Cloud-Migration: Patientendaten auf Wolke 7? : Wo die Verantwortung für Patientendaten liegt
Gesundheitseinrichtungen lagern zunehmend Daten in die Cloud aus – doch dabei entstehen Sicherheitslücken durch unklare Zuständigkeiten. Experten warnen vor Fehlkonfigurationen und fordern strukturierte Schutzmaßnahmen.
Immer mehr Gesundheitseinrichtungen verlagern Kommunikation, Analyse und Archivierung in die Cloud und schaffen damit neue Risiken, besonders beim Schutz von Patientendaten. Fehlen klare Zuständigkeiten und etablierte Sicherheitsprozesse, entstehen leicht Datenschutzlücken.
Das Kernproblem liegt in der geteilten Verantwortung: Während Cloud-Anbieter die technische Infrastruktur absichern, tragen die Gesundheitseinrichtungen selbst die Verantwortung für Schutz und Integrität der von ihnen verarbeiteten Daten – ein Modell, das in der Praxis häufig zu Unklarheiten über Zuständigkeiten führt.
Viele Sicherheitsvorfälle gehen auf Fehlkonfigurationen zurück, etwa auf versehentlich öffentlich erreichbare Speichercontainer mit Bildarchiven oder Verwaltungsdaten, die über Suchmaschinen auffindbar sind. In komplexen Multi-Cloud-Umgebungen, in denen Anbieter wie Microsoft, AWS oder private Clouds parallel eingesetzt werden, fehlt zudem oft die Übersicht, welche Anwendungen Patientendaten nutzen und wer für sie verantwortlich ist. Unterschiedliche Berechtigungskonzepte und Sicherheitsrichtlinien erschweren die Kontrolle zusätzlich.
Auch rechtlich gelten hohe Anforderungen: Patientendaten zählen nach der Datenschutz-Grundverordnung zu den besonders schützenswerten Informationen. Jede Auslagerung erfordert daher eine vertraglich gesicherte Auftragsverarbeitung sowie transparente Übermittlungsmechanismen, besonders, wenn Anbieter außerhalb der EU eingebunden sind. Zudem verlangen §75c SGB V und die KRITIS-Vorgaben ein Sicherheitsniveau nach dem Stand der Technik. Dazu gehören Maßnahmen wie regelmäßige Sicherheitsüberprüfungen, eine revisionsfähige Dokumentation und Nachweise zur Wirksamkeit der getroffenen Kontrollen.
Maßnahmen für sichere Cloud-Nutzung
Experten empfehlen eine klare technische und organisatorische Struktur für Cloud-Implementierungen. Alle Ressourcen sollten inventarisiert und mit sogenannten Owner-Tags versehen werden, um Zuständigkeiten eindeutig festzulegen. Verschlüsselung gehört zum Mindeststandard, wobei Schlüssel in Hardware Security Modulen oder Key Management Services verwaltet werden. Ein wirksames Identity- und Access-Management erzwingt Mehrfaktorauthentifizierung für privilegierte Konten und begrenzt administrative Zugriffe zeitlich sowie durch lückenlose Protokollierung. Für Schnittstellen sollten minimale API-Berechtigungen definiert werden, sodass Anwendungen nur auf tatsächlich erforderliche Daten zugreifen. Kurzlebige Tokens verringern das Risiko bei Verlust oder Missbrauch. Diese Prinzipien sind zugleich zentrale Bestandteile von Standards wie ISO 27701 und des BSI-Grundschutzes und schaffen damit nicht nur technische Sicherheit, sondern auch regulatorische Nachvollziehbarkeit.
Transparenz entsteht durch kontinuierliches Monitoring und automatisierte Prüfungen der Cloud-Konfigurationen. Grundlage sind anerkannte Benchmarks wie die CIS Controls oder ISO 27001. Wer Datenflüsse dokumentiert, Zugriffsrechte konsequent trennt und Sicherheitsrichtlinien regelmäßig überprüft, kann die Vorteile der Cloud nutzen, ohne Patientendaten oder Behandlungsprozesse zu gefährden.
Healthcare Security Insights Briefing
Dieser Artikel stammt aus dem Healthcare Security Insights Briefing der <kes>. Das monatliche Briefing liefert fundierte Analysen, aktuelle Sicherheitsentwicklungen und praxisorientierte Empfehlungen für Kliniken, Labore und MedTech-Unternehmen: kostenlos, monatlich, Abmeldung jederzeit möglich. Jetzt abonnieren