Big Data auf dem sicheren Weg

(is) Im Zeitalter von Big Data beträgt das geschätzte Datenaufkommen im Gesundheitssektor weltweit momentan 50 Petabyte. 80 Prozent dieser Daten liegen in unstrukturierter Form als Textbefunde, PDF- und Word-Formate sowie Messaging-Standards vor. Diese werden zwischen öffentlichen, gemeinnützigen und privaten Einrichtungen im Gesundheitswesen ausgetauscht und in internen und externen Rechenzentren gespeichert. Doch was nützt eine sichere Datenspeicherung, wenn die Daten ungeschützt zwischen Leistungserbringern übertragen werden?

Safety first

In den letzten zwei Jahren ist das weltweit gespeicherte Datenvolumen um 90 Prozent gestiegen. Experten erwarten bis 2020 einen Anstieg um den Faktor 50 auf 25 000 Petabyte. Im aktuellen Security Threat Report 2013 belegt die Schweiz Rang fünf unter den sichersten Ländern Europas. Somit ist die Wahrscheinlichkeit eines Malware-Angriffs hierzulande deutlich niedriger als in Nachbarstaaten. Dennoch prognostiziert die Studie aufgrund neuer Plattformen und zunehmender Datenmobilität insgesamt eine steigende Tendenz von Cyberattacken.
Gerade im Gesundheitswesen nimmt der umfassende Schutz von Patientendaten einen hohen Stellenwert ein. Kliniken und Pharmaunternehmen sitzen daher in der Klemme, denn einerseits benötigen sie die riesigen Datenmengen, andererseits jedoch lässt dies unwillkürlich den Ruf nach Datenschutz laut werden. Häufig ist ein starkes Sicherheitsbewusstsein vorhanden, wenn es sich um die Lagerung der Daten (Data at Rest, DAR) handelt. Um Daten sicher zu speichern, müssen diese allerdings erst aus unterschiedlichen Quellen zusammengetragen oder von verschiedenen Leistungserbringern angefordert werden.
Offene Übertragungswege wie Fax, E-Mail, FTP oder einfache File-Copy- Mechanismen über Netzwerkverbindungen schützen nicht vor dem Zugriff unbefugter Dritter. Gerade deshalb sind sie nicht zur Übermittlung von Patienteninformationen, Labor- oder Untersuchungsergebnissen geeignet. Um Risiken, die durch unorganisierte Datentransfers entstehen, zu reduzieren, setzen Kliniken und Pharmakonzerne vermehrt auf neue Übertragungswege wie Managed File Transfer (MFT). MFT erlaubt das sichere und nachvollziehbare Austauschen von unstrukturierten Dateien beliebiger Grösse. Dank zentraler Monitoringund Reporting-Tools haben öffentliche, gemeinnützige und private Einrichtungen im Gesundheitswesen eine klare Übersicht über alle elektronischen Datentransfers.

E-Mail als Sicherheitslücke

E-Mails sind ein gängiges Kommunikationsmittel. Günstig und einfach zu bedienen, jedoch gänzlich ungeeignet für die Übermittlung grosser Dateien, gelten sie zudem als sehr unsicherer Übertragungsweg. Während des Versands ist eine E-Mail so gut lesbar wie eine Postkarte. Zwar gibt es die Möglichkeit, auch E-Mails zu verschlüsseln, zum Beispiel durch PGP (Pretty Good Privacy), GNU oder Gpg4win. Dies wird in der Praxis allerdings selten genutzt, da die Endanwender solche Methoden als zu kompliziert empfinden. Informationen in E-Mails bleiben so unverschlüsselt für alle Personen lesbar, die sich Zugriff auf die E-Mail-Server oder die Netzwerke verschaffen. Gerade bei hochsensiblen Daten stellt die E-Mail- Kommunikation deshalb ein inakzeptables Verfahren dar.

Umfassender Schutz von Patientendaten

Gerade bei Patientendaten ist das Thema Datenschutz besonders heikel. Patientendaten dürfen nicht ohne Einwilligung von Einrichtungen an ein Behandlungszentrum weitergegeben werden. Bei der Übertragung müssen höchste Sicherheitsstandards greifen. So stand eine Betreibergesellschaft von Krankenhäusern, Kliniken und medizinischen Versorgungszentren vor der Herausforderung, ihre vertraulichen Patientendaten sowie sensible Labor- und Untersuchungsergebnisse sicher und überwachbar innerhalb ihres Netzwerks zu verschicken.
Wesentlich war hierbei, auch im Falle eines starken Wachstums der Gruppe den Sorgfaltspflichten im Umgang mit sensiblen Daten weiterhin gerecht zu bleiben. Die bisher genutzten traditionellen Übertragungsmethoden erschwerten das Management und die Steuerung der übertragenen Daten, da eine Übersicht über die Nutzung, die Verwaltung und das Identitätsmanagement (Zugang, Integrität und Authentifizierung) nur aufwendig zu gewährleisten war.
Die neue MFT-Lösung der Firma SEEBURGER SEE FX bietet nun umfassende Monitoring-Möglichkeiten, um Nachrichten, Dateien und Transaktionen an einer zentralen Stelle im System nachzuverfolgen. Wenn in Zukunft neue Leistungserbringer, wie Praxisgemeinschaften, Gesundheitszentren oder Krankenhäuser, in den Verbund integriert werden, können diese ohne Sicherheitsrisiko an das interne Netzwerk angebunden werden.
Compliance in der Pharmaindustrie
 Ein führendes, forschungsorientiertes Gesundheitsunternehmen musste aus Gründen der Compliance für die Vorgaben der amerikanischen Arzneimittelzulassungsbehörde (Food and Drug Administration, FDA) lückenlos nachweisen, dass alle Daten innerhalb der globalen IT-Infrastruktur des Unternehmens über verschlüsselte Übertragungswege transferiert werden. Dies ist wichtig, um unerwünschte Zugriffe und mögliche Manipulationen an den Daten zu verhindern.
Bisher nutzte das Unternehmen offene Übertragungswege wie FTP oder einfache File-Copy-Mechanismen über Netzwerkverbindungen. Mit SFTP sind nun bei jeder Datenübertragung von System zu System alle Übertragungswege durchgängig verschlüsselt. Die Lösung ermöglicht darüber hinaus die Nachverfolgung von Dateibewegungen. Damit lässt sich genau nachvollziehen, welche Prozesse und Systeme bei den Transaktionen beteiligt sind, welche Daten wann ausgetauscht wurden und welche authentifizierten Personen Zugriff auf die Datentransferlösung hatten, um beispielsweise Konfigurationen und Einstellungen zu ändern (Audit Trails). Ein detailliertes Policy Management regelt, wer was an wen übertragen darf. Dieses integrierte Regelwerk hilft dem Unternehmen, das Risiko fehlgeleiteter Daten zu verringern. Zudem ermöglichen Workflowregeln, nach der Datenübertragung automatisch Folgeaktionen einzuleiten.

Schatten-IT

Im Consumer-Bereich haben sich in der Vergangenheit für die Zustellung grosser Daten Cloud-Lösungen, wie Dropbox, Box.net oder YouSendIt, beliebt gemacht. Die Fotos und Videos des letzten Urlaubs werden damit schnell und einfach zwischen Freunden ausgetauscht. Für den Gesundheitsbereich ist dies allerdings keine Option, auch wenn manche Mitarbeitende solche Cloud-Lösungen am Arbeitsplatz nutzen. Diese Form der Schatten-IT ermöglicht weder eine interne Kontrolle über den Zu- und Abgang von Daten im Unternehmen, noch bieten solche Cloud-Varianten einen Schutz vor Datenverlust.

Datenübertragung via Cloud

«Da komplette MFT-Suiten oft den finanziellen Rahmen von klinischen Einrichtungen sprengen, bieten viele Anbieter auch Cloud-basierte Lösungen für den sicheren Datentransfer an. Hierbei zahlt die Einrichtung nur die tatsächlich genutzten Leistungen», rät Andreas Judt, Key Account Manager Healthcare bei der SEEBURGER AG. Vertrauenswürdige Cloud-Anbieter stellen entsprechende Sicherheitsinfrastrukturen für die Daten bereit. Monitoring und Sicherheitseinstellungen, wie Zugriffsrechte, Downloadhäufigkeit, Ablaufdatum usw., sind vergleichbar mit den entsprechenden Lizenzlösungen.

Iulia Staudacher