Backup und die Wiederherstellung von Patientenakten sind im Gesundheitswesen von zentraler Bedeutung. Schließlich kann die Nichtverfügbarkeit von Informationen, Software-Anwendungen und Systemen im schlimmsten Fall Folgen für Leib und Leben der Patienten haben. Die eh schon hohen und ständig steigenden Anforderungen müssen Leistungsanbieter im Gesundheitswesen dabei mit gleichbleibenden oder geringeren IT-Ressourcen abbilden. Technisch umfassende Lösungen, die für jede Anwendung die notwendige hohe Verfügbarkeit gewährleisten und mit denen sich einfach das gesamte Backup verwalten lässt, sind die Lösung.
Auch der Gesundheitsbereich muss mit immer mehr Daten zurechtkommen und sie für immer mehr digitalisierte Bereiche permanent bereithalten. Dazu gehören etwa Daten von Krankenhausinformationssystemen und elektronische Patientenakten (ePA) in verschiedensten Varianten. Auf solche Daten muss nicht nur ordnungsgemäß zugegriffen, sondern sie müssen auch korrekt zwischen Institutionen ausgetauscht werden können. Die Dokumentation der Krankheitsgeschichte durch die ePA umfasst dabei die verschiedensten Dateitypen wie Röntgenbilder, Elektroenzephalogramme, Elektrokardiogramme und anderer medizinische Diagramme, Texte, Grafiken, Fotos oder gar Töne. Die verschiedenen Daten müssen ständig verfügbar sein, denn sie sind in die laufende Therapie eingebunden. Zudem hängen moderne Behandlungsformen von der Verfügbarkeit von Daten und Anwendungen ab. Etwa die auf künstlicher Intelligenz basierende Behandlung, Überwachung und Betreuung chronisch kranker Patienten oder Tumor-Erkennung. Pionier-Kliniken dokumentieren digital Medikationen unde 3D-Modelle werden ausgedruckt um Operationen vorzubereiten. Zudem muss jedes Krankenhaus mit Wirksamwerden der DSGVO seine Patientendaten jederzeit heraus- und weitergeben können.
Angesichts der Zunahme von Daten und der Vernetzung von immer mehr Anbietern im Gesundheitswesen ist es nur logisch, dass immer striktere Compliance-Regeln greifen. Gelten in den USA die Vorschriften des HIPAA mit hohen Strafandrohungen, greifen hierzulande für Krankenhäuser in der Regel als Betreiber kritischer Infrastrukturen (KRITIS) die Bestimmungen des IT-Sicherheitsgesetz neben anderen Datenschutz- und Compliance-Vorgaben – wie etwa auch die DSGVO. Auch zivilrechtliche Schadensersatzansprüche verlangen nach einer Datensicherung. Konkrete technische Kriterien an eine Datensicherung bieten diese Vorschriften kaum und verweisen lediglich auf einen nicht definierten „Stand der Technik“, so dass nur DIN- oder ISO-Normen dabei helfen können, diesem Stand der Technik im Zweifelfall nachzukommen.
Risiken und Nebenwirkungen
Die wirtschaftlichen Folgen von Datenverlusten sind enorm. Strafenkataloge geben dabei davon nur ein unzureichendes Bild. In den USA sind die Summen sehr hoch: etwa 5.5 Millionen US-Dollar Strafe für das Memorial HealthCare System Hollywood oder 3,2 Millionen US-Dollar für das Children’s Medical Center in Dallas. In Europa wurde in einem ersten Urteil ein portugiesisches Krankenhaus wegen zu großzügiger Zugriffsrechte auf Daten unter Berufung auf die DSGVO mit einer Strafe von 400.000 Euro belegt. In Deutschland sind die Strafen eher geringer. Hier ist etwa die Gesamtsumme der bis Mai 2019 ausgesprochenen DSGVO-Strafen nicht so hoch. Eine viel größere wirtschaftliche Rolle spielt für ein Krankenhaus der Schaden durch Stillstand des Betriebs oder die Bekämpfung eines Virenangriff. Vor allem Ransomware-Angriffe bedrohen dabei die Datensicherheit und den Klinikbetrieb. Solche Malware kann durch Verschlüsselung aller Informationen ein Krankenhaus de facto lahmlegen. Krankenhäuser wurden auch in Deutschland häufig Opfer – so im Sommer 2019 ein Klinikverbund in Rheinland-Pfalz und die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes (DRK), 2018 eine Klinik in Weilheim-Schongau oder 2016 das Lukas-Krankenhaus in Neuss: In diesem Falle machte ein Verschlüsselungstrojaner alle Daten unbrauchbar und alle Abläufe – bis hin zu Notaufnahme und Strahlentherapie – standen still. Ein vierundzwanzig Stunden altes Backup verhinderte Schlimmstes. Doch die Schäden durch die Bekämpfung des Trojaners und für eine neue Sicherung der Krankenhaus-IT wurden in Neuss auf rund eine Million Euro geschätzt.
Ohne ein verfügbares Backup wären sie wohl noch viel höher gewesen. Im Endeffekt war die Sicherung die einzige verbliebene Möglichkeit, um den Betrieb schnell wieder aufnehmen zu können, ohne ein Lösegeld zu zahlen. Da keine IT-Security-Lösung und keine Mitarbeiterschulung einen Angriff mit letzter Sicherheit immer verhindern können, sind Datensicherungen und Möglichkeiten der schnellen Datenwiederherstellung für Krankenhäuser unersetzlich.
Das scheint eine Binsenweisheit zu sein. Aber Backup ist nicht gleich Backup. Denn die zunehmende Digitalisierung, Vernetzung und der Einsatz neuer Anwendungen erhöht die Komplexität von IT-Infrastrukturen sowie der Sicherung der Daten, Anwendungen und Systeme. Daten befinden sich je nach Anwendungen nun in einer Private Cloud, Hybrid Cloud oder in virtuellen Umgebungen. Doch ein Backup allein genügt. Wichtig ist die zeitige Wiederherstellung von Systemen, Anwendungen und möglichst aktuellen Daten, um so schnell wie möglich Patienten wieder zu versorgen. Ein Krankenhaus im US-Bundesstaat Indiana hat etwa trotz vorhandenem Backup rund 60.000 US-Dollar an Ransomware-Erpresser bezahlt, um seinen Betrieb schneller wieder aufnehmen zu können.
Erste-Hilfe-Kasten Backup und Datensicherung
Die Anforderungen an die Sicherung und Wiederherstellung von Daten, Systemen und Anwendungen werden also immer größer. IT-Administratoren stehen vor der Aufgabe, diese hocheffizient, hochverfügbar, kompliant sowie nach Prioritäten der Patientenpflege zu sichern. Dabei wächst der Anforderungskatalog und die Komplexität von Backup- und Hochverfügbarkeitslösungen: Zum einem durch multigenerationale IT-Infrastrukturen von Nicht-x86-Systemen über x86-Systeme bis hin zu Software-as-a-Service (SaaS) oder Infrastructure-as-a-Service (IaaS). Zum anderen durch die Verpflichtung, möglichst aktuelle Daten so schnell wie möglich sicherzustellen. Kriterien für die Verfügbarkeit von Informationen, Anwendungen und Systemen sind die Recovery Point Objectives (RPOs) und die Recovery Time Objectives (RTOs). Der Recovery Point Objective gibt dabei vor, wie lange maximal ein Backup zurück liegen darf. Der Recovery Time Objective bestimmt die Zeit, wie lange eine Wiederherstellung der Systeme mit soweit möglich aktuellen Daten dauern darf. Ein Medikationsroboter braucht zum Beispiel sehr schnell wieder Zugriff auf die Daten – ein niedriges RTO. Da sich die Medikation eines Patienten aber nicht unbedingt täglich ändert, könnte hier ein Recovery Point Objective von 12 Stunden vielleicht genügen. Lebenserhaltende, Daten-basierte Anwendungen müssen aber dagegen ständig verfügbar sein. Im Zweifelsfall müssen verschiedene RPOs und RTOS granular für die verschiedenen Anwendungen abgebildet und je nach Entwicklung skaliert werden.
Auch die verschiedenen Gründe des Datenverlustes stellen unterschiedliche Anforderungen an Backups: Eine Naturkatastrophe, wie etwa ein Wassereinbruch oder Brand im Serverraum, verlangt nach einer Off-Site-Sicherung. Gegen Ransomware hilft eine Offline-Kopie oder eine Hochverfügbarkeitslösung, die sekundengenau auf den Datenzustand vor der Verschlüsselungsattacke zurückspulen kann. Unterschiedliche Compliance-Regelungen bedingen die Sicherung an verschiedenen Orten.
Diese hohe Komplexität der Aufgabe „Datensicherheit“ verlangt nach einer einfachen, zentral zu verwaltenden Lösung, um die verschiedensten Anforderungen mit bestehenden Ressourcen erfüllen zu können. Zentrale Lösungen für Datensicherung ermöglichen die Nutzung und Verwaltung verschiedener Technologien über ein einheitliches Front End und Back End. Eine dezidierte Backup- und Recovery-Appliance bietet die notwendige Einfachheit der Implementierung und unterstützt Anwendungen mit besonderen Anforderungen an Datensicherung und Datenverfügbarkeit. Der IT-Administrator regelt mit nur einer Hardware von einem zentralen Bildschirm aus alle Datensicherungsprozesse. Eine Appliance verfügt auch über die nötige Rechenkraft für eine zielbasierte quellseitige Deduplikation – also die Löschung doppelter Datensätze und die Komprimierung von Daten. Dadurch braucht eine Sicherung so wenig wie möglich Speicherplatz, Rechenleistung und Netzwerkbandbreite, um Informationen zu sichern und zu übermitteln. Hardware-Lösungen agieren im Ernstfall auch als dezidierte Schnittstelle für den automatischen Zugriff auf redundante Systeme oder Cloud-Sicherungen, die im Failover anstelle beschädigter Systeme die Arbeit übernehmen, ohne dass die Nutzer dies merken.
Ein nicht zu vernachlässigender Vorteil einer Hardware-Lösung, die verschiedenste Sicherungen verwaltet, ist deren schnelle Implementierung. Weitere Implementierungen zusätzlicher, anwendungsspezifischer Sicherungslösungen entfallen. Und auch bei der Berechnung der Kosten bietet eine zentrale Hardware- und Software-Basis große Vorteile, denn Total Cost of Ownership für eine einzige integrierte Lösung lässt sich schneller berechnen als die Summe der Kosten mehrerer Einzellösungen, die dann auch noch zu einer funktionierenden Gesamtarchitektur zu bündeln sind.
Notaufnahme
Wie eine solche Backup-Architektur wirkt, konnte zum Beispiel mit Oxygen Technical Services ein US-Partner von Arcserve für eine von ihm betreute Klinik beweisen. Standardmäßig sicherte Oxygen Backups über eine zentrale Lösung redundant, onsite, offsite und offline sowie in der Cloud. Als die Klinik-IT nun über eine Mail mit einer Kryptowall-Attacke angegriffen wurde, wurden nicht nur die Live-Daten verschlüsselt, sondern auch das lokale Backup gelöscht. Der Angriff und die Lösegeldlieferung gingen aber ins Leere, denn ein redundanter Backup vom Vorabend konnte schnell wieder eingespielt werden: Für eine schnelle Wiederherstellung stand zwar nicht genug Bandbreite zur Verfügung, aber Kopien aus dem Datenzentrum wurden auf mobile Medien kopiert und in die Klinik gebracht. Dort kamen auch die On-Disk-Daten der Klinik hinzu. Anschließend erfolgte ein voller Bare Metal Restore auf den virtuellen Servern der Klinik und machte diese wieder verfügbar. Zuletzt wurden auch die lokalen Backups und deren virtuelle Maschinen wiederhergestellt. Der Klinik-Betrieb lief nach 36 Stunden wieder normal, alle Daten waren nach 48 Stunden wiederhergestellt.
Sven Haubold, Territory Account Director bei Arcserve Deutschland