Sichere IT-Infrastrukturen im Gesundheitswesen: Ohne Cloud keine digitale Souveränität

ITS: Herr Linnemann, Sie beschäftigen sich seit 23 Jahren mit IT-Sicherheit. Wie hat sich die Branche in dieser Zeit verändert?

Markus Linnemann: Noch bis vor ein paar Jahren galt IT-Sicherheit nur als Hindernis – ob im Alltag oder beim wirtschaftlichen Fortschritt. Dieses Bild hat sich grundlegend gewandelt. Heute ist IT-Sicherheit Voraussetzung und Treiber für Digitalisierung. Kritische Prozesse und personenbezogene Daten müssen angemessen geschützt werden. Dazu kann es in Europa keine zwei Meinungen geben. Das bedeutet auch, dass sich IT-Sicherheit smart und nutzerfreundlich in bestehende Prozesse einbinden lassen muss. Gerade in den Anfangszeiten der Datenverarbeitung spielte dies keine große Rolle.

Durch gesetzliche Vorgaben wie NIS-2 oder das KRITIS-Dachgesetz wird IT-Sicherheit zudem zur Pflicht und zum festen Bestandteil jeder Business-Strategie. Sie ist ein wichtiges Instrument für mehr Resilienz und nachhaltige Unternehmensplanung.

ITS: Bleiben wir bei NIS-2 und dem KRITIS-Dachgesetz. Auf regulatorischer Seite passiert in letzter Zeit sehr viel. Auch wenn die Intention gut ist, stellt die Umsetzung der Anforderungen betroffene Unternehmen vor große Herausforderungen. Was würden Sie diesen Unternehmen raten?

Markus Linnemann: Erst einmal durchatmen – das ist bei all den Neuerungen natürlich nicht so einfach. Entscheidend ist jedoch, nicht mit Einzelmaßnahmen loszulegen, sondern Informationssicherheit ganzheitlich zu betrachten.

Die Grundlage ist eine strukturierte Bestandsaufnahme: Wie ist die Informationssicherheit im Unternehmen aktuell aufgestellt? Werden vielleicht schon Maßnahmen umgesetzt, die das NIS-2-Umsetzungsgesetz oder das KRITIS-Dachgesetz fordern? Mithilfe dieser Übersicht lässt sich ein Umsetzungsplan erstellen, der die weiteren Schritte definiert. Entscheidend für alle Maßnahmen ist eine robuste IT-Infrastruktur. Sie ist die Voraussetzung, um den aktuellen und zukünftigen Herausforderungen der IT-Sicherheit sicher begegnen zu können.

Da die Anforderungen komplex sind, empfehle ich Unternehmen, sich frühzeitig beraten zu lassen. Experten bringen Licht ins Dunkel und können Unsicherheiten beseitigen.

ITS: Neben den regulatorischen Vorgaben sorgt in Deutschland vor allem der Datenschutz regelmäßig für Diskussionen. Bremst er die Wirtschaft aus oder ist er unverzichtbar?

Markus Linnemann: Meiner Meinung nach wird gerade bei diesem Thema häufig eine pauschale Diskussion geführt. Dabei gibt es „den Datenschutz“ und „das Sicherheitsniveau“ nicht. Vielmehr kann Datenschutz unterschiedliche Ausprägungen haben – genauso wie IT-Sicherheit. Deshalb sollte man immer das angemessene Schutzniveau für den jeweiligen Fall betrachten. Wenn es also um sensible Daten geht, muss auch der Schutz entsprechend hoch sein.

Interessant finde ich auch, dass die Diskussionen rund um Datenschutz die analoge Welt außen vor lassen. Auch dort können beispielsweise Unterschriften gefälscht oder Personalausweise gestohlen werden. Datenschutz ist also kein neues Phänomen, das nur im digitalen Raum existiert. Ob digital oder analog: Angreifer haben für beide Welten ihre Methoden.

Das Verständnis für den Schutz von Daten ist zudem stark kulturell geprägt. Nehmen wir Europa im Vergleich zu den USA: In Europa wird der Schutz von personenbezogenen Daten als Grundrecht angesehen, in den USA hingegen gibt es nicht einmal ein allgemeines Datenschutzgesetz. Zudem haben US-Behörden unter bestimmten Voraussetzungen Zugriffsmöglichkeiten auf diese Daten – ein Punkt, der in Europa besonders kritisch diskutiert wird. Solche Regelungen können das Vertrauensverhältnis zwischen Staat und Bürgern schädigen.

ITS: Vertrauen ist ein wichtiges Stichwort, ebenso wie Kontrolle über die eigenen Daten. Seit Monaten wird in diesem Zusammenhang intensiv über digitale Souveränität diskutiert. Welche Rolle spielt sie dabei?

Markus Linnemann: Der Begriff wird sehr inflationär verwendet, weil er nicht wirklich definiert ist. Letztlich geht es um die Frage: Welche Daten möchte ich wie schützen und wie kann ich dabei die Kontrolle behalten? Man muss sich bewusst machen, dass sich nicht alle Risiken kontrollieren lassen und jedes Produkt Sicherheitslücken aufweisen kann.

Entscheidend ist, dass Nutzer die freie Wahl behalten und nicht in Abhängigkeit von Anbietern geraten. Hier kommt wieder Vertrauen ins Spiel. Gerade Regierungen und Unternehmen
sollten vertrauenswürdige Anbieter wählen, die für Zuverlässigkeit und Stabilität stehen und den regulatorischen Anforderungen des jeweiligen Rechtsraums entsprechen.

Neben der Erfahrung spielen hier Zertifizierungen sowie gesetzliche Rahmenbedingungen eine wichtige Rolle. Deutsche Unternehmen oder Institutionen sollten deshalb bevorzugt Anbieter aus Deutschland oder Europa auswählen, bei denen Datenschutz großgeschrieben wird und hohe Sicherheitsstandards gelten.

ITS: Lassen Sie uns einen Blick auf die technologische Seite werfen: Mittlerweile fast untrennbar mit digitaler Souveränität verbunden ist der Ruf nach sicheren Cloud-Lösungen. Könnten Sie den Zusammenhang bitte erklären?

Markus Linnemann: Digitale Souveränität bedeutet „Kontrolle“ – und zwar durch diejenigen, denen die Daten gehören, und nicht durch den Technologieanbieter. In der Cloud bildet digitale Souveränität die Basis für digitalen Fortschritt.

Wie beim Datenschutz muss man auch hier die verschiedenen Modelle unterscheiden, denn es gibt nicht die eine Cloud. Ob Private, Public oder Hybrid: Regierungen und Unternehmen müssen das Sicherheitsniveau ihrer Daten bestimmen und die entsprechende Cloud-Lösung wählen. Im Gesundheitswesen beispielsweise braucht es anonymisierte Daten für die Forschung.

Da es sich um sensible Daten handelt, muss die Technologie dahinter sehr robust sein und der Anbieter vertrauenswürdig. Open-Source-Lösungen bieten den Anwendern Flexibilität und Transparenz über die Datennutzung. Offene Standards schützen zudem davor, in Abhängigkeit einzelner Dienstleister zu geraten – sie sind also Grundvoraussetzung für digitale Souveränität.

ITS: Wenn wir den Blick nach vorn richten: Welche technologischen Entwicklungen werden die Digitalisierung im Gesundheitswesen in den kommenden Jahren prägen?

Markus Linnemann: Vertrauenswürdige Systeme und sichere IT-Infrastrukturen sind zentrale Treiber von Innovationen. Und die sind im Gesundheitswesen zwingend notwendig. Nur mit Digitalisierung können wir beispielsweise die Missstände in der Versorgung beheben und den Fachkräftemangel kompensieren.

Ob E-Rezept, elektronische Patientenakte oder automatisierte Diagnostik: Durch digitalen Fortschritt kann die Forschung vorangetrieben und die Patientenversorgung verbessert werden. Bei einem Hautscreening etwa können im Abgleich mit medizinischen Datenbanken Krankheiten frühzeitig erkannt und behandelt werden. Technologien wie Cloud und künstliche Intelligenz (KI) automatisieren Prozesse und bringen die Versorgung auf ein völlig neues Niveau.

ITS: Was braucht es aus Ihrer Sicht, um ein zukunftsfähiges digitales Gesundheitswesen aufzubauen – auch abseits der technischen Komponenten?

Markus Linnemann: Neben einer sicheren IT-Infrastruktur braucht es vor allem verlässliche Partner und ein Netzwerk aus zuverlässigen Akteuren. Unabhängig von konkreten Produkten müssen wir ein Ökosystem rund um Technologien und Dienstleistungen schaffen, das vertrauenswürdig ist und die Interessen aller gleichermaßen berücksichtigt.

Unser gemeinsames Ziel sollte es sein, die Gesundheitsversorgung nachhaltig zu digitalisieren und dadurch zu verbessern. Mit dieser Motivation können wir gemeinsam wachsen und die Zukunft der Branche gestalten. Die ersten Schritte sind getan – jetzt kann es weiter vorwärtsgehen.

ITS: Vielen Dank für das Gespräch!