Datensicherheit Sicherung von Patientendaten durch Backups

Zugehörige Themenseiten:
Datenschutz & Datensicherheit

Ob an Arbeitscomputern oder über medizinische Geräte: Täglich werden im Gesundheits- und Pflegesektor Unmengen an Daten verarbeitet, gespeichert und auf separaten Servern gesichert. Sensible Informationen dürfen nicht verloren gehen. Voraussetzung dafür ist die reibungslose Überwachung und Dokumentation aller Backups.

Von Björn Albers

Gesundheitsdaten sind ein wertvolles Gut. Ihr Verlust kann den Klinikbetrieb massiv beeinträchtigen und mitunter die Behandlung gefährden. Aus diesem Grund müssen Daten in Krankenhäusern, Pflegeheimen und anderen medizinischen Einrichtungen vollumfänglich und verlässlich gesichert werden. Das Thema gewinnt in Zukunft noch weiter an Relevanz: Vernetzte medizinische Geräte generieren immer größere Datenmengen. Weitere Trends wie Hybride Infrastrukturen und Cloud-Strategien, aber auch Entwicklungen wie die globale Erwärmung und drohende Energiekrisen bilden Herausforderungen:

• Sind Daten sicher und verfügbar, wenn der Strom ausfällt?
• Was passiert, wenn die Daten aus der Cloud nicht abrufbar sind?

Dies sind nur einige Fragestellungen, die sich im Bereich Datensicherung ergeben.

Backups: die letzte Verteidigungslinie

Backups, also Sicherungskopien, stellen die „Last Line of Defense“ gegen Datenverlust dar. Nicht zuletzt sei hier die wachsende Cyberbedrohung genannt: Bei Hackerangriffen mit Erpressungssoftware, sogenannter Ransomware, werden Daten verschlüsselt und hohe Lösegelder eingefordert. Die Daten auf den Servern sind für einen im Zweifel längeren Zeitraum nicht verfügbar und werden erst bei Zahlung des Lösegeldes oder „auf Gnade“ der kriminellen Hacker wieder freigegeben. Auch eine unzureichend gegen Ausfälle oder Notfälle gesicherte oder mangelhafte IT-Infrastruktur gefährdet die sichere Verfügbarkeit von Daten: Hardware kann versagen oder beschädigt werden. Rechenzentren von Klinikgruppen können in Brand geraten. Ohne Backup sind die Daten dann möglicherweise nicht mehr wiederherzustellen. Geräte wie MRTs oder CTs laufen womöglich nicht mehr – ein Worst-Case für den Klinikbetrieb.

Unverzichtbar: funktionierende Backup-Struktur

Zum sicheren IT-Betrieb gehört folglich immer die zuverlässige Datensicherung; IT Security also schließt den Bereich Data Security mit ein. Damit die Verfügbarkeit sensibler Gesundheitsdaten auch bei Problemen wie Serverausfällen oder Hardwareschäden gewährleistet bleibt, müssen an jedem Tag Backups erstellt werden. Eine entsprechend solide Infrastruktur ist demzufolge unabdingbar, wenn es um verlässliche und vollständige Datensicherung geht. Vor diesem Hintergrund benötigen IT-Administratoren die volle Kontrolle und einen umfassenden Überblick über alles, was innerhalb dieser Infrastruktur geschieht. Das bedeutet zunächst: jederzeit eine klare Übersicht über alle gezogenen Backups sowie über Server und Devices, einschließlich detaillierter Informationen wie Konfigurationsdetails und Konfigurationsänderungen.

Problem: unzureichendes Monitoring und Reporting

In der Praxis ist dies nicht gegeben. Die Sicherungskopien werden mithilfe professioneller Backup-Software erstellt. Diese tut zwar genau das, wofür sie ausgelegt ist; in vielen Fällen bietet sie jedoch nur ungenügenden Überblick und umfasst häufig auch nicht die gesamte Backupumgebung. In manchen Fällen werden für verschiedene Datenbanken, Server oder Applikationen jeweils ganz unterschiedliche Programme verwendet, die auf verschiedenen Betriebssystemen laufen und miteinander inkompatibel sind. Backup-Administratoren verlieren hier schnell den Durchblick.

Datensicherung in großen Klinikgruppen erfolgt zentral in gemeinsamen Rechenzentren. Die Verantwortlichen wissen im Normalfall nicht, welche Art von Daten hinter den einzelnen Backups liegen. Relevant sind für sie v.a. Informationen wie Vorschriften zu den jeweiligen Aufbewahrungsfristen, nicht die Inhalte, die sich in den Backups befinden. Gegenüber ihren Mandanten, den einzelnen Krankenhäusern, müssen sie jeweils Nachweise über die vorschriftsmäßige Datensicherung erbringen. Die Vorschriften unterscheiden sich von Einrichtung zu Einrichtung in den jeweiligen Anforderungen. Im stressigen Arbeitsalltag kann schnell Verwirrung entstehen – und die Entwirrung kostet Arbeitsaufwand und Zeit. Wenn Backup-Teams nicht den Überblick behalten, könnte es z.B. passieren, dass einem Krankenhaus beim routinemäßigen Reporting versehentlich die falschen Informationen zugespielt werden.

Nicht nur für das Berichtswesen, auch für die Datensicherung selbst gelten oft unterschiedliche Vorgaben für verschiedene Einrichtungen: Sicherungskopien einer Klinik dürfen teilweise nicht zusammen mit denen einer anderen Klinik auf demselben Server abgelegt werden, sondern müssen sich laut Vorschrift auf einem separaten Server befinden. So erhöht sich die Anzahl der Server, die IT-Admins im Blick behalten müssen. Ohne eine kompakte Übersicht führt auch dies schnell zu Durcheinander.

Backups müssen fehlerfrei laufen

Fehlt diese umfassende Übersicht, kommt es auch zu einem Defizit an (Fehler-)Kontrolle. Das Backup-Programm meldet zwar, wenn eine Sicherungskopie fehlerhaft ist, liefert jedoch oftmals wenige detaillierte Informationen zu dem Problem. Diese werden aber zur Behebung benötigt. IT-Administratoren müssen diese Daten in der Folge selbst heraussuchen. Die manuelle Suche ist zeit- und arbeitsaufwendig. Wenn Probleme nicht schnell erkannt und behoben werden, leidet auch die Qualität.

In den Bereich der Backup-Qualitätssicherung gehört auch die Identifizierung sogenannter logischer Fehler: Wenn ein Backup z.B. eine Größe von 0 Byte anzeigt, kann man daraus automatisch schließen, dass es fehlerhaft ist. Denn offensichtlich befinden sich keinerlei Daten darin. Die Backup-Software erkennt dieses Problem häufig nicht, sondern registriert stattdessen anhand ihrer eigenen Parameter die ordnungsgemäße Datensicherung. Eine automatische Erkennung solcher Fehler durch ein unabhängiges Programm schafft Abhilfe.

Die Zukunft heißt Automatisierung

Letztendlich sind die personellen Ressourcen für den Bereich Backup begrenzt. IT-Administratoren müssen meist noch anderen Aufgaben nachkommen, welche viel Arbeitszeit einfordern. Dies gilt auch für die IT großer Klinikgruppen. Menschen machen Fehler, gerade, wenn sie unter Druck sind. An Automatisierung geht daher kein Weg vorbei. Programme, die die Datensicherung durchführen, stellen oftmals einen nicht ausreichenden Überblick über Backups, Server und Devices samt Konfigurationsdetails zur Verfügung. Bestimmte Arten von Fehlern im Backup erkennen sie zum Teil nicht, da der unabhängige Blick „von außen“ fehlt. Die Software kann sich nicht selbst beaufsichtigen – dafür braucht es separate Tools, die die gesamte Backupumgebung intelligent und nutzerfreundlich im Auge behalten.

Hochautomatisiertes Monitoring und Reporting ermöglicht nicht nur volle Überwachung der gesamten Backupstruktur über unterschiedliche Backup-Software und -Server hinweg. Es bietet auch vielfältige Möglichkeiten für die Generierung von Berichten: Individuell konfigurierbare Nachweise sind innerhalb weniger Minuten zusammengestellt und liefern passgenau exakt diejenigen Daten, die den jeweiligen Dokumentationsvorgaben entsprechen. All diese Vorteile tragen neben einer Arbeits-, Zeit- und Kostenersparnis dazu bei, dass beim Thema Datensicherheit nichts mehr anbrennt. Health- und IT-Managerinnen und -Manager sollten die Investition nicht scheuen, denn: Wenn es brennt, ist der Schaden groß.