Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT-Ressourcen oder Applikationen aus einem Netz von Computern zu beziehen, statt sie auf den eigenen Rechnern zu installieren, bietet viele Vorteile. Die Anwender müssen nicht in den Ausbau und die Wartung der Systeme investieren. Zudem werden Cloud-Dienste in der Regel nutzungsabhängig abgerechnet. Nach einer aktuellen Studie des Marktforschungsinstituts Gartner, können IT-Abteilungen ihre Kosten zum Teil um die Hälfte senken. Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Von den eingangs genannten Vorteilen können Organisationen im Gesundheitswesen ebenfalls profitieren. Schließlich haben auch diese mit knappen Budgets zu kämpfen. Gerade in den IT-Bereichen der kleineren Kliniken fehlt es häufig an Personal, hier sind Konzepte willkommen, welche die IT-Mitarbeiter von der Pflege der ein oder anderen IT-Anwendung oder IT-Infrastruktur entlasten. Die Cloud stößt im Gesundheitswesen vielerorts jedoch noch auf Vorbehalte trotz Vorteilen wie niedriger oder gar keiner Investitionskosten und einer Flexibilitätssteigerung. Meist ist die Ungewissheit betreffend der Datensicherheit der Grund für die Skepsis. Um die häufigsten Bedenken zum Thema Cloud-Computing, speziell im Gesundheitswesen, auszuräumen bedarf es zunächst der Erläuterung über die verschiedenen Arten des Cloud-Computing, man unterscheidet zwischen folgenden Cloud-Modellen: Private-Cloud: Hier befinden sich Anbieter und Nutzer im selben Unternehmen, datenschutzrechtlich gibt es hier keine Bedenken, da sämtliche Server- und Storagesysteme sich hinter der eigenen Firewall befinden (Private Cloud`s kommen jetzt schon z.b. bei großen Klinikketten zum Einsatz). Public-Cloud: Die Public-Cloud ist eine öffentliche Cloud, die von beliebigen Personen und Unternehmen genutzt werden kann. Hier können sich datenschutzrechtliche Probleme auftun, insbesondere da die Daten meist unverschlüsselt und weltweit über mehrere Rechenzentren verteilt gespeichert werden (Public Cloud Anbieter für Rechenleistung und Speicherplatz ist z.b. Amazon). Seite 1
Hybrid-Cloud: Hier betreibt der Anwender eine eigene Private-Cloud und nutzt bei Bedarf, z.b. für Demo- oder Testzwecke die technischen Ressourcen einer Public-Cloud. Virtual-Private-Cloud: Hier existiert eine Privat-Cloud innerhalb der Public-Cloud. Anwender haben hierbei einen privaten Bereich in dem die Daten verschlüsselt und nur für den autorisierten und authentifizierten Benutzer sichtbar sind, können zeitgleich aber die enormen Ressourcen der Public-Cloud nutzen. Die Netzwerk- Verbindung zwischen Anwender und Cloud-Service Anbieter erfolgt hierbei stets über gesicherte Leitungen, die Daten selbst sind bei der Übertragung verschlüsselt. Sicheres Cloud-Computing dank Verschlüsselung Cloud-Anwendungen im Gesundheitswesen dürfen zum Schutz der Patientendaten (Datenschutz) ausschließlich in einer Virtual Privat Cloud zum Einsatz kommen. Als weitere Sicherheitsmaßnahme für die Datensicherheit und den Datenschutz ist die zusätliche Verschlüsselung der Daten. Die Verschlüsselung sollte mit einem separaten Schlüssel-Management umgesetzt werden, welches nicht innerhalb der Cloud betrieben wird dieser Ansatz ist auch unter dem Begriff Private-Key-Management bekannt. Beim Private-Key-Management hält der Cloud-Anbieter, sondern der Kunde selbst den Schlüssel in der Hand. Die Daten werden verschlüsselt in der Cloud gespeichert. Die Daten des Kunden werden durch das Verfahren bereits während des Ablegens (Speichern) in der Cloud geschützt. Der geheime Schlüssel zum Zugriff auf die Daten wird beim Kunden verwahrt. Der Cloud-Anbieter kann die Daten zwar ein zweites Mal verschlüsseln, hat aber keine Möglichkeit, die orginären Daten zu lesen. Key Management Server beim Kunden vor Ort Cloud Service Provider Kodierungsschlüssel werden auf einem Server beim Kunden vor Ort verwaltet und freigegeben. Zugang zu den Daten haben nur die Besitzer der Kodierungsschlüssel. Seite 2
Wir machen Cloud-Computing sicher 5 Stufen Sicherheitskonzept DFC-SYSTEMS bietet als einer der ersten Anbieter in Deutschland sichere Cloud-Services für das Gesundheitswesen. Wir schützen Ihre Daten und Anwendungen mit einem umfassenden, 5-stufigen Sicherheitskonzept in einem TÜV-zertifizierten Rechenzentrum in Deutschland. Das 5-Stufen Sicherheitskonzept 1. TÜV-zertifiziertes Rechenzentrum Unsere Server- und Storage-Systeme sind in einem hochverfügbaren und TÜV-zertifizierten Rechenzentrum in München untergebracht. Das Rechenzentrum verfügt über eine redundante Energieversorgung, Klimatisierung und Internet-Anbindung von bis zu 10 GBit. Neben weiteren Sicherheitsfeatures wie einem speziellen Brandmelde- und Brandlösch-System, ist das komplette Rechenzentrum Videoüberwacht und ausschließlich nur für autorisierte Personen zugänglich. Sicherheit rund um die Uhr, ohne Ausnahme. Sämtliche Systeme werden 24 Stunden, 7 Tage die Woche an 365 Tagen pro Jahr überwacht. Das vor Ort Servicepersonal garantiert einen schnellen Einsatz bei Vorkommnissen am System. 2. Sichere CLOUD-Infrastruktur Der Einsatz von Firewall- und Intrusion Prevention (IPS) Systemen sowie der Einsatz moderner Virenschutz-Software verhindern das Eindringen von Schadsoftware oder eine vorsätzliche Beeinträchtigung der Systeme von außen. Ein zusätzliches 24h System-Monitoring erkennt und meldet automatisch Unregelmäßigkeiten am System. Seite 3
3. Geschützter Zugang Zu den wichtigsten Security-Aufgaben im Umfeld von Cloud-Computing gehört die Regelung der Benutzeridentitäten und die der Zugriffsrechte. Ein Zugang zur Cloud ist nur für autorisierte und authentifizierte Benutzer möglich. Neben Benutzername und Paßwort besteht zusätzlich die Möglichkeit einer 2-Faktor Benutzerauthentifizierung (z.b. auf Basis eines Tokens). Unsere Zugangsrichtlinien ermöglichen auch die zusätzliche Authentifizierung von Gerätekennungen als weiteres Sicherheitskriterium. 4. Ausfallsichere Systeme Sämtliche IT-Komponenten wie Server, Storage und Firewall sind physikalisch redundant ausgelegt. Zum Einsatz kommen ausschließlich Enterprise Systeme namhafter Hersteller wie HewlettPackard, NetApp und Cisco. Die Server- und Storage als auch die Firewall Systeme sind in einem Clusterverbund installiert und garantieren somit bei einem Totalausfall einer oder mehrerer Systemkomponenten ein kontinuierliches Weiterarbeiten. Ein 24h IT-Monitoring und regelmäßige vor Ort Überprüfungen der Systemkomponenten stellen sicher, dass die Systeme stetig im einwandfreien Zustand sind. 5. Datenverschlüsselung Die Daten eines Kunden werden durch das Private Key Management Prinzip bereits während des Ablegens (Speichern) in der Cloud geschützt. Der geheime Schlüssel zum Zugriff auf die Daten wird beim Kunden verwahrt. Ein Zugriff und ein Lesen der Daten ist nur mit dem Private Key des jeweiligen Kunden möglich. Die wichtigsten Kundenfragen zum Cloud-Computing: 1. Wie ist die Trennung meiner Daten von denen anderer Kunden realisiert? Abhängig von den genutzten Diensten (Services) innerhalb der von DFC-SYSTEMS angebotenen Cloud, werden die Daten zum einen in für den Kunden eigens eingerichten virtuellen Serversystemen (VMware Instanzen) und zum anderen werden die Daten verschlüsselt gespeichert. 2. Wo sind meine Daten gespeichert? Die Daten werden verschlüsselt in einem TÜV-zertifizierten Rechenzentrum in Deutschland gespeichert. Das Rechenzentrum verfügt über modernste Infrastrukturkomponenten für maximale Verfügbarkeit und Sicherheit. 3. Wie ist der Zugriff auf die Daten und die User-Authentifizierung geregelt? Nur befugte und autorisierte User erhalten Zugriff auf Ihre Daten. Neben einer Autorisierung mit Benutzername und Paßwort unterstützen wir weitere Authentifizierungsverfahren wie z.b. über einen zusätzlichen Token (2-Faktor Authentifizierung). Seite 4
4. Auf welchem Weg gelangen die Daten aus unserem Unternehmen in die DFC-SYSTEMS Cloud? Die Daten werden auf dem Weg aus Ihrem Unternehmen zur DFC Cloud ausschließlich verschlüsselt übertragen. Zusätzlich wird die Übertragungsstrecke selbst zwischen Ihrem Unternehmen und der DFC Cloud ebenfalls verschlüsselt, hier stehen Verschlüsselungsverfahren wie https, SSL oder VPN zur Verfügung. 5. Können Dritte, z.b. Mitarbeiter im Rechenzentrum, auf die Daten zugreifen? Nein, auf die Daten können ausschließlich autorisierte bzw. befugte und authentifizierte User zugreifen. Sämtliche Daten liegen zudem verschlüsselt vor. 6. Werden die Daten im Rechenzentrum regelmäßig gesichert? Ja, alle Daten werden täglich auf Festplatte und auf Band gesichert (Vollsicherung). Sämtliche Server- und Storage-Systeme sind zudem redundant ausgelegt. 7. Wie kann der Endkunde nachvollziehen, welche Systemaktionen vorgenommen wurden? Sämtliche Systemaktionen, wie Login, Authentifizierung, Lesen, Verändern und Schreiben von Daten werden protokolliert und dem Kunden bei Bedarf zur Verfügung gestellt. Seite 5