Mit der Telematikinfrastruktur sowie dem Datenaustauschverfahren gemäß § 301 SGB V ist ein gesetzlicher Rahmen definiert, um sensible Daten im Krankenhaus zu versenden. Darüber hinaus stehen Krankenhäuser für eine Reihe von nicht-medizinischen Daten selbst in der Verantwortung, entsprechende Vorkehrungen für den sicheren Datenversand zu treffen.

Die Digitalisierung im deutschen Gesundheitswesen hat in den vergangenen Jahren immer stärker an Bedeutung gewonnen. Damit einher geht ein zunehmender elektronischer Versand von sensiblen Daten im Krankenhaus. Täglich wird eine Vielzahl von personenbezogenen, medizinischen, statistischen oder allgemein betriebsinternen Daten versendet und empfangen.

Die Übermittlung von Abrechnungsdaten von Krankenhäusern an Krankenkassen ist seit 1996 gesetzlich über den § 301 SGB V geregelt. Über diesen elektronischen Weg werden die Daten verschlüsselt übertragen.

Für den Versand von medizinischen Daten wie beispielsweise Diagnosen, Untersuchungsergebnissen, Therapieempfehlungen oder elektronische Arztbriefe wird derzeit der Standard KIM, Kommunikation im Medizinwesen, etabliert. Über KIM können Krankenhäuser medizinische Daten sicher und authentifiziert zwischen registrierten Nutzern der Telematikinfrastruktur austauschen.

Darüber hinaus versendet ein Krankenhaus weitere betriebsinterne Daten per E-Mail. Das können personenbezogene Mitarbeiterdaten, interne Informationen wie Rechnungen, Dienst- und Finanzpläne, E-Mails vom Chefarztsekretariat oder die Kommunikation mit Verbänden und Behörden sein. Wie ein Krankenhaus diese sensiblen Daten versendet, ist nicht über ein standardisiertes Verfahren oder per Gesetz geregelt. Krankenhäuser stehen selbst in der Verantwortung, für den sicheren Versand Sorge zu tragen.

Einfallstor unsichere E-Mail

Das Problem dabei? Bisher versenden die meisten Krankenhäuser diese betriebsinternen Daten ganz ungeschützt, für jeden einsehbar, wie beim Versand einer Postkarte. Die Daten werden im Klartext über das Internet übertragen. Auf jedem Server, auf dem die E-Mails zwischengespeichert werden, kann die Nachricht mitgelesen werden. Ein leichtes Spiel für Angreifer, die Daten ausspähen, Identitäten stehlen oder Cyberangriffe vorbereiten wollen. Mit 80 Prozent sind E-Mails das gefährlichste Einfallstor neben gefälschten Websites, gekaperten Identitäten und Server-Angriffen.

75c SGB V – Verpflichtung für alle Krankenhäuser

Die Datenschutzgrundverordnung sowie das IT-Sicherheitsgesetz 2.0 sind Grundpfeiler für die Informationssicherheit im Krankenhaus. Seit dem 01.01.2022 gilt zudem der § 75c SGB V. Dieser verpflichtet alle Krankenhäuser, und nicht nur Krankenhäuser der kritischen Infrastruktur, den Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.

Bei diesen Vorkehrungen sollte die E-Mail-Kommunikation nicht außer Acht gelassen werden. Ohne eine sichere E-Mail-Kommunikation gibt es keinen zeitgemäßen Datenschutz im Krankenhaus. Die Erfüllung von Schutzzielen der Cyber- und Informationssicherheit im Krankenhaus kann nur gelingen, wenn alle Aspekte der spezifischen Sicherheitsgefährdungen berücksichtigt werden. E-Mail-Sicherheit im Krankenhaus muss so selbstverständlich werden wie die Händedesinfektion im Krankenhaus.

Ganzheitlicher Ansatz: Sicher verschlüsseln und signieren mit S/MIME

Damit Krankenhäuser Daten jeglicher Art sicher und geschützt übertragen können, bietet die Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH (DKTIG) passende Zertifikate für die Absicherung der digitalen Kommunikation an: E-Mail-Zertifikate für Personen- oder Teampostfächer inklusive eines E-Mail-Gateways für die zentrale Zertifikatsverwaltung. Dafür nutzt sie das Verfahren S/MIME, bei dem die Identität des Absenders sichergestellt ist und die Inhalte verschlüsselt, und somit für Unbefugte nicht veränderbar, versendet werden.

Bei der Übertragung werden die Daten Ende-zu-Ende verschlüsselt. Das heißt, sie gelangen geschützt bis zum Empfänger innerhalb einer Organisation und enden nicht an der „Haustür“ wie bei anderen Verfahren, beispielsweise TLS. Die Authentizität, Integrität und Vertrauenswürdigkeit der Daten bleiben somit erhalten. Damit setzt die DKTIG bereits jetzt eine Empfehlung des Bundesbeauftragten für den Datenschutz und Informationsfreiheit um1 und bietet als Experte für Daten- und IT-Sicherheit im Krankenhaus eine spezialisierte, komfortable Lösung aus einer Hand an. Darüber hinaus bietet die DKTIG den Krankenhäusern auch Organisationszertifikate zum Siegeln von Dokumenten und Serverzertifikate zur Absicherung von Webseiten an.

Weitere Informationen

Unter www.mein-sicheres-krankenhaus.de können sich Interessierte umfassend zur E-Mail-Verschlüsselung im Krankenhaus informieren. Die DKTIG sensibilisiert unter dem Schlagwort MEIN SICHERES KRANKENHAUS insbesondere zur Absicherung von Datenkommunikation im Krankenhaus. Neben dem Problembewusstsein soll die themenbezogene Webseite auch Lösungsvorschläge unterbreiten, die dann krankenhausindividuell an den Erfordernissen des Krankenhauses entwickelt werden.

René Schubert, Geschäftsführer DKTIG

1 vgl.: 30. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und Informationsfreiheit, Punkt 3.1.4.3 Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/30TB_21.pdf?__blob=publicationFile&v=7

 

Zurück zur Blog Übersicht