Sichere E-Mail-Übertragung im Krankenhaus

Fachkräftemangel, wirtschaftlicher Druck, immer mehr Sicherheitsanforderungen. Und jetzt noch aufwendig E-Mail-Verschlüsselung schulen?

Im Durchschnitt betreut ein Krankenhaus in Deutschland rund 8.850 Patienten im Jahr. Im Umkehrschluss bedeutet dies, dass es mindestens genauso viele empfindliche Datensätze gibt. Daher gelten für Krankenhäuser strenge Sicherheitsanforderungen, die mit der Einstufung der meisten Häuser als kritische Infrastruktur nochmals um zahlreiche Anforderungen des BSI ergänzt wurden. Der neue branchenspezifische Sicherheitsstandard „B3S“ setzt darauf auf.

Im medizinischen Umfeld soll die Telematik-Infrastruktur TI, die auch einen E-Mail-ähnlichen Dienst (KIM – „Kommunikation im Medizinwesen“) enthält, zum Standard für digitale Kommunikation werden. Der Zugang zur TI ist mittlerweile Pflicht, doch weiterhin nutzen nur sehr wenige Einrichtungen aktiv die TI-Anwendungen, wie KIM. Analoge Formulare, die per Hand ausgefüllt und per Fax versendet werden, gehören zum Alltag dazu. Allerdings ist die Übertragung per Fax spätestens seit der ISDN-Abschaltung veraltet und unsicher. Datenschützer raten von „Fax-over-IP“ dringend ab.

Erfahren Sie, wie das Vinzentius Krankenhaus mithilfe von comcrypto MXG eine sichere digitale Alternative zum Fax etabliert hat: zur Success-Story

Im Alltag haben die Mitarbeiter damit sehr wenig Aufwand und haben das MXG äußerst schnell akzeptiert.

 
Walter Lutz, leitender IT-Administrator
Vinzentius-Krankenhaus

Um mit externen Einrichtungen bzw. Personen - wie Arztpraxen, Pflege-Einrichtungen und den Patienten und Angehörigen - im digitalen Austausch stehen zu können, braucht es einen sicheren digitalen Weg. Der B3S-Standard schreibt daher für Krankenhäuser vor, dass für Kommunikationspartner, die nicht über die TI erreichbar sind, ein anderes sicheres digitales Verfahren vorgehalten und genutzt werden muss.

Eine sicher verschlüsselte E-Mail-Übertragung wird damit mehr und mehr Voraussetzung zur Erfüllung der gesetzlichen Anforderungen. Doch wie gelingt dies, ohne extreme Schulungsaufwände oder ein erhebliches Restrisiko, dass die Anwender*innen im entscheidenden Moment den Klick auf „sichere Mail“ vergessen?

Eine Lösung – viele Vorteile

Unsere Lösung MXG arbeitet im Hintergrund und setzt verschiedene Verschlüsselungsmethoden ein, um automatisch das gewünschte Sicherheitsniveau zu erreichen. Der Anwendende nutzt seinen E-Mail-Client wie gewohnt - die Verschlüsselung übernimmt das comcrypto E-Mail-Gateway MXG.

Bestandteile der von uns entwickelten Lösung:

  • S/MIME-Verschlüsselung – mit ausgewählten Empfängern, die dieses ebenfalls unterstützen
  • Sicherheitskontrolle im Hintergrund: „Adaptive Verschlüsselung“ – ohne dass User dies explizit aktivieren müssen, wird die qualifizierte Transportverschlüsselung als Standardverfahren zum Austausch zwischen Unternehmen oder Organisationen genutzt. Zu Empfänger-Servern, die dieses sichere Verfahren nicht unterstützen, wird die unsichere Übertragung (TLS-Downgrade) verhindert.
  • Verschlüsselung mit Passwort – zur sicheren Übertragung auf Anforderung des Absenders oder als Fallback bei nicht vorhandener qualifizierter Transportverschlüsselung

Die verschiedenen Technologien zur sicheren Übertragung können flexibel eingesetzt werden, z.B. für verschiedene Abteilungen oder verschiedene Prozesse. Das MXG speichert für den nachträglichen Nachweis der sicheren Übertragung alle dafür notwendigen technischen Parameter jeder E-Mail-Übertragung. Zusätzlich wird ein Zustellnachweis gemäß dem BGH-Urteil aus Okt. 2022 erstellt.

Es fallen keine aufwendigen Schulungen für das Personal an und trotzdem erfüllen Sie alle gesetzlich geforderten Schutzziele – sowohl aus KRITIS/B3S, als auch aus der DSGVO - automatisiert und ohne Mehraufwand. Durch die einfache Handhabung sowie schnelle und unkomplizierte technische Inbetriebnahme des MXG, wird die Kommunikation und Datenverarbeitung per E-Mail vereinfacht, Mitarbeitende signifikant entlastet sowie Arbeitszeit einspart.

Herkömmliche Verschlüsselung vs. comcrypto MXG

Sie sind selbst im medizinischen Bereich tätig und suchen eine praktikable Lösung für die Erfüllung der Datenschutzpflichten bei der E-Mail-Übertragung?

Deshalb ist das MXG E-Mail-Gateway das Richtige für Sie:

HERKÖMMLICHE VERSCHLÜSSELUNGSSOFTWARE
  • Sicherheit ist ausschließlich vom Absender abhänging - E-Mails müssen händisch als "zu verschlüsseln" markiert werden
  • Aufwendige und zeitintensive Schulungen des Personals
  • Sicherung durch manuelle Passwörter, Zertifikate oder externe Downloadportale mit Anmeldezwang
  • Verantwortung wird auf die Mitarbeitenden abgewälzt
  • Fehlerquelle Mensch bleibt ein schlecht zu überwachendes und hohes Risiko
COMCRYPTO MXG
  • MXG führt im Hintergrund automatisch eine Sicherheitsprüfung durch - ohne dass der Absender daran denken muss
  • Ohne Schulung wie gewohnt E-Mails aus dem Client senden
  • 100 % automatisch gesichert durch qualifiziertes TLS und von uns geprüfte Fallback-Mechanismen
  • Mitarbeitende können ohne Zusatzbelastung arbeiten
  • Durch Automatisierung ist menschliches Versagen ausgeschlossen

Ein Auszug unserer Referenzen

Häufige Fragen

Welche Gesundheitsdaten müssen datenschutzkonform übertragen werden?

Besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO (oder § 4 Abs. 2 KDG bzw. § 4 Abs. 2 DSG-EKD), wie Gesundheitsdaten, werden von den Datenschutzgesetzen unter einen besonderen Schutz gestellt. Es ist daher immer von einem hohen Risiko für die Betroffenen auszugehen, wenn solche Daten verarbeitet werden. Lesen Sie dazu auch das DSK Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten natürlicher Personen.

Welche Verschlüsselungen müssen für Gesundheitsdaten angewendet werden?

Nach der Orientierungshilfe der DSK (Stand 16. Juni 2021) ist für die Übertragung von Daten per E-Mail mit hohem Risiko immer eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung anzuwenden. Auf eine Ende-zu-Ende-Verschlüsselung kann jedoch dann verzichtet werden, wenn dies bspw. die Daten in der konkreten Nachricht oder die konkrete Ausgestaltung des Übertragungsweges oder die getroffenen kompensierenden Maßnahmen hergeben. Zudem wird die Ende-zu-Ende-Verschlüsselung häufig am fehlenden Vernetzungseffekt scheitern.

Was passiert, wenn Art. 9 Daten an unbeteiligte Dritte gelangen?

Laut Art. 33 DSGVO muss eine Datenschutzverletzung binnen 72 Stunden vom Verantwortlichen an die zuständige Aufsichtsbehörde gemeldet werden, da dies ein meldepflichtiger Vorfall darstellt. In dieser Meldung müssen mindestens Angaben über die Art der Verletzung, die Anzahl der betroffenen Personen, der betroffenen Kategorien und der betroffenen Datensätze gemacht werden. Weiterhin benötigt die Aufsichtsbehörde für eine sachgemäße Bearbeitung mindestens, die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung, welche Gegenmaßnahmen getroffen wurden, um einen solchen Vorfall zu verhindern. Sollte eine solche Meldung nicht erfolgen, drohen hohe Geldstrafen oder sogar Haftstraßen.

Welche Schwierigkeiten entstehen durch das KHZG?

Durch das KHZG stehen zwar den Krankenhäusern Fördergelder zur Verfügung, die eigentliche Umsetzung erleichtert sich so allerdings nicht. Neue Softwarelösungen müssen einfach und schnell implementierbar sein und einen echten Nutzen für das gesamte Personal erzielen. Außerdem dürfen, wie Experten aus dem Gesundheitswesen befürchten, die IT-Ausgaben durch Support und zusätzlichen IT-Fachpersonal nicht ins Unermessliche steigen.

Was kann das MXG für mich tun?

In den Fokus rückt daher die qualifizierte Transportverschlüsselung, die für den medizinischen Bereich als grundlegendes Sicherheitslevel zu empfehlen ist. Für besonders sensible Daten (oder wenn kein qTLS zum konkreten Empfänger verfügbar ist) steht im MXG Gateway zudem die Inhaltsverschlüsselung mit Passwort oder per S/MIME zur Verfügung.

Comcrypto MXG liefert die notwendigen Funktionen:

  • Qualifizierte Transportverschlüsselung (qTLS), wann immer technisch möglich (ca. 90 % der versendeten E-Mails)
  • Wenn qTLS nicht möglich, automatischer Einsatz einer Inhaltsverschlüsselung (wenn vorher so konfiguriert)
  • Bei Nachrichten mit besonderem Schutzbedarf, Inhaltsverschlüsselung auf Anforderung

Zur bewährten MXG-Konfiguration im medizinischen Bereich stehen wir Ihnen gern jederzeit beratend zur Verfügung.

Warum ist das comcrypto MXG die richtige Lösung für mein Krankenhaus?