Um als Einrichtung des Gesundheitswesens Daten sicher in der Cloud zu speichern, sollten IT-Verantwortliche zuerst die Risiken einschätzen – und Risiken gibt es auf beiden Seiten.
von
Makenzie Holland
Zuletzt aktualisiert:12 Nov. 2018
Um im Gesundheitswesen mit sicherem Cloud-Speicher zu arbeiten, ist Hintergrundwissen über die Risiken wichtig. Experten empfehlen dazu die Durchführung einer Risikobewertung vor dem Wechsel in die Cloud. Wer dort angekommen ist, sollte Sicherheitskontrollen einrichten. Die wichtigsten Schritte zum Erreichen von Cloud-Sicherheit sollen hier ebenfalls erörtert werden.
Mit der richtig durchgeführten Risikobewertung können die IT-Verantwortlichen einer Organisation im Gesundheitswesen zunächst die potenziellen Gefahren bei der Nutzung von Cloud-Speicher einschätzen, Sicherheitskontrollen einrichten und diese Thematik besser verstehen.
Krankenhäuser und Gesundheitssysteme zögern immer noch, Patientendaten in die Cloud zu übertragen, sagt der Cybersicherheitsexperte Vince Campitelli, und dies obwohl Cloud-Speicher im Gesundheitswesen durchaus mehr Datensicherheit, Datenschutz und Compliance schaffen können. Die Gesundheitsbranche beschäftigt seit Jahren Themen wie die Gefahr von Datenschutzverletzungen und die Notwendigkeit, große Mengen an Patientendaten zu verwalten. Cloud-Storage könnte helfen, diese Herausforderungen zu bewältigen.
„Ich denke, dass jedes Unternehmen, das über die Cloud nachdenken möchte, sich viel stärker bewusst machen muss, wo der Unterschied zwischen traditionellen Technologien und Cloud liegt, wie sich ein Wechsel auf diese Technologie auswirken könnte und wie ein geeigneter Migrationsprozess aussehen könnte“, sagt Campitelli, Spezialist für Unternehmenssicherheit in der Cloud Security Alliance (CSA), der Best Practices für sicheres Cloud-Computing entwickelt. Bevor ein Krankenhaus oder eine andere Einrichtung des Gesundheitssystems Daten für Cloud-Storage bewegt, muss es eine Risikobewertung durchführen und eine solide Partnerschaft mit dem Cloud-Provider entwickeln, um auch die Datensicherheit zu gewährleisten.
Risikobeurteilung
Im Allgemeinen ordnen Risikobewertungen die verschiedenen Arten von Bedrohungen in entsprechende Stufen ein. Anhand dieser Gefährdungsstufen lassen sich Risiken und Lösungen miteinander vergleichen. Auf der Grundlage dieser Vergleiche können Gesundheitsorganisationen wählen, welche Maßnahmen zur Vermeidung von IT-Risiken benötigt werden. Im Falle einer Cloud-Migration werden laut Campitelli die Risiken einer Cloud-Migration mit solchen Gefährdungsstufen bewertet. Dadurch wird sichergestellt, dass das Unternehmen und der Cloud-Provider die richtigen Funktionen und Sicherheitskontrollen haben, um die Risiken zu beherrschen.
Bei jeder Risikobewertung müssen Sie für jedes erkannte Risiko auch Gegenmaßnahmen identifizieren, die die Cloud-Lösung bereithält.
Ein weiterer Aspekt ist, ob die Krankenhäuser sicherstellen können, dass das, was zunächst ausgewertet wird, konsistent ist und bleibt. Aus diesem Grund gehört zu einer Risikobewertung immer auch die regelmäßige Neubewertung der Bedrohungen. „Der Partner, der die Cloud betreibt und verwaltet, ist demnach auch für die Kontrolle und Steuerung Risiken und Abwehrmaßnahmen verantwortlich“, fügte Campitelli hinzu: „Teilt man sich eine Hybrid-Cloud und eine Public-Cloud, gibt es eine gemeinsame Verantwortung für das gesamte Portfolio an Maßnahmen.“
Die Wahl des richtigen Cloud-Modells
Da private, öffentliche und hybride Cloud-Modelle unterschiedlich funktionieren, ist auch die mit jedem Modell verbundene Sicherheit für Cloud-Speicher unterschiedlich. Im Falle eines privaten Cloud-Modells, sagt CSA-Forschungsdirektor John Yeoh, hat ein Unternehmen eine Reihe von Sicherheitsmaßnahmen wie zum Beispiel die Verschlüsselung, für die es verantwortlich ist. Im Vergleich dazu ist der Cloud-Provider für die Sicherheit in einem Public-Cloud-Modell verantwortlich oder das Anwenderunternehmen und der Cloud-Provider teilen sich die Verantwortung in einem hybriden Cloud-Modell. Laut Campitelli hat sich der Cloud-Markt stark entwickelt, da Cloud-Anbieter versuchen, ihren Kundenkreis durch mehr Sicherheitskontrollen zu erweitern.
Betrachtet man die Sicherheit der Cloud-Services von Hyper-Scalern wie Amazon, Microsoft und Google, gibt es laut Campitelli keine größeren Datenschutzverletzungen oder „signifikanten negativen Ereignisse“ rund um die Sicherheit der Cloud-Storage-Services; stattdessen ergäben sich Probleme oft durch Fehlkonfigurationen. Zum Beispiel dann, wenn ein ungeübter Kunde Daten in die Cloud-Umgebung eines dieser Anbieter verschiebt. Jemanden an Bord zu haben, der sowohl über die Daten als auch über die Cloud-Services auf der Unternehmensseite Bescheid weiß, ist für die Sicherheit hinsichtlich der Cloud besonders wichtig.
„Oft sitzen die Leute, die die Konfiguration durchführen, ziemlich niedrig am Totempfahl. Das liegt daran, dass Konfiguration von Cloud-Umgebungen irrtümlich als eine rein administrative IT-Aufgabe angesehen wird“, so Campitelli: „Deshalb gibt es mitunter Probleme in diesem Zusammenhang.“ Die Art der Daten, die ein Unternehmen in die Cloud stellen möchte, bestimmt das Niveau der Sicherheitsmaßnahmen, die zum Schutz der Daten implementiert werden müssen, erklärt er.
Personenbezogene Daten und andere Daten mit einem besonders hohen Anspruch auf Sicherheit, wie beispielsweise Gesundheitsinformationen, erfordern Sicherheitskontrollen, die sich von denen für Daten mit geringem Risiko unterscheiden.
Regulatorische Anforderungen
Unabhängig davon, welcher Lösungsansatz für Cloud-Storage im Gesundheitswesen gewählt wird, so Campitelli weiter, müssen die Einrichtungen des Gesundheitswesens und die Cloud-Provider HIPAA und andere gesetzliche Sicherheitsanforderungen wie die EU-DSGVO erfüllen. Um HIPAA-konform zu sein, müssen 79 Sicherheitskontrollen erfüllt werden. Das wird komplex, weil beispielsweise es bei der Verschlüsselung verschiedene Funktionen gibt, die nach den HIPAA-Standards zugelassen sind.
Während Cloud-Anbieter die gesetzlichen Anforderungen erfüllen müssen, um schützenswerte Informationen wie zum Beispiel personenbezogene Daten zu speichern, sagt Campitelli, ist die Gesundheitsorganisation dafür verantwortlich, dass der Cloud-Anbieter die entsprechenden Sicherheitskontrollen anbietet. Die Maßnahmen müssen HIPAA-konform sein. „Das Anwenderunternehmen, also zum Beispiel das Krankenhaus, muss sich damit befassen, welche Sicherheitskontrollen benötigt werden“, rät er. „Wenn sie dann zu einem Cloud-Provider gehen, müssen sie sicherstellen, dass dieser über die entsprechend Kenntnisse, Fähigkeiten und Funktionalitäten verfügt.“
