Georg Thieme Verlag KGGeorg Thieme Verlag KG
Georg Thieme Verlag KGGeorg Thieme Verlag KG

GesundheitsdatenMehr Sicherheit durch kluge Data Loss Prevention-Strategie

Die Digitalisierung der Krankenhäuser erfordert ein höheres Schutzniveau für gesundheitsbezogene Daten. Diese sind sensibel und müssen vor Datendiebstahl geschützt werden. Kliniken brauchen daher Strategien zur Vorsorge gegen einen Datenverlust.

Ein Mann sitzt am Schreibtisch und verschränkt die Hand vorm Gesicht. Auf seinem Computerbildschirm steht das Wort "Ransomeware". Es erscheint der Eindruck, dass der Mann von einem Cyberangriff betroffen ist.
Andrey Popov/stock.adobe.com
Symbolfoto

Der Schutz gesundheitsbezogener Daten gewinnt mit der Digitalisierung und Vernetzung des Gesundheitswesens an Bedeutung. Schließlich handelt es sich dabei um Informationen, die nicht nur für die medizinische Behandlung, sondern auch für Versicherungsfragen, Beschäftigungsmöglichkeiten und sogar die persönliche Sicherheit von Bedeutung sind. Damit steigen auch die Anforderungen an Gesundheitseinrichtungen, sensible Patientendaten vor Informationsdiebstahl, Datenlecks, Datenmanipulation und unberechtigter Weitergabe an Dritte zu schützen. Vor diesem Hintergrund gewinnt die Umsetzung von Data Loss Prevention (DLP)-Strategien zunehmend an Bedeutung.

Die Rolle der Data Loss Prevention-Strategie

Data Loss Prevention (DLP) bezieht sich auf Maßnahmen, die den versehentlichen oder unbefugten Verlust oder die Offenlegung sensibler Informationen wie Patientendaten oder persönliche Gesundheitsinformationen verhindern. Bei der Entwicklung einer vollständigen DLP-Strategie ist es entscheidend zu wissen, wer welche Daten zu welchem Zeitpunkt verwendet und wohin diese Daten fließen, um Datenverluste zu verhindern. DLP verwendet dazu eine Kombination verschiedener Sicherheitsmaßnahmen, darunter kryptografische Verfahren, Endpunkterkennungs- und -reaktionstools, Antivirensoftware und maschinelles Lernen. Diese Maßnahmen wirken gemeinsam, um Anomalien zu erkennen, Datenverletzungen zu verhindern und kontextbezogene Erkenntnisse zu liefern.

Umsetzung beginnt mit Bestandsaufnahme

Eine DLP-Strategie umfasst neben technischen Maßnahmen auch prozessuale und organisatorische Maßnahmen. Für die Umsetzung einer solchen Strategie sind eine Reihe von Schritten essenziell. Um besonders schützenswerte Daten und deren zentrale Systeme zu identifizieren und zu priorisieren, müssen Unternehmen im Rahmen ihrer DLP-Strategie zunächst eine erste Bestandsaufnahme durchführen – einschließlich Business Impact Assessment und Risikoanalyse. Dabei wird das Risikoniveau in Bezug auf Informationsdiebstahl, Datenlecks und -manipulation, unbefugte Weitergabe, den Compliance-Status und die geschäftliche Sensibilität geprüft.

Daten klassifizieren und dezidierte Rechte festlegen

Aufbauend auf dem ersten Schritt erfolgt eine Klassifizierung. Dabei werden die Daten je nach Schutzbedarf und Sensibilität in verschiedene Kategorien eingeteilt und entweder als vertraulich oder geheim eingestuft. Personenbezogene und medizinische Informationen erfordern hier besonderen Schutz. Die anschließende Datenklassifizierung ermöglicht die Definition klarer Richtlinien für den Umgang mit verschiedenen Datenkategorien.

Diese Richtlinien sollten Best Practices für den Datenschutz enthalten und die Verantwortlichkeiten der Mitarbeiterinnen und Mitarbeiter festlegen. Dazu gehören ein dezidiertes Rechte- und Rollenkonzept sowie klare Zugriffsregelungen. Zudem ist es wichtig, die Mitarbeitenden regelmäßig im Umgang mit sensiblen Daten zu schulen, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten.

Planen für den Ernstfall

Auf Basis einer gut durchdachten prozessualen und organisatorischen DLP-Strategie lassen sich dann entsprechende Sicherheitstechnologien implementieren. Für die kontinuierliche Weiterentwicklung und Verbesserung der DLP in einer Gesundheitsorganisation sind jedoch auch regelmäßige interne Audits nach bekannten Standards – zum Beispiel B3S – von großer Bedeutung, um die Einhaltung der Richtlinien und Verfahren zu überprüfen und potenzielle Schwachstellen frühzeitig aufzudecken.

Da sich aber ein Schadensfall trotz höchster Sicherheitsmaßnahmen nie ganz ausschließen lässt, ist es wichtig, auch dieses Szenario im Rahmen der DLP-Strategie zu beleuchten. Hierzu ist ein vollständiger Incident Response Plan für den Umgang mit Datenschutzverletzungen oder Sicherheitsvorfällen notwendig. Dabei sind klare Schritte festzulegen, um auf Vorfälle zu reagieren und die System- und Datenintegrität unter Berücksichtigung des festgelegten Klassifizierungssystems wiederherzustellen.

Zur Person

Yannik Angler
Detecon

Yannik Angler ist Management Berater bei Detecon International. Der studierte Gesundheitsökonom hat seine Beratungsschwerpunkte in den Industrien Health und Public, wo er insbesondere Krankenhäuser bei der Strategieentwicklung, dem Informationssicherheitsmanagement und bei der Umsetzung von Cyber Security Maßnahmen begleitet. Zuvor war er in einer Krankenhausberatung tätig.

NIS-2-Richtlinie treibt Prävention

Auch auf rechtlicher Ebene gewinnen Strategien und Maßnahmen zur Datensicherheit sensibler Gesundheitsdaten zunehmend an Bedeutung. So führt beispielweise die Umsetzung der sogenannten NIS-2-Richtlinie ab Oktober 2024 zu höheren Sicherheitsanforderungen selbst für viele Gesundheitseinrichtungen, die als „Nicht-KRITIS“ eingestuft sind.

Die NIS-2-Richtlinie ist eine europäische Verordnung, die die Cybersicherheit in wichtigen Sektoren verbessern soll. Die Umsetzung dieser Richtlinie erfolgt durch das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Zu den Anforderungen der Richtlinie gehören unter anderem Vorgaben zur Zugangskontrolle, die Implementierung eines umfassenden Risikomanagements, die Schaffung eines ausreichenden technischen Schutzniveaus in Form von Erkennungs- und Reaktionstechnologien und Kryptografie. Gesundheitseinrichtungen, die die Vorgaben der NIS2-Richtlinie nicht einhalten, drohen Bußgelder.

Durch die Implementierung von Data Loss Prevention-Maßnahmen sind Gesundheitseinrichtungen in der Lage, potenzielle Sicherheitslücken zu identifizieren, sensible Daten zu verschlüsseln, Zugriffsrechte zu kontrollieren und Sicherheitsrichtlinien durchzusetzen. Dies trägt dazu bei, die Einhaltung der NIS-2-Richtlinie sicherzustellen.

Data Loss Prevention geht nur Hand in Hand

Insbesondere kleine und mittlere Gesundheitseinrichtungen stehen vor der Herausforderung, die steigenden Anforderungen an Datensicherheit mit begrenzten personellen und finanziellen Ressourcen zu erfüllen. Daher lohnt es sich, externe Unterstützung in Form eines Beratungsunternehmens in Anspruch zu nehmen. Spezialisierte Berater können bei der Bewertung der aktuellen Sicherheitslage, der Entwicklung einer maßgeschneiderten DLP-Strategie, der Implementierung von Datensicherheitstechnologien und der Sensibilisierung der Mitarbeitenden unterstützen. Sie helfen dabei, Best Practices aus anderen Branchen und stellen sicher, dass die DLP-Strategie aktuellen Bedrohungen gerecht wird.

Eine umfassende DLP-Strategie ist aber letztlich nur dann erfolgreich, wenn sie kontinuierlich weiterentwickelt wird und die gesamte Organisation – vom Management bis hin zu jedem einzelnen Mitarbeiter – aktiv an ihrer Umsetzung mitwirkt. Die Erarbeitung und Umsetzung einer DLP-Strategie erfordert daher eine sorgfältige Planung, Ressourcenallokation und Zusammenarbeit auf allen Unternehmensebenen.

Yannik Angler (Detecon International) 2024. Thieme. All rights reserved.

Das könnte Sie auch interessieren

Kommentare

Sortierung

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!

    Jetzt einloggen

Aktuelle Ausgaben