Interne IT-Sicherheit in Krankenhäusern: VISUS hilft mit

Als Experte für die Anwendung des DICOM und des HL7 Standards ist VISUS Konsortialpartner im Projekt MITSicherheit.NRW, das im Rahmen des Leitmarkt Wettbewerbs „Gesundheit“ gefördert wird. In dieser Rolle brachten die Bochumer ihre Expertise für den Aufbau einer Testinfrastruktur ein, die Schwachstellen in der Kommunikation radiologischer Bilddaten und anderer Patientenbehandlungsdaten aufspüren soll. Erste Ergebnisse des Projekts, das mit dem Ablauf dieses Jahres endet, fließen bereits in die Entwicklung bei VISUS ein.

Christoph Dammermann, Wirtschaftsstaatssekretär, erklärt das Projekt MITSicherheit.NRW so: „Die Landesregierung strebt eine flächendeckende Vernetzung der Daten in der Gesundheitsversorgung an. Dabei sollen die Patienten allerdings nicht befürchten müssen, dass ihre Daten durch Fremde ausgespäht oder medizinische Geräte von Hackern ferngesteuert werden. Die Partner von MIT-Sicherheit sorgen mit ihrem Projekt für das höchstmögliche IT-Sicherheitslevel in den Krankenhäusern. Damit legen sie einen wichtigen Grundstein für eine erfolgreiche Digitalisierung der Gesundheitswirtschaft in Nordrhein-Westfalen.“

Sicherheit ist Kernthema von VISUS

Für VISUS war die Teilnahme als Konsortialpartner extrem wichtig, weil das Thema sichere Kommunikation mittels DICOM und HL7 unternehmensintern von höchster Bedeutung ist. Dr. Marc Kämmerer, Leiter des Innovationsmanagements bei VISUS, betont: „Der Schutz von Patientendaten gegen Angriffe von außen ist bereits in den Fokus gerückt und wird mit entsprechender Priorität angegangen. Leider vernachlässigen wir aktuell, dass es auch Angriffe aus dem eigenen Intranet heraus gibt. Hier müssen sich die Leistungserbringer im Gesundheitswesen, aber auch die Hersteller von Software und Medizintechnik besser aufstellen. MITSicherheit.NRW hat einen wichtigen Beitrag dazu geleistet, Schwachstellen bei der Nutzung von DICOM und HL7 in der internen Kommunikation aufzudecken. Jetzt gilt es, diese Ergebnisse zusammenzutragen und in die Praxis zu bringen.“

Software optimieren und neue Standards etablieren

VISUS stand als Berater für DICOM und HL7 Kommunikation innerhalb des Projekts zur Verfügung. Die Mitarbeitenden teilten ihre Expertise mit den Entwicklern der Testplattform, die Schwachstellen erst sichtbar machte. Erste Ergebnisse fließen bereits jetzt in die Entwicklung der JiveX Produkte ein, so dass die VISUS Software noch sicherer wird.

Ein weiteres, durch das Projekt bearbeitetes Thema, ist das hausinterne, automatisierte Management von Verschlüsselungszertifikaten. Die erfolgreichen und automatisierten Zertifikatsmanagementsprozesse, welche für das Internet funktionieren, sind bisher nicht problemlos in einem geschlossenen Intranet, beispielsweise dem eines Krankenhauses, anwendbar. Ein Grund dafür: Jedem Medizingerät müssten Verbindungen mit den Zertifikatsstellen im Internet erlaubt werden – was sich aus Sicherheitsaspekten verbietet. Gemeinsam mit anderen Konsortialpartnern arbeitet VISUS nun daran, einen Prozess basierend auf Schnittstellen zu etablieren, mit dem auch im geschlossenen Intranet die gleichen Zertifikatmanagementprozesse wie im Internet verwendet werden können. Das legt den Grundstein für die Nutzung einer zuverlässigen, verschlüsselten Kommunikation von Behandlungsdaten in internen Netzwerken. Im besten Fall entsteht daraus ein IHE-Profil, das dann in direkt in die Produktentwicklung bei den Herstellern einfließen kann. Den Anwendern gibt ein solches IHE-Profil die notwendige Planungssicherheit zur Realisierung eines unternehmensweiten Managements offiziell gültiger Verschlüsselungszertifikate.