Medizinische Daten im Cyber-Kontext

Die Information Security in Healthcare ist inzwischen zu einer wichtigen Konferenz angewachsen. Sie spannt die Schere zwischen Sicherheitsprozessen und der effizienten Datenverwaltung im Gesundheitswesen. Sie bringt IT-Anbieter und Anwender, Spital- und Praxisverantwortliche, Entscheidungsträger und Insider zusammen und schafft mit relevanten Vorträgen und Fachsitzungen eine Grundlage für neue Lösungen.

Diesbezüglich richtete auch Martin Pfister, Vorsteher der Gesundheitsdirektion Kt. Zug, seine Worte am 22. Juni 2017 an 245 interessierte Konferenzteilnehmer: «Hausarbeit fällt oft erst auf, wenn sie nicht gemacht wird», ähnlich sollte man auch die Spital- und Firmen-IT nicht verstauben lassen, um nicht von Viren wie «WannaCry» überrascht zu werden.

Unter «WannaCry», der bisher grössten Cyberattacke, gelangten Spezialisten nicht mehr an Patientenakten, weil die IT zuerst rigorose Viren-Checks durchzuführen hatte. Operationen und Untersuchungen mussten beim britischen Gesundheitsversorger NHS sogar verschoben werden. Gemäss Insidern ist es kein Zufall, dass ausgerechnet Gesundheitseinrichtungen übermässig von der «WannaCry»-Attacke getroffen wurden.

Nicht nur infiltrierten Hacker gezielt Grosskonzerne, international organisierte Gruppen betreiben Schwarzhandel mit medizinischen Datensätzen. «Es geht nicht unbedingt um erpresserischen Identitäts-Diebstahl, medizinische Daten bringen auf dem Markt viel Geld ein – neue Technologien wie anonymisierte Bitcoin-Transaktionen tun ihr übriges hierzu», kommentiert Peter Fischer, Konferenzleiter und Professor an der Hochschule Luzern Informatik, kritische Punkte, die ebenso das Schweizer Gesundheitswesen betreffen.

Hacker und Ausnahmesituationen
Hacker nutzen Ausnahmesituationen, greifen Spitalsysteme an, schöpfen etwa über Phishing Emails und Profiling von Patienten sensible Daten ab. Im Extremfall manipulieren sie gar Medizinalgeräte (z. B. über die Kallibrations-Software). So referierten zwei Insider vom Chaos Computer Club Zürich an der Tageskonferenz in Rotkreuz über Einfalls­lücken und Spyware bei Medizinalgeräten. Sie berichteten über Falschprogrammierungen von lebenswichtigen Geräten (z. B. eines Wireless Defibrillators) über ein iPhone.

Aktuell seien es noch Einzelfälle. Spritzenpumpen, Narkosegeräte, nicht zuletzt private Tablets sind in Gesundheitseinrichtungen rund um die Uhr online. Um an medizinische Meta-Daten zu gelangen, fokussieren Cyber-Kriminelle präferiert auf ortsunabhängige Endgeräte. Claudio Luck vom Chaos Computer Club: «Online-Daten, die man über Messgeräte oder Devices erhebt, sind für Analysen besser zu vermarkten als handgeschriebene Briefe.»

Mehr Risiken als Chancen
Lucas Schult, ein Virenabwehr-Spezialist der Health Info Net AG (HIN): «53 Prozent der Angriffe kommen aus der Region EMEA. Ebenso erstaunlich ist, dass inzwischen alle 40 Sekunden ein Angriff auf Spitalsysteme auszuführen versucht wird.» Das Gesundheitswesen stecke allgemein «in der Klemme», seit immer mehr Trojaner und Spyware bei Gesundheits-Apps eingesetzt werden.

«Die Bedrohung ist ernst zu nehmen», klärte Adrian Schmid, eHealth Suisse in seiner Keynote «Mobile Health – eine Chance mit neuen Risiken» an einem der ersten Referate auf.

Zertifizierungen von Apps?
Schmid, Leiter eHealth Suisse, betonte: «Gut 3 Millionen Gesundheits-Apps werden in der Schweiz angewendet. Diese Apps entsprechen jedoch nicht der Definition von Medizinprodukten.» Seinen Schätzungen nach erfüllen höchstens 3 Prozent jener Programme die Bedingungen des Eidgenössischen Heilmittelgesetzes, die per se Medizinprodukte definieren. Experten sind sich einig: Apps können Ärzte und Therapeuten in der Prävention, Diagnose und Therapie unterstützen. Sie sollten jedoch qualitativen Regelungen respektive internationalen Zertifizierunegen unterliegen. Patienten können sich aktuell nur auf Empfehlungen von Spezialisten verlassen, etwa ihren Impfstatus elektronisch zu erfassen und persönliche Daten einzuscannen.

Leider sei das Thema «mHealth» (siehe Infobox), das mobile Management der Krankendaten, noch zu stark anbieter- und konsumgetrieben. Ein koordiniertes Vorgehen fehle in der Schweiz bisher. Schmid sowie ­andere Fachleute befürworten die mobile Unterstützung, soweit konkrete Messwerte erhoben und sofern solche Big-Data-Werte sicher hinterlegt sind. Schmid: «Die Quelle der Information sollte jedenfalls werbefrei und politisch unabhängig eingesetzt werden.»

Die Tagesveranstaltung hätte nicht aktueller und relevanter ausgestaltet sein können. Bereits vor dem Mittag gab es parallel laufende Vorträge in den Bereichen «Community», «Health-Tech», «Governance» und «Technik». So schenkten Praktiker beispielsweise im «Community»-Stream volle Aufmerksamkeit.

«Der Datenschützer hat gesagt …», Datenschutz müsse nicht immer den Fortschritt in der Praxis behindern, bekundete Dr. med. Urs Müller, Head Medical Competence Center, Post AG. Der Arzt zeigte innovative Lösungen. Ebenso gelang Christian Greuter, Geschäftsführer Health Info Net AG (HIN) der Spagat zwischen Sicherheit und Usability am Beispiel eMediplan: «Studien zur Patientensicherheit zeigen, dass etwa 5 Prozent der Spitaleintritte auf unerwünschte Arzneimittelereignisse zurückzuführen sind. Der eMediplan hilft nicht nur, Medikationsfehler zu vermeiden – er alarmiert in Echtzeit.»

Bedrohliche Dimensionen
Höchst interessant war die Keynote «ethische Aspekte bei Big Data in der Medizin» von Prof. Dr. Bernice Elger, Leiterin des Instituts für Bio- und Medizinethik, Universität Basel (IBMB). Die Ethikerin sprach nicht nur von veränderten Rahmenbedingungen, welche die Digitalisierung mit sich bringe, sondern auch von analytischen Problemstellungen, wolle man die «ungeheure Velocity» von Datensätzen verstehen. Allgemein meinte sie, unsere Gesellschaft, sogar die palliative Patientenbetreuung, werde durch die Digitalisierung nicht nur smarter, sondern auch glasiger.

Der zunehmende Kostendruck im Medizinsektor zwingt Leistungserbringende dazu, immer mehr Daten immer schneller zu verarbeiten. Bei der zweitletzen Keynote über die «Aktuelle Lage der Cyber Security» von Daniel Rudin, Melde- und Analysestelle Informationssicherung MELANI, hätte man gern mehr über den Impact des «WannaCry»-Virus auf die Schweiz gehört. Rudin-O-Ton: «Es gibt keinen holistischen Ansatz, um sich vor Cyberbedrohungen schützen zu können.»

Die Schweiz hat eine neue Dimension erreicht, seit das Internet nicht nur Computer, sondern Medizinalgeräte wie Haushaltsapparate verbinde. – Ob man sich jedoch in den USA oder in der Schweiz bewege, Malware kenne keine Grenzen. Prof. Dr. René Hüsler, Direktor Hochschule Luzern Informatik, beendete die Tageskonferenz gegen 17 Uhr mit einer gebündelten Konferenzrückschau.