Eine Analyse von Check Point[1] zeigt, dass das Schweizer Gesundheitswesen 59% mehr Cyberattacken verzeichnet als im Vorjahr. PWC[2] & Deloitte[3] bestätigen diesen Trend fürs 2024. Cyberangriffe stellen eine Gefahr für Patienten dar. Als Health & Law Studentin in der IT, interessiere ich mich für sichere Gesundheitssysteme. Deshalb frage ich mich, ob ein digitale Sicherheitsstrategie für das Schweizer Gesundheitswesen existiert.
Eine erste Antwort auf meine Frage, ob die Schweiz eine digitale Sicherheitsfrage für den Gesundheitssektor hat, finde ich im OECD – Bericht „Health at a Glance“[4], der am 8. November 2023 veröffentlicht wurde.
Ich lese diese Berichte gerne, da verschiedene Gesundheitssysteme in verschiedene Länder unter den gleichen Faktoren verglichen werden. Insbesondere spannend an der diesjährigen Ausgabe finde ich, dass erstmals ein eigenständiges Kapitel über das Thema Digital Health vorliegt. Ich schließe daraus, dass dieses Thema nach zwei Covid19 lastigen Ausgaben im Jahre 2020 und 2022 an Bedeutung gewinnt.
Mich interessiert, wie die Schweiz im Bereich der Digitalisierung im Gesundheitswesen im Vergleich zu anderen Ländern abschneidet. Insbesondere interessiere ich mich für die digitale Sicherheitsstrategie im Gesundheitswesen und wie diese in anderen Ländern umgesetzt wird. Glücklicherweise werde ich im Bericht „Health at a Glance“ im Kapitel 2 fündig (Verweis auf Tabel 1). Aus dieser Tabelle kann ich ablesen, dass die Schweiz eine nationale Sicherheitsstrategie hat, jedoch nicht spezifisch zugeschnitten auf das Gesundheitswesen. Was mich erstaunt ist, dass die Schweiz immerhin in sechs von neun digitalen Sicherheitsstrategie-Prinzipien anwendet, obwohl sie keine auf das Gesundheitssystem zugeschnittene digitale Sicherheits-Strategie hat. Lediglich in drei digitalen Sicherheitsprinzipien, namens „responsibility and liability“, „cooperation“ und „resilience, preparedness und continuity“ wendet sie best practice an. Im Vergleich zu den anderen Ländern, welche ebenfalls keine digitale Sicherheitsstrategie für das Gesundheitswesen haben, ist das jedoch ausserordentlich gut.
Ich bin noch nicht zufrieden mit der Antwort, welche ich im „Health at a Glance“ Report gefunden habe. Zugern wüsste ich, weshalb die Schweiz in diesem wichtigen Thema noch keine digitale Sicherheitsstrategie hat für den Gesundheitssektor. Deshalb suche ich weiter und werde auf der Bundesseite für das Nationale Zentrum für Cybersicherheit (NCSC) fündig[5]. Ich finde aus dem Jahre 2022 eine Empfehlung für den Gesundheitssektor, welche organisatorischer und technischer Natur ist. Dies ist schon mal interessant. Ein paar dieser Maßnahmen scheinen sogar eine Vorgabe Charakter zu haben und nicht nur Empfehlungen zu sein, wie dem Bericht zu entnehmen ist (Verweis auf Tabel 2). Die Tabelle unten veranschaulicht, welche Maßnahmen als „Muss“ und „Kann“ vorgeschlagen werden. Ich bin ein bisschen enttäuscht, denn es handelt sich meiner Meinung nach nicht, um Maßnahmen, welche spezifisch für den Gesundheitssektor gelten. Vielmehr sind es allgemeine Maßnahmen, welche für jeden Sektor anwendbar sind.
Ich recherchiere weiter und finde endlich, wonach ich lange suchte: Die dritte nationale Cyberstrategie des Bundes vom April 2023, welche auf ein bisschen mehr als 30-Seiten zusammengefasst ist[6].
Als ich die Strategie durchlese, wurde mir folgendes klar:
- Das Nationale Zentrum für Cybersicherheit (NCSC) ist erst seit dem 1. Juli 2021 in Kraft.
- Im Jahre 2023 wurde die dritte Sicherheitsstrategie für die Schweiz verabschiedet.
- Folglich wird dieses Thema noch nicht allzu lange auf nationaler Ebene behandelt.
- Das sieht man daran, dass das NCSC in ihren Berichten hauptsächlich daran ist eine Lageeinschätzung zu machen vom Status Quo. Der Bericht enthält fast ausschließlich Trendanalysen.
- Des Weiteren scheinen einige organisatorische Punkte noch nicht geklärt zu sein bezüglich der digitalen Sicherheitslandschaft in der föderalistischen Schweiz. Um ein Beispiel des Berichtes zu geben, es ist noch nicht klar, welche Aufgaben die Kantone übernehmen und welcher der Bund.
Um auf meine Ausgangsfrage zurückzukehren, welche wie folgt lautet: Existiert in der Schweiz eine digitale Sicherheitsstrategie, die speziell auf das Schweizer Gesundheitswesen zugeschnitten ist?
Basierend auf meinen Recherchen und meinem Hintergrundswissen würde meine Antwort wie folgt lauten:
- Erstens: In der Schweiz wird das Gesundheitswesen kantonal organisiert und umgesetzt. Folglich ist die Herausbildung einer nationalen, digitalen Sicherheitsstrategie für den Gesundheitssektor besonders herausfordernd, da zuerst alle Kantone dazu konsultiert werden müssen.
- Zweitens: Das nationale Zentrum für Cybersicherheit (NCSC) wurde erst im Jahre 2021 gegründet. Im ersten Bericht wurde der Gesundheitssektor als kritische Infrastruktur eingeschätzt. Da das NCSC erst im Jahre 2021 gegründet wurde, nehme ich an das in den Anfangsjahren andere Sektoren im Fokus des NCSC stehen als der Gesundheitssektor.
- En bref: Die digitale Sicherheitsstrategie fürs Gesundheitswesen existiert für die Schweiz noch nicht. Aber es sind klare Absichten erkennbar, dass eine solche für die nahe Zukunft entwickelt wird.
Ich wäre bei der Ausarbeitung dieser gerne dabei ? !
[1] Check Point sind der israelischen Cyber-Security-Spezialisten/innen.
[2]Cybersicherheit im Gesundheitswesen | PwC Switzerland
[3]https://www2.deloitte.com/content/dam/Deloitte/at/Documents/presse/at-deloitte-cyber-security-report-2023.pdf
[4] https://www.oecd-ilibrary.org/docserver/7a7afb35-en.pdf?expires=1700497242&id=id&accname=guest&checksum=DB1394C06555A24BF1BE609ECA7E523C
[5] https://www.ncsc.admin.ch/ncsc/de/home/strategie/cyberstrategie-ncs.html
[6] https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2022/empfehlungen-gesundheitssektor.html