C5-Testat: Meilenstein für sichere Cloud-Lösungen im Gesundheitswesen

Cloud-Lösungen zeichnen sich vor allem durch eine nutzerfreundliche Anwendung aus. Dennoch unterliegen auch diese Lösungen strengen datenschutzrechtlichen Anforderungen. Ein C5-Testat unterstützt Cloud-Nutzerinnen und -Nutzer dabei, zu erkennen, ob ein Cloud-Anbieter ihre Anforderungen erfüllt. Doch auch eine unsachgemäße Nutzung kann zu sicherheitstechnischen und datenschutzrechtlichen Herausforderungen führen. Wir empfehlen daher eine umfassende Schulung und Sensibilisierung des gesamten Praxisteams. Dabei sollten insbesondere die folgenden Punkte berücksichtigt werden.

Das Berechtigungskonzept von Cloud-Lösungen sollte klar strukturiert sein und sich an den jeweiligen Aufgaben und Verantwortlichkeiten der Mitarbeiterinnen und Mitarbeiter orientieren. Neue Berechtigungen sollten deswegen immer mit Bedacht und nach Prüfung der Notwendigkeit vergeben werden.

• Schützen Sie Ihre Hardware (PC/MAC/Tablet) durch Passwörter vor unbefugtem Zugriff.
• Verlangen Sie sichere Passwörter für den Zugang zum Computer.
• Verwenden Sie keine so genannten nicht personalisierten Zugänge, bei denen Passwörter weitergegeben werden müssen.
• Konfigurieren Sie das Betriebssystem so, dass sich Geräte nach 5 Minuten „Nichtbenutzung“ automatisch sperren und nur durch Eingabe des Passworts wieder aktiviert werden können.
• Halten Sie Ihr Betriebssystem auf dem neuesten Stand und verwenden Sie keine vom Hersteller abgekündigten Versionen.
• Halten Sie die Version Ihres Browsers auf dem neuesten Stand. Die Aktualisierungsfrequenz der Hersteller ist hoch, sodass keine konkrete Version empfohlen werden kann.

• Beachten Sie die Mindestanforderungen für Smartphones und deren Betriebssysteme.
• Achten Sie darauf, dass Sie immer die aktuellste Version verwenden und installieren Sie neue Updates, sobald diese verfügbar sind.
• Aktivieren Sie die automatische Suche nach Sicherheitsupdates, um die monatlichen Android-Updates zu erhalten.
• Versehen Sie jedes Gerät mit einer Displaysperre: Der Zugriff auf die Smartphones muss unbedingt mit einem Passwort geschützt werden.
• Wir empfehlen, die private Nutzung dienstlicher Geräte zu verbieten.

C5 ist der „Cloud Computing Compliance Criteria Catalogue“ des BSI und umfasst 125 Kriterien für sichere Cloud-Lösungen. Themen sind unter anderem die Informationssicherheit, die physische Sicherheit und die Qualifikation des Personals. Das Digitalisierungsgesetz (DigiG) fördert die digitale Transformation im Gesundheitswesen und macht den C5-Katalog ab dem 1. Juli 2024 zum verbindlichen Sicherheitsstandard für Cloud-Dienste. Die Anforderungen werden regelmäßig überprüft.  

Zu den Vorteilen eines C5-Testats gehören die standardisierten Anforderungen an Cloud-Anbieter und die transparente Darstellung der Daten- und Informationssicherheit für die Cloud-Kundinnen und -kunden. Im Rahmen des Risikomanagements von Cloud-Kundinnen und -kunden können diese die Informationen aus einem C5-Testat für die Reduzierung von Sicherheitsrisiken und den Schutz vor Datenverlust und Datenschutzverletzungen nutzen. Der Schutz vor Datenverlust und Datenschutzverletzungen stärkt somit das Vertrauensverhältnis zu Patientinnen und Patienten sowie Kundinnen und Kunden. Das C5-Testat garantiert hohe Transparenz bezüglich Sicherheitsstandards und unterstützt die Leistungserbringer im Gesundheitswesen.