Führt der Umstieg auf cloudbasierte Lösungen zu einem Plus an physischer Sicherheit und Cyberresilienz? Und woher weiß ein Krankenhaus, welche Anforderungen es für den sicheren Betrieb seine Patientendaten in der Cloud erfüllen muss? In nachfolgendem Interview gibt Nina Kill, Bereichsvorstand Marketing, Kommunikation und Vertrieb bei DATATREE, einen Einblick in die wichtigsten Schritte und Überlegungen, die Krankenhäuser auf ihrem Weg in die Cloud berücksichtigen sollten. Denn die sichere Speicherung und Verarbeitung von Patientendaten in der Cloud ist von entscheidender Bedeutung, um den wachsenden Anforderungen an Effizienz, Skalierbarkeit und Datensicherheit gerecht zu werden.
„Es ist keine Frage mehr, ob wir gehackt werden. Wir müssen uns die Frage stellen, wie wir mit Angriffen umgehen.“

Liebe Nina, ein Krankenhaus entschließt sich, seine Infrastruktur, Datenbanken und auch Software-Anwendungen in die Cloud zu verlagern.
Was rätst Du den Führungspersonen zu tun, bevor die IT-Abteilung mit der Umsetzung startet?
Der Weg in die Cloud ist Chefsache. Es sollte ein übergeordnetes Konzept zur Informationssicherheit entwickelt werden, das alle relevanten Themen wie Datenschutz und Cybersecurity umfasst. Da die Geschäftsführung letztendlich für die Informationssicherheit verantwortlich ist, empfehle ich, diese als krankenhausweites Projekt zu organisieren. Ein spezialisiertes Team sollte die Rahmenbedingungen festlegen, die sicherstellen, dass Patientendaten stets geschützt sind. Erst wenn diese Grundsatzarbeit abgeschlossen ist, kann der CTO oder IT-Leiter Anwendungen und Inhalte definieren, die in die Cloud überführt werden sollen. Gleichzeitig sollten klare Verantwortlichkeiten festgelegt werden, und die festgelegten Sicherheitsstandards müssen regelmäßig überprüft werden, um ihre Wirksamkeit sicherzustellen.
Externe Beratung kann ebenfalls sinnvoll sein, um die Informationssicherheitsstrategie zu definieren und passende Cloud-Lösungen auszuwählen.
Was sind Kriterien für die Nutzung von Cloud-Lösungen im Gesundheitswesen?
Es ist wichtig, zunächst zu entscheiden, ob Anwendungen oder Infrastruktur inhouse oder extern betrieben werden sollen. Wenn ein externer Betrieb gewählt wird, sollte der Anbieter über spezifische Expertise im Gesundheits- und Sozialwesen sowie die entsprechenden Zertifikate verfügen. Ein Beispiel ist das C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI), das Kunden hilft, die Sicherheit eines Cloud-Dienstes zu bewerten. Auch die Einhaltung der NIS-2-Richtlinie, die im Oktober 2024 in Kraft tritt, ist essenziell. Diese Richtlinie verpflichtet Organisationen der Gesundheitsversorgung, Maßnahmen zur Erkennung, Prävention und Bewältigung von Cyberangriffen zu implementieren. NIS-2-Richtlinie wurde entwickelt, um auf die zunehmenden und sich wandelnden Bedrohungen im Bereich der Cybersicherheit zu reagieren und die Resilienz und Sicherheit kritischer Infrastrukturen in der EU zu stärken.
Woher weiß ein Krankenhaus, welche Anforderungen es für den sicheren Betrieb seiner Patientendaten in der Cloud erfüllen muss?
Ich empfehle ein Rechts- / Normkataster zu pflegen. Dies ist Basis der Zertifizierung nach ISO 270001 und hält eine Organisation immer auf dem neuesten Stand der Vorgaben für Cybersecurity. Wichtige Quellen sind das BSI , und openKritis.de . Als unabhängige Plattform für den Schutz kritischer Infrastrukturen unterstützt
OpenKRITIS Betreiber und Prüfer in der KRITIS und NIS2-Regulierung. Hier finden Sie klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.
Wichtig: Krankenhäuser sollten Cloud-Anbieter auswählen, die Erfahrungen für diese Anforderungen im Gesundheits- und Sozialwesen mitbringen.
Doch Krankenhäuser können sich nicht ausschließlich auf Dritte, beispielsweise den Betreiber ihrer digitalen Infrastruktur und Anwendungen verlassen.
Wie können sich Krankenhäuser konkret gegen Angriffe wappnen?
Vor Angriffen ist niemand geschützt. Deshalb empfehle ich jedem Krankenhaus, ganz egal, ob es seine Anwendungen On-Premises oder in der Cloud betreibt, folgendes:
Erstens: Installieren Sie ein Security Operation Center. Das SOC ist eine organisatorische Einheit, die sich innerhalb des Krankenhauses auf die Überwachung, Analyse und Verteidigung gegen Cyberbedrohungen konzentriert. Es ist verantwortlich für die kontinuierliche Überwachung der IT-Infrastruktur, die Erkennung und Reaktion auf Sicherheitsvorfälle sowie die Verbesserung der allgemeinen Sicherheitslage.
Zweitens: Sensibilisieren Sie das Bewusstsein der Menschen für die Möglichkeit von Angriffen. Die Mitarbeitenden sind in der Regel Grund dafür, dass Kriminelle angreifen können. Hier hilft nur schulen, schulen, schulen. Alle Mitarbeitenden müssen sich bewusst sein, was sie machen dürfen und was nicht.
Drittens: Erstellen Sie ein Sicherheitskonzept und sorgen Sie dafür das dieses bekannt ist. Auch zu diesem Konzept muss es Pflichtschulungen für die Mitarbeitenden und die Umsetzungsverantwortlichen geben.
Was sind die beliebtesten Blockaden bei der Umsetzung funktionierender Sicherheitsmaßnahmen?
Eine der größten Herausforderungen ist die Unsicherheit der Mitarbeitenden. Es ist wichtig, eine offene Fehlerkultur zu schaffen, in der die Belegschaft weiß: „Wenn ein Fehler passiert, melde ich mich sofort bei der IT. Je schneller auf Unregelmäßigkeiten reagiert werden kann, desto höher die Chance, schwerwiegende Konsequenzen – wie den Verlust oder die Verschlüsselung von Daten – zu verhindern.
Wie bewertest Du die Aussage, dass der Umstieg auf cloudbasierte Lösungen zu einem Plus an physischer Sicherheit und Cyberresilienz führt?
Die Aussage ist grundsätzlich richtig. Cloud-Anbieter betreiben hochsichere Rechenzentren, die häufig an verteilten Standorten angesiedelt sind und regelmäßig aktualisiert werden. Diese Sicherheitsvorkehrungen übersteigen oft die Möglichkeiten eines Krankenhauses, das seine IT selbst betreibt. Durch automatische Updates und Patches werden Sicherheitslücken schnell geschlossen, was bei On-Premises-Lösungen manuelle Eingriffe erfordern würde. Seriöse Cloud-Anbieter bieten zudem starke Authentifizierungsmechanismen, kontinuierliches Monitoring sowie Incident-Response-Services. Natürlich bleibt das Ziel, ein optimales Gleichgewicht zwischen Kosten und Sicherheit zu finden.