arbeiten. 

Solche Sicherheitslücken nutzen Cyberkriminelle gezielt aus. In der jüngeren Vergangenheit hat sich gezeigt, dass sie auch die deutsche Gesundheitswirtschaft im Visier haben. So ist es bereits zu verschiedenen Angriffen auf Krankenhäuser gekommen, bei denen die Angreifer eine Schadsoftware per Mail verschickten.

Damit legten sie ganze Kliniken lahm, die Operationstermine verschieben und Notfälle abweisen mussten. Für die betroffenen Patienten kann sich dadurch ein hohes gesundheitliches Risiko ergeben. Den Versicherten ist bewusst, wie groß die Gefahr ist: Wie eine PwC-Studie zur Datensicherheit in Kliniken und Arztpraxen zeigt, sehen viele Bürger Nachholbedarf in puncto Sicherheit, besonders in kleineren kommunalen Krankenhäusern und in Arztpraxen.

Cyberkriminelle nutzen Lücken in der IT-Sicherheit gezielt aus

 

Umso wichtiger ist es, dass Organisationen des Gesundheitswesens sich intensiv mit dem Thema Datensicherheit beschäftigen und die Daten von Versicherten schützen. Dazu sind sie auch gesetzlich verpflichtet – die Verantwortlichen müssen hohe rechtliche und regulatorische Anforderungen einhalten und nachweisen.

Neben Krankenhäusern verarbeiten auch die gesetzlichen Krankenkassen und die Dienstleister der gesetzlichen Krankenversicherung (GKV) besonders schützenswerte Daten. Ihre Verwaltungs- und Zahlungssysteme wurden per Gesetz als zu schützende Infrastrukturen eingestuft. Auch wenn die Krankenversicherung sich ihrer Verantwortung bei der Verarbeitung von schützenswerten Gesundheitsdaten bewusst sind, entdecken Kriminelle immer wieder Sicherheitslücken in der IT und nutzen sie aus.

Der Unterschied zwischen Datenschutz und Informationssicherheit

Gesundheitsinformationen sind für Kriminelle wertvoller als Finanzdaten

Ein großes Risiko für Angriffe von außen ergibt sich, wenn das Bewusstsein für die aktuelle Cyberbedrohungslage bei den Mitarbeiterinnen und Mitarbeitern der GKV nur gering ausgeprägt ist. Eine weitere Schwachstelle sind weit gefasste Zugriffsrechte – das kann auch ausgelagerte Dienstleistungen betreffen. Ebenso können unzureichende Zugangsregelungen und lückenhaft umgesetzte technische Maßnahmen zur Weitergabekontrolle innerhalb von Anwendungslösungen, die mangelhafte Umsetzung einer ordnungsgemäßen Löschung und der fehlerhafte Versand schützenswerter Daten zur Gefahr hinsichtlich der Datensicherheit werden.

Ganzheitliche Lösungsansätze betrachten das Thema nicht nur aus technologischer Perspektive, sondern beziehen auch den Menschen und Prozesse mit ein.

Für Cyberkriminelle sind Gesundheitsdaten ein hohes Gut, sie gelten inzwischen als wertvoller als Kreditkartendaten. Denn: Während Finanzdaten ständig verändert werden können, sind Geburtsdaten oder der Krankenverlauf lebenslang einem Menschen zuzuordnen. Daher sind die Anforderungen an Sicherheit besonders hoch, denen sich Krankenkassen stellen müssen. Nur so gelingt es ihnen, Reputationsschäden, Haftungsrisiken oder Bußgelder zu vermeiden.

Das Sicherheitsmanagement stellt Krankenkassen vor große Herausforderungen

Geltende Standards und Rechtsgrundlagen für Krankenkassen bilden den Rahmen, um Risiken zu steuern und Cyber Security zu leben. Zur Einhaltung von geltenden rechtlichen Vorschriften stehen die Krankenkassen vor großen Herausforderungen. Sie sind verpflichtet, Informationstechnologien zu nutzen, Prozesse zu etablieren, Beteiligte zu sensibilisieren und Kompetenzen zu bündeln, um gemeinsam risikoorientierte Entscheidungen zu treffen. Kontinuierlich wirksame – stets die Veränderungen einbeziehende – Prozesse sind zu definieren und einzuhalten, beispielsweise zum Umgang mit Informationssicherheitsvorfällen und Datenschutzverletzungen, zur Erfüllung der Rechte der betroffenen Personen und zur Steuerung ausgelagerter Dienstleistungen.

Ebenso stehen die gesetzlichen Krankenkassen vor der Aufgabe, Schulungskonzepte zu entwickeln, um ihre Angestellten für das Thema Cyber Security zu sensibilisieren. Außerdem müssen sie fortwährende Bewertungen von Verarbeitungstätigkeiten umsetzen und nachvollziehbar erfassen. Das setzt voraus, dass sie alle erforderlichen technischen und organisatorischen Maßnahmen treffen. Die Gegebenheiten erfordern ein kontinuierliches, risikoorientiertes Management von rechtskonformen Abläufen und die Verarbeitung einer Vielzahl von Informationen, um die geltenden Regelungen zu erfüllen.

Unser Angebot: Der Weg zur sicheren Digitalisierung von Krankenkassen

 

Der Experte für Ihre Fragen

Jörg Asma
Partner Cyber Security bei PwC Germany
Tel.: +49 221 2084-103
E-Mail

Dabei steht PwC der Gesundheitsbranche mit praktischen prozessorientierten, technischen Lösungen als kompetenter und erfahrener Partner zur Seite. Entsprechend des Bedarfs einer Organisation entwickeln interdisziplinäre Teams nachhaltige und integrierte Lösungsansätze. PwC-Teams im Bereich Cyber Security, zu denen mehr als 300 Experten deutschlandweit und eine Vielzahl von Experten im internationalen PwC-Netzwerk gehören, beraten zu geltenden Anforderungen, bieten Leistungen zum Implementieren von Managementsystemen und unterstützen Entscheider bei der risikoorientierten Aufgabenwahrnehmung – sowohl im Bereich Datenschutz als auch im Bereich Informationssicherheit.

Zu diesen Tätigkeiten zählen die gemeinsame Erarbeitung und die Einführung lebendiger Prozesse, die Durchführung von Risikoanalysen und Datenschutzfolgenabschätzungen und die datenschutzrechtliche Bewertung von einzuführenden und bestehenden Anwendungslösungen wie die Entwicklung von Sicherheits- und Sensibilisierungskonzepten. Dabei werden alle rechtlichen Anforderungen und geltenden Standards wie das IT-Sicherheitsgesetz, die DSGVO, BSI-Standards, aber auch branchenspezifische Regelungen wie das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Sozialgesetzbuch oder weitere Regelungen des Sozialdatenschutzes berücksichtigt. Ziel dabei ist es, dass gesetzliche Krankenkassen künftig selbstständig dazu in der Lage sind, das Thema Datensicherheit zu meistern. Damit gelingt den Krankenkassen der Weg zur sicheren Digitalisierung. Wir machen Sie stark für mehr Datensicherheit. Sprechen Sie uns gern bei Interesse an Workshops zur Sensibilisierung Ihrer Mitarbeiter an.

Contact us

Jörg Asma

Jörg Asma

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 221 2084-103

Follow us