BYOD – Bring Your Own Device – ist inzwischen Realität in vielen Unternehmen. Auch im Gesundheitswesen sind immer mehr private mobile Geräte anzutreffen. Das Aussperren von Smart Phones oder Tablets hat sich als wenig effizient erweisen. Stattdessen sollten die betroffenen Organisationen diese Geräte in ein umfassendes Sicherheitsmanagement integrieren.
Unbestreitbare Tatsache ist, dass auch im Gesundheitswesen immer mehr mobile IT-Systeme eingesetzt werden. Gesundheits-Informationen sind damit mobil geworden und lassen sich überall nutzen, wo sie gebraucht werden, also nicht nur an einigen wenigen IT-Arbeitsplätzen, sondern im Krankenzimmer, in einem Behandlungsraum oder notfalls auch auf dem Flur.
Die wichtigen Patientendaten sind heute so verfügbar geworden wie noch nie, aber damit auch gefährdet. Die Verwendung von zusätzlichen privaten Geräten am Arbeitsplatz hat die Situation noch weiter verkompliziert.
Wenn Mitarbeiter eigene Smartphones, Tablets, USB-Sticks oder Notebooks einsetzen – manchmal mit Erlaubnis der Unternehmen, manchmal ohne, manchmal verschlüsselt, manchmal nicht – bedeutet dies, dass man nie wissen kann, wer alles Zugriff auf Gesundheitsdaten hat, welche Informationen sicher sind und welche nicht.
Dabei sind die Kosten, die aus Datenverlusten entstehen können, gerade im Gesundheitswesen sehr hoch. Kliniken, Praxen und andere mit Gesundheitsdaten arbeitenden Organisationen stehen diesbezüglich nicht nur im Licht der Öffentlichkeit, die ganz besonders empfindlich reagiert, sondern müssen neben Image-Verlusten auch mit erheblichen finanziellen Folgen rechnen.
25.00 Datensätze auf einem USB-Stick
Wenn ein Mitarbeiter eine Patientenakte verliert, wird man letzten Endes dafür immer auch das Unternehmen verantwortlich machen und gegebenenfalls in Regress nehmen. Dass man hier nicht über "Peanuts" redet, wird deutlich, wenn man sich vergegenwärtigt, dass auf einem einzigen USB-Stick mehr als 25.000 Datensätze gespeichert werden können. Die direkten und indirekten Folgekosten eines einzigen Missbrauchsfalls können schnell Millionen betragen.
Seitens der Mitarbeiter muss man nicht bösen Willen unterstellen, es reicht die ganz "normale" Fehlerwahrscheinlichkeit, wie sie bei allen Arbeiten vorkommen kann. Je häufiger die Mitarbeiter über ungesicherte mobile Geräte Zugang zu Gesundheitsinformationen erhalten, desto größer ist die Wahrscheinlichkeit, dass Daten auch abhanden kommen können.
US-Krankenversicherung verliert Daten von 1,5 Millionen Versicherten
Entsprechende Fälle hat es besonders in den USA, wo mobile Systeme im Gesundheitswesen eine hohe Verbreitung haben, bereits gegeben. So ging einer US-Krankenversicherung eine unverschlüsselte tragbare Festplatte verloren, auf der sich die Arztberichte von 1,5 Millionen Versicherten befanden. Die Kosten für Geldstrafen und Schadenersatzzahlungen summierten sich anschließend auf rund 1,5 Millionen Dollar. Dazu kommen Verlust an Vertrauen und Image sowie in Folge davon Einbußen wegen entgangener Geschäfte.
Was die Folgen von Datenverlusten im Gesundheitswesen so besonders wirksam macht, ist die Tatsache, dass die Daten mit den mobilen Geräten nicht einfach "verloren" gehen, sondern dass sie sich anschließend in den Händen von unbefugten Nutzern befinden.
Und schließlich werden Daten nicht nur verloren, sondern sehr oft schlicht und einfach entwendet – ein häufig unterschätzter Faktor. Eine Studie des US Department of Health and Human Services, die 189 Fälle von Datenverlust mit mehr als 500 Datensätzen untersuchte, ergab, dass 52 Prozent auf Diebstahl zurückgingen und nur 16 Prozent unabsichtlich verloren wurden.
Verbot mobiler privater Geräte nicht effizient
Vor diesem Hintergrund scheint es das Einfachste zu sein, den Mitarbeitern die Benutzung eigener (mobiler) Geräte im Unternehmen ganz zu verbieten.
Effizient wäre ein solcher Ansatz allerdings nicht. Zum einen würde man damit auf den wesentlichen Vorteil dieser Systeme verzichten. Die Mitarbeiter setzen diese ja nicht aus purem Übermut ein, sondern weil sie gesehen haben, dass sich damit die Arbeitsprozesse produktiver gestalten lassen. Dies zu unterstützen bedeutet nicht nur, die Zufriedenheit der Mitarbeiter zu verbessern, sondern eben auch die Patientenversorgung, weil beispielsweise Diagnosen schneller zu stellen sind und weil Informationen immer da zur Verfügung stehen, wo sie gerade gebraucht werden.
Darüber hinaus würden Unternehmen, die versuchen, private mobile Geräte auszusperren, riskieren, dass die Mitarbeiter diese an den zuständigen Stellen vorbei trotzdem verwenden, weil sie auf die genannten Vorteile nicht verzichten wollen. Das Unternehmen aber würde auf diese Weise jegliche Kontrolle über den Einsatz dieser Geräte verlieren.
Informations- und Sicherheitsmanagement aufbauen
Die Unternehmen müssen daher lernen, auch mit privaten mobilen Geräten zu leben, nicht gegen sie. Nötig ist dafür der Aufbau eines Informations- und Sicherheitsmanagements, das die Informationen sicher macht und das selbstverständlich auch den Einsatz mobiler Geräte abdecken muss. Solche Management-Systeme werden zum Beispiel von Dell angeboten, und zwar im Zuge der Expansion dieses Herstellers in den Healthcare-Bereich.
Mobile Endgeräte können durch die Verwendung einer sicheren Identitätsfeststellung, durch umfassende Verschlüsselung, den Einsatz von Tracking- und Tracing-Software, durch Anti-Malware sowie häufige Backups und umfassendes Monitoring sicher eingebunden werden. Dabei versteht ein integrierter Ansatz die mobilen Geräte als Komponenten einer Sicherheitsstrategie. Gegenüber einer punktuellen Lösung, die immer nur einzelne Geräte sieht, ist das in jedem Fall vorzuziehen.
Kleine Merkliste für die Sicherheit
Grundlegende Fragen eines umfassenden Sicherheitsmanagements in einer mobilen Umgebung
• Welche Geräte haben überhaupt Zugang zu den Gesundheitsdaten?
• Sind diese Geräte im Besitz der Mitarbeiter oder des Unternehmens?
• Verfügen die Geräte über professionelle Sicherheitsfeatures?
• Können Unternehmen verlorene Geräte vor unbefugten Zugriff auf Daten sperren?
• Können die Daten auf den Geräten verschlüsselt werden?
• Gibt es einen Mechanismus für das Management der Authentifizierung aller Geräte im Unternehmen?
• Ist das Krankenhaus-Netzwerk virtualisiert, so dass Informationen im Rechenzentrum verwaltet werden können und nicht auf jedem einzelnen Gerät?