Cloud vs on-premise: Warum Krankenhäuser bei bestimmten Anwendungen in der Cloud sicherer unterwegs sind.
Von Maximilian Greschke, Managing Director/Geschäftsführer der Recare GmbH
In den letzten Jahren hat Recare eine der größten digitalen Plattformen im deutschen Gesundheitswesen aufgebaut. In diesem Kontext werde ich oft gefragt, was sich in den nächsten zehn Jahren im Hinblick auf die Digitalisierung im Gesundheitswesen noch alles verändern wird. Das ist sicherlich eine spannende Frage. Die viel wichtigere Frage ist in meinen Augen jedoch: Was wird sich in den nächsten zehn Jahren nicht ändern und welche technologische Grundlage wird die zukunftsfähigste sein? Denn nur auf einer solchen Konstante kann eine zukünftige erfolgreiche Transformation basieren.
Wir wissen in der Gesundheitsversorgung ohne jeden Zweifel: Patienten wollen Qualität. Das wird definitiv auch in zehn Jahren noch der Fall sein. Unsicherheit bringt hingegen die sich ständig ändernde Regulierung im Gesundheitswesen mit sich. Wirklich sicher kann man sich bei vielen Themen also nicht sein. Für den Bereich von Digitalisierung, Informationstechnologie und -Sicherheit gibt es jedoch eine ganz klare Antwort auf die Ausgangsfrage: Mit großer Sicherheit wird sich der Großteil der Krankenhaus-IT zukünftig in die Cloud verlagern – und dort auch deutlich sicherer betrieben werden, als das in eigenen Strukturen jemals der Fall sein könnte.
Im Hinblick auf das Krankenhauszukunftsgesetz (KHZG) ergibt sich zwangsläufig die Schlussfolgerung: Für Kliniken ist bei bestimmten Fördertatbeständen der Betrieb manch komplexer Applikationen on-premise – bei der man eine serverbasierte Software kauft oder mietet und dann auf den eigenen oder gemieteten Servern installiert – schon fast fahrlässig.
EIN GRUND SIND DIE LIMITIERTEN RESSOURCEN: DEUTSCHE KRANKENHÄUSER BESCHÄFTIGTEN ANFANG 2019 IM MEDIAN NUR ACHT MITARBEITER IN DER IT, HAT DAS DEUTSCHE KRANKENHAUSINSTITUT ERMITTELT.
Diese verhältnismäßig kleinen Abteilungen haben zudem die Herausforderung, sehr viel Infrastruktur und angesichts der vielen Anwender und Subsysteme ein hohes Maß an Komplexität zu managen. Gleichzeitig sorgen der Fachkräftemangel im IT-Bereich und die Budgetrestriktionen dafür, dass Krankenhäuser in der Regel im Wettbewerb um Experten für den Betrieb von modernen Rechenzentren nicht wettbewerbsfähig sind. Die Teams sind deshalb in ihrer Größe entsprechend begrenzt.
Der durch diese Überlastung entstehende Zeitdruck im Tagesgeschäft kann eine strukturierte Projektbearbeitung behindern. Durch die Defizite bei der Einführung und dem Projektmanagement fallen auch negative, sicherheitsrelevante Aspekte der Nutzung selten auf oder müssen später zumindest aufwendig korrigiert werden.
Ich habe nicht nur einmal von Ärzten gehört, die bei bestimmten Systemen ihr Passwort alle paar Monate (ohne Passwortmanager) ändern mussten. Das Resultat: Die Passwörter waren häufig einfach eine Kombination aus Monat und Jahr des Wechsels – also zum Beispiel „November2021“.
Es ist natürlich so, dass es bei bestimmten Applikationen wie dem Krankenhausinformationssystem (KIS) als Primärsystem für die allermeisten Häuser Sinn macht und teils auch regulatorisch unvermeidbar ist, lokal betrieben zu werden. Eine kontrollierte Auslagerung von Subsystemen und Services kann die interne Komplexität jedoch deutlich reduzieren.
ES KOMMT AUF DEN ANWENDUNGSFALL AN: BEISPIEL PATIENTENPORTAL UND DIGITALES ENTLASSMANAGEMENT
Es gibt jedoch eben auch Applikationen, bei denen der On-Premise-Betrieb durch eine Klinik nicht zielführend sowie inhaltlich kaum abbildbar ist und in vielerlei Hinsicht sogar ein unnötiges Risiko darstellt.
Ein gutes Beispiel dafür ist das Patientenportal aus dem Fördertatbestand 2 des KHZG. Anders als bei vielen klinischen Systemen liegt es hier in der Natur der Sache, dass viele Zugriffe von externen Geräten beziehungsweise Verbindungen stattfinden müssen – und dann eben auch in das Kliniknetzwerk. Das betrifft zum einen die Zugriffe von Patienten und deren Angehörigen (also Privatpersonen) über mobile Apps und Webseiten für den Bereich des digitalen Aufnahme- und Behandlungsmanagements. Zum anderen geht es auch um nachgelagerte Leistungserbringer für den Bereich des digitalen Entlassmanagements.
Insbesondere der letzte Aspekt führt die Absurdität einer On-Premise-Anwendung in diesem Anwendungsfall auch noch mal vor Augen. Um die MUSS-Kriterien des Untertatbestands 2c – dem digitalen Entlassmanagement – zu erfüllen, fordert der Gesetzgeber zum einen den strukturierten Datenaustausch mit nachgelagerten Leistungserbringern als auch die Koordination von Kapazitäten für Pflege und Reha über eine digitale Entlassmanagement-Plattform wie Recare.
Um dies abzubilden, müssen die fragmentierten, nachgelagerten Leistungserbringer zwangsläufig auf der Plattform registriert werden. Wenn Krankenhäuser solche Applikationen nun inklusive Datenbank on-premise hosten und betreiben, heißt das auch zwangsläufig: Die nachgelagerten Leistungserbringer müssen sich auf verschiedenen Portalen registrieren – und das in Ballungsgebieten auf den Portalen von zum Teil mehr als 30 Kliniken. Das wäre nicht umsetzbar und konterkariert den gewollten Netzwerkeffekt. Es liegt offensichtlich auf der Hand, dass ein Pflegeheim oder eine Rehaklinik auf keinen Fall dazu bereit wäre und damit das Scheitern der Lösung vorprogrammiert ist. Das komplette Patientenportal on-premise betreiben zu wollen ist also nicht zielführend.
Es ist also auch zwischen rein technisch-organisatorischen und inhaltlichen Gründen in der Abwägung zu unterscheiden, ob eine Auslagerung in die Cloud sinnvoll sein kann.
ALLES DREHT SICH UM DEN BETREIBERAUSSCHLUSS
Die Problematik bei der Nutzung von Cloud-Technologie dreht sich primär um den sogenannten Betreiberausschluss – insbesondere bei sensiblen Daten. Wie stellt man sicher, dass man für die eigene Applikation fremden Speicherplatz, Rechenleistung, Arbeitsspeicher und mehr in einem fremden Rechenzentrum bekommt, während gleichzeitig der Betreiber des Rechenzentrums keinen Zugriff auf die Daten haben darf?
Heutzutage wird diese Herausforderung primär auf Applikationsebene gelöst, wie zum Beispiel durch Ende-zu-EndeVerschlüsselung oder Pseudonymisierung. Zu diesen Methoden wurde im Rahmen des KHZG auch ein umfassendes Gutachten publiziert. Die Herausforderung besteht dabei jedoch immer darin, dass man echt Ende-zu-Ende-verschlüsselte Daten nicht verarbeiten kann – da sie eben verschlüsselt sind.
Um bei einem konkreten Beispiel zu bleiben, will ich illustrieren, wie Recare dieses Problem löst, um sensible Patientendaten in der Cloud zu verarbeiten. Krankenhäuser importieren dabei zur Nutzung der digitalen Entlassmanagement-Plattform ein Patientenprofil aus dem KIS in einer lokal laufenden Webapplikation. Dieses Patientenprofil besteht aus zwei Teilen: erstens den Stammdaten des Patienten, die diesen auch identifizierbar machen, und zweitens einer Beschreibung des Versorgungsbedarfs, die über die Plattform organisiert werden soll. Letzteres enthält keine personenbezogenen Datenpunkte, sondern nur eine Beschreibung der notwendigen Versorgungsparameter – zum Beispiel Pflegegrad, Suche nach Pflegeheim, Suchradius etc.
ANZEIGE
Die Stammdaten werden über eine echte Ende-zu-EndeVerschlüsselung noch in der Web-Applikation – und damit vor der Übertragung an das Server-Backend in der Cloud – verschlüsselt. Dadurch liegen die Stammdaten Recare niemals in lesbarer Form vor, sondern erreichen ausschließlich als bereits verschlüsselter Datensatz den Cloud-Server. Die Plattform kann die Ende-zu-Ende-Verschlüsselung selbst technologisch nicht umgehen. Das Versorgungsprofil hingegen unterliegt keiner Ende-zu-Ende-Verschlüsselung. Dieses wird jedoch durch die Verschlüsselung der Stammdaten effektiv pseudonymisiert, sodass weder Recare noch die verwendete Infrastruktur zu irgendeinem Zeitpunkt die Möglichkeit hat, das Versorgungsprofil einem Patienten zuzuordnen.
Die Datenverarbeitung wird ausschließlich mit dem pseudonymisierten Versorgungsprofil durchgeführt. Die Endezu-Ende verschlüsselten Daten werden zwischen den Leistungserbringern übertragen und erst wieder lokal entschlüsselt. So ist sichergestellt, dass weder Recare noch der Betreiber eines Rechenzentrums die Patienten identifizieren kann. Es ist jedoch auch nicht in jedem Anwendungsfall immer möglich, nur mit einem pseudonymisierten Datenset zu arbeiten – beispielsweise wenn man ein komplettes KIS direkt in der Cloud betreiben wollen würde.
CONFIDENTIAL COMPUTING IN DER CLOUD ALS LÖSUNG DER ZUKUNFT
Wie so oft führt innovative Technologie auch hier zu einem disruptiven Paradigmenwechsel und soll zukünftig einen kompletten, sicheren Betreiberausschluss ermöglichen. Die Technologie, die das möglich machen soll, heißt Confidential Computing. Dabei schafft eine Hardware sogenannte „Trusted Execution Environments“ (TEEs) – also eine sichere Anwendungsumgebung für Daten und Code. Diese Enklaven ermöglichen die isolierte und überprüfbare Ausführung von Codes, um Daten zu verarbeiten – und das auch in nicht vertrauenswürdigen Umgebungen.
Das funktioniert, weil die Hardware sicherstellt, dass der Inhalt dieser Enklave sogar während der Laufzeit verschlüsselt im Speicher bleibt. Die bekannteste Implementierung solcher Enklaven findet man in modernen Prozessoren der Firma Intel. Unter dem Namen Intel SGX (Software Guard Extensions) wurden besondere, sicherheitsrelevante Opcodes („operation codes“) direkt in den Prozessor integriert.
Das Ziel des Confidential Computing ist es, die Daten im Speicher zu verarbeiten, während sie noch verschlüsselt sind. So kann also erreicht werden, dass man einen kompletten Betreiberausschluss erzielt und der Cloud-Betreiber keinen Zugang zu den Daten haben kann.
Die Technologie befindet sich aber noch in den Kinderschuhen und muss sich weiterentwickeln. Da sie eine Lösung für das größte Problem der Public Cloud überhaupt bietet, werden entsprechend viele Ressourcen in die Weiterentwicklung gesteckt – auch bei den großen Hyperscalern wie Amazon, Google, Microsoft und Co. So hat zum Beispiel Amazon Web Services eine eigene Technologie unter dem Namen „Nitro“ mit eigener Chip-Hardware.
Bis die Technologie komplett in den Mainstream übergeht, ist aber noch einiges an Arbeit notwendig. Und das gilt auch für den Bereich der Regulierung und die Möglichkeiten der Validierung der sicheren Verarbeitung. Zweifelsohne treibt diese Technologie den Wechsel in die Cloud zukünftig weiter an – insbesondere für Sektoren, welche die Cloud schon immer aus Sicherheitsgründen gemieden haben.
DIE REALEN HERAUSFORDERUNGEN FÜR KRANKENHÄUSER: ZWISCHEN CLOUD ACT UND KATZENVIDEOS
Jedes Unternehmen im deutschen Gesundheitswesen, das Software in der Cloud bei den sogenannten Hyperscalern nutzt, hatte vermutlich schon Diskussionen um den sogenannten CLOUD Act in den USA. Dabei handelt es sich um ein Gesetz, das es ermöglicht, den Zugriff auf gespeicherte Daten durch amerikanische Internetfirmen auch dann zu erzwingen, wenn die Speicherung nicht in den USA erfolgt. Das Gesetz wurde insbesondere angelegt, um Terrorismus, Menschenhandel und ähnliche Straftatbestände zu bekämpfen. Wichtig ist: Der CLOUD Act erlaubt allerdings nur den Zugriff auf Einzeldatensätze – der Datensatz muss also einer Person zugeordnet werden können.
Wenn der Personenbezug aufgrund einer Verschlüsselung nicht hergestellt werden kann, ist es auch für einen CloudBetreiber nicht möglich, einer solchen Anfrage nachzukommen. In Deutschland drehen sich Diskussionen aber häufig genau um diese rein hypothetischen Restrisiken – und nicht um die Vorteile, welche die Cloud sowohl wirtschaftlich als auch im Hinblick auf Sicherheit bringen kann.
In Krankenhäusern ist das Risiko, dass Mitarbeiter auf Attacken mit Phishing-E-Mails hereinfallen und die eigene Serverumgebung gefährden, deutlich realer als Risiken durch den CLOUD Act. Es ist daher notwendig, dass wir wieder zu einer angemessenen Risikobewertung kommen – sowohl was den Datenschutz als auch die IT-Sicherheit angeht – und die Prioritäten richtig setzen. Denn schlussendlich wird nur das auch zu einer wirklichen Verbesserung der IT-Sicherheit führen.
Die Nutzung einer Cloud ist bereits heute für viele Anwendungsfälle auch im Krankenhaus möglich. Wir sollten daher stets eine unvoreingenommene Einzelfallbewertung vornehmen – die pauschale Verurteilung der Technologie, insbesondere in sinnvollen Anwendungsfällen, wird zwangsläufig negative Folgen haben und eine erfolgreiche digitale Transformation verhindern. Wir werden zwar noch lange hybride Architekturen haben. Doch es besteht kein Zweifel: Die Zukunft liegt in der Cloud.