„Mit C5 schafft der Gesetzgeber Klarheit“

by | Jun 17, 2024

Anhoren

Teilen

 

Das Anfang des Jahres verabschiedete Digitalgesetz, kurz DigiG, gibt klar vor: Ohne C5-Testat dürfen keine Patientendaten mehr in die Cloud. Am 1. Juli ist es nun so weit, die Regelung greift. Droht deshalb vielen Diensten nun der Shutdown? Florian Wanner, Geschäftsführer der Kite Consult GmbH, gibt kurzfristig Entwarnung, glaubt aber, dass die neue Regelung den Qualitätsstandard langfristig deutlich anheben wird. Und das sei dringend nötig.

 

Herr Wanner, mit Blick auf die Cloud herrscht im deutschen Gesundheitswesen nach wie vor eine gewisse Skepsis. Erschwert die Regelung im DigiG zum C5-Testat den Durchbruch der Cloud oder erleichtert sie ihn vielleicht sogar?

Ich glaube ganz grundsätzlich gibt es viele positive Aspekte innerhalb des DigiG, wozu aus meiner Sicht auch das C5-Testat klar gehört. Denn vereinfacht ausgedrückt steht in dem Gesetz, dass wir den Goldstandard in Punkto Security, den C5-Standard, als Maßstab setzen und alle Akteure, die den einhalten, auch die Cloud benutzen dürfen. Damit schafft der Gesetzgeber Klarheit. Was die Umsetzung nun zu einem zweischneidigen Schwert macht, ist die Tatsache, dass C5 als Standard nicht nur hinreichend, sondern vor allem auch notwendig ist. Gerade mit Blick auf die „germanization“ der Cloud brauchen wir diesen höheren Qualitätsstandard aus meiner Sicht dringend.

Germanization ist eine Anspielung auf in Deutschland gehostete Cloud-Services?

Genau. Hier galt lange die Prämisse, wir sind in Deutschland und deswegen sind wir besser. Nun wird die Baseline mit dem DigiG ganz radikal nach oben gezogen, was durchaus den einen oder anderen Anbieter aktuell ins Schwitzen bringt.

Ein höheres Sicherheitsniveau im Gesundheitswesen ist in Anbetracht der zunehmenden Anzahl an Cyberangriffen aber ja durchaus positiv zu werten…

Absolut. Das Cybersecurity-Level im deutschen Gesundheitsmarkt ist tatsächlich schlecht. Das muss man genauso deutlich adressieren wie die Tatsache, dass die meisten Einrichtungen schlicht nicht die Mittel haben, das Sicherheitsniveau aus eigener Kraft zu heben. Deshalb sind die C5-Testate als Voraussetzung für die Cloud ein Gewinn.

Wobei die Akteure im Gesundheitswesen die Verantwortung für den Erhalt eines C5-Testats nicht komplett auf die Cloudprovider abwälzen können…

Das ist richtig. Wer allerdings auf einen Cloudprovider setzt, der die C5-Testate hat, kann sich gerade bei den großen Anbietern darauf verlassen, eine Art Checkliste zu bekommen, welche Schritte konfigurationstechnisch noch auf Kundenseite verbleiben und wie die umgesetzt werden müssen.

Hier kommen Sie dann als Dienstleister ins Spiel und unterstützen bei der Umsetzung?

Unsere Aufgabe ist es, die Kundenverantwortung auf dem Hyperscaler so zu implementieren, dass sie C5-compliant ist, richtig. Hier gilt es, drei Komponenten zu berücksichtigen. Zunächst die Regionalität, also dass Daten in Deutschland oder Europa verbleiben. Bei uns ist es Deutschland, was wir über Policies lösen. Dann ist es auch nicht ganz richtig, zu sagen, dass der Cloudprovider C5-testiert ist, bestimmte Dienste sind es. Und wir stellen sicher, dass auch nur solche Dienste verwendet werden. Und zu guter Letzt gilt es, bei den Diensten, die verwendet werden, zu überprüfen, dass die auch in der vorgegebenen C5-Konfiguration betrieben werden. Wichtig an dieser Stelle: Wir sichern alle drei Elemente über Code ab. Wir sprechen hier also über eine Automatisierung, die mindestens einmal alle 24 Stunden läuft und bei einem Fehler einen Alarm auslöst.

Aus Ihrer Sicht: Wie viele Kunden und Softwarehersteller haben sich darauf verlassen, dass die C5-Testate nur die Cloudprovider betreffen?

Hier kann und will ich nicht konkreter werden, aber sagen wir mal so: Das Problem ist vorhanden und betrifft auch etablierte Spieler. Was aus Kundensicht aber vielleicht noch tückischer ist: Es betrifft viele Akteure, die gar nicht wissen, dass sie überhaupt in der Cloud sind.

Wie kann man als Kunden nicht wissen, dass man Dienste in der Cloud nutzt?

Es herrscht gerade eine gewisse Unsicherheit am Markt, wie das Gesetz ausgelegt wird. Auch Juristen sind sich noch uneinig. Die Frage ist zum Beispiel, ob eine Konzern-IT oder ein Hosting-Provider als Cloud gelten und damit unter die C5-Anforderungen fallen. Wenn große Klinikketten also eine eigenen IT-Gesellschaft betreiben, könnte die unter Umständen ein Testat benötigen.

Was ist die logische Konsequenz: Jetzt lieber schnell noch die Voraussetzungen für ein C5-Testat umsetzen oder abwarten, bis die Auslegung klar ist?

Jetzt noch schnell umsetzen, wird bis zum 1. Juli definitiv nicht mehr klappen, da ein Testat typischerweise zwölf bis 18 Monate Vorlauf braucht. Wer also noch nicht aktiv war, dem nützt die berühmte Last-Minute-Aktion nichts. Was jetzt allerdings wichtig ist zu eruieren: Greift das Gesetz bei mir ja oder nein. Und wenn man sich aktuell in einer Ausschreibung befindet und die Wahl zwischen einem Anbieter mit und ohne C5-Testat hat, ist meine Empfehlung, sich für den mit Testat zu entscheiden.

Was ich bisher heraushöre: Wirklich auf der sicheren Seite ist man mit Blick auf das C5-Testat bei den großen Hyperscalern und damit in den USA. Ist das aus deutscher und auch europäischer Sicht eine erstrebenswerte Entwicklung?

Ganz ehrlich: Das Rennen um die Cloudvorherrschaft ist längt gelaufen. Demnach wäre es strategisch unklug, das von den Hyperscalern aufgebaute Wissen und die Expertise nicht zu nutzen. Lassen Sie mich das am Beispiel der Verschlüsselung verdeutlichen: Sollen Daten beim Speichern verschlüsselt werden, haben wir schon Angebote von Anbietern gesehen, die diese Verschlüsselung in Form von Hardware im Krankenhaus über drei Jahre für 120.000 Euro umgesetzt hätten. Bei einem Hyperscaler kostet ein Schlüssel pro Monat gerade einmal einen Euro – und im Schnitt braucht ein typisches Krankenhaus vielleicht fünf bis zehn Schlüssel. Die hohen Preise für die Hardwareverschlüsselung sind übrigens ein Grund dafür, warum die meisten Krankenhäuser ihre Daten nicht verschlüsseln.

Die Entscheidung für eine Cloudlösung bei einem großen Hyperscaler könnte also viele der IT- und Sicherheitsprobleme im deutschen Gesundheitswesen zumindest abmildern?

Definitiv und ich glaube auch, dass die Einführung des C5-Standards durchaus eine politische Initiative ist, die Cloudnutzung zu fördern, um beispielsweise auch die Forschung in Deutschland wieder schneller und damit wettbewerbsfähiger zu machen. Was außerdem für die Cloud spricht, ist die sogenannte „shared responsibility“, also die Tatsache, dass sich Kliniken beispielsweise anschauen können, was alles im Scope des Providers ist, und damit einen Großteil der regulatorischen Verantwortung wie jetzt mit C5 dorthin abgeben können. In der eigenen Verantwortung bleibt dann eine kleine, feine Spitze eines ansonsten sehr großen Eisbergs.

Nun rückt der 1. Juli immer näher. Womit müssen wir zum Stichtag rechnen?

Ich glaube nicht, dass etwas passieren wird. Womit ich allerdings rechne: Viele Einrichtungen schieben jetzt NIS2-Projekte an. Der Druck steigt besonders durch die persönliche Haftung der Geschäftsführung. Viele Einrichtungen werden in diesem Rahmen herausfinden, welcher Regulatorik sie eigentlich unterliegen. Hier wird auch das DigiG und C5 noch einmal hochkochen. Und dann werden wir das ganze Ausmaß natürlich erleben, wenn die ersten Audits der Wirtschaftsprüfer stattfinden. Wir haben also noch ein wenig Schonfrist, wobei die Transparenz mit NIS2 definitiv zunehmen wird.

 

Kurz-CV

Bereits während seines Physik-Studiums, das er 2010 abschloss, war Florian Wanner als Freelancer im Bereich Consulting mit Schwerpunkt Rechenzentren, Service-Provider und Outsourcing tätig. Wanner hatte zudem mehrere Positionen in regulierten Umgebungen inne, etwa bei Airlines, im EZB-Umfeld oder bei Rückversicherern. 2012 gründete er die Kite Consult GmbH. Das Unternehmen unterstützt Service-Provider und Rechenzentren bei Konzeptionierung und Aufbau von Cloud- und Hosting-Plattformen. Wanner und sein Team haben mehrere Krankenhaus-Migrationen begleitet.

Das könnte Sie auch interessieren

Gemüsekohl für die Gesundheit

Forscher des Leibniz-Instituts für Gemüse- und Zierpflanzenbau haben jene Kohlsorten identifiziert, die besonders wertvolle Pflanzenstoffe für den Menschen beinhalten. Wie die sich auf die Gesundheit auswirken, wird nun in einer Interventionsstudie untersucht.

Grün und vielfältig sollte sie sein, unsere Ernährung. Und einem Gemüse kommt dabei eine besondere Bedeutung zu: Gemüsekohl. Am Leibniz-Institut für Gemüse- und Zierpflanzenbau (IGZ) gibt es mit dem Projekt SharpGreens sogar ein eigenes Forschungsprojekt, das jetzt in die zweite Phase startet. Die wissenschaftliche Fragestellung: Wie beeinflusst eine vielfältige Ernährung reich an Gemüsekohl die Gesundheit? Die humane Interventionsstudie wird gemeinsam mit dem Universitätsklinikum Freiburg umgesetzt. Erforscht werden sollen vor allem die Auswirkungen auf die Immunfunktionen und das Darmmikrobiom.
Der Interventionsstudie ist eine intensive erste Projektphase vorangegangen, für die am IGZ in den vergangenen 30 Jahre eine umfassende Analytikplattform für sekundäre Pflanzenstoffe und ihre Abbauprodukte entwickelt wurde. Im Fall des Gemüsekohls geht es um die sogenannten Glucosinolate, die beim Verzehr enzymatisch zu gesundheitsfördernden Abbauprodukten, den Isothiocyanaten, umgewandelt werden können. Diese Substanzen haben entzündungshemmende, antikanzerogene und antimikrobielle Eigenschaften. Bisher wurden mehr als 100 verschiedene Glucosinolate in Pflanzen identifiziert, wobei die Wirksamkeit ihrer Abbauprodukte stark variieren kann.
Über 300 Kohlsorten kultiviert
Im Rahmen des Projekts SharpGreens kultivierte das Team von Projektleiterin Dr. Katja Witzel im letzten Jahr 300 Genbank- und 17 kommerzielle Kohlsorten am IGZ und analysierte die Glucosinolat-Gehalte und Abbauprodukte. Dabei wurden 24 Kohlsorten mit verbesserten Glucosinolat-Gehalten und gewünschten -Abbauprofilen identifiziert. Diese stammen aus verschiedenen Regionen, darunter Kohlrabi aus der ehemaligen DDR, Blumenkohl-Sorten aus Italien, Weißkohl aus Japan und Spanien, Grünkohl aus Schweden und bulgarischer Rotkohl. Zur weiteren Aufklärung des enzymatischen Glucosinolat-Abbaus wurde das Proteom aller Kohlsorten am IGZ analysiert und ergänzend dazu eine genomweite Assoziationsstudie vom Projektpartner Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK) durchgeführt.
In der nun gestarteten zweiten Projektphase werden die ausgewählten Kohlsorten in der Interventionsstudie am Universitätsklinikum Freiburg unter der Leitung von Prof. Dr. Evelyn Lamy eingesetzt. Es wird untersucht, ob der Verzehr einer vielfältigeren Gemüsekohl-Diät die Gesundheit beeinflusst und ob diese Effekte auf den hohen Gehalt an gesundheitsfördernden Inhaltsstoffen oder die Pflanzenvielfalt zurückzuführen sind. Die Probanden erhalten dafür in einem randomisierten Crossover-Versuch vier verschiedene Gemüsekohl-Diäten, die aus gefriergetrockneten Kohlpflanzen am IGZ hergestellt werden und definierte Mengen an bioaktiven Substanzen enthalten. Außerdem wird der Einfluss der Vielfalt an Gemüsekohl in der Ernährung auf die Zusammensetzung des Darmmikrobioms untersucht.
Bewusstsein für Vielfalt fördern
Die Forschungsergebnisse sollen anschließend über verschiedene Formate wie Kochevents, Feldführungen und Ausstellungen an die Öffentlichkeit kommuniziert werden. Ziel ist es, das Bewusstsein für den Erhalt der Artenvielfalt in der Landwirtschafft sowie eine vielfältige pflanzenbasierte Ernährung zu fördern. Unterstützt werden die Forscher dabei von proWissen Potsdam e.V. Das Bundesministerium für Bildung und Forschung fördert SharpGreens im Rahmen der Forschungsinitiative zum Erhalt der Artenvielfalt (FEdA) und der Richtlinie zur Erforschung der Zusammenhänge zwischen Biodiversität und menschlicher Gesundheit (BiodivGesundheit2) mit 1,1 Millionen Euro für einen Zeitraum von drei Jahren.

Forscher des Leibniz-Instituts für Gemüse- und Zierpflanzenbau haben jene Kohlsorten identifiziert, die besonders wertvolle Pflanzenstoffe für den Menschen beinhalten. Wie die sich auf die Gesundheit auswirken, wird nun in einer Interventionsstudie untersucht.

Grün und vielfältig sollte sie sein, unsere Ernährung. Und einem Gemüse kommt dabei eine besondere Bedeutung zu: Gemüsekohl. Am Leibniz-Institut für Gemüse- und Zierpflanzenbau (IGZ) gibt es mit dem Projekt SharpGreens sogar ein eigenes Forschungsprojekt, das jetzt in die zweite Phase startet. Die wissenschaftliche Fragestellung: Wie beeinflusst eine vielfältige Ernährung reich an Gemüsekohl die Gesundheit? Die humane Interventionsstudie wird gemeinsam mit dem Universitätsklinikum Freiburg umgesetzt. Erforscht werden sollen vor allem die Auswirkungen auf die Immunfunktionen und das Darmmikrobiom.
Der Interventionsstudie ist eine intensive erste Projektphase vorangegangen, für die am IGZ in den vergangenen 30 Jahre eine umfassende Analytikplattform für sekundäre Pflanzenstoffe und ihre Abbauprodukte entwickelt wurde. Im Fall des Gemüsekohls geht es um die sogenannten Glucosinolate, die beim Verzehr enzymatisch zu gesundheitsfördernden Abbauprodukten, den Isothiocyanaten, umgewandelt werden können. Diese Substanzen haben entzündungshemmende, antikanzerogene und antimikrobielle Eigenschaften. Bisher wurden mehr als 100 verschiedene Glucosinolate in Pflanzen identifiziert, wobei die Wirksamkeit ihrer Abbauprodukte stark variieren kann.
Über 300 Kohlsorten kultiviert
Im Rahmen des Projekts SharpGreens kultivierte das Team von Projektleiterin Dr. Katja Witzel im letzten Jahr 300 Genbank- und 17 kommerzielle Kohlsorten am IGZ und analysierte die Glucosinolat-Gehalte und Abbauprodukte. Dabei wurden 24 Kohlsorten mit verbesserten Glucosinolat-Gehalten und gewünschten -Abbauprofilen identifiziert. Diese stammen aus verschiedenen Regionen, darunter Kohlrabi aus der ehemaligen DDR, Blumenkohl-Sorten aus Italien, Weißkohl aus Japan und Spanien, Grünkohl aus Schweden und bulgarischer Rotkohl. Zur weiteren Aufklärung des enzymatischen Glucosinolat-Abbaus wurde das Proteom aller Kohlsorten am IGZ analysiert und ergänzend dazu eine genomweite Assoziationsstudie vom Projektpartner Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK) durchgeführt.
In der nun gestarteten zweiten Projektphase werden die ausgewählten Kohlsorten in der Interventionsstudie am Universitätsklinikum Freiburg unter der Leitung von Prof. Dr. Evelyn Lamy eingesetzt. Es wird untersucht, ob der Verzehr einer vielfältigeren Gemüsekohl-Diät die Gesundheit beeinflusst und ob diese Effekte auf den hohen Gehalt an gesundheitsfördernden Inhaltsstoffen oder die Pflanzenvielfalt zurückzuführen sind. Die Probanden erhalten dafür in einem randomisierten Crossover-Versuch vier verschiedene Gemüsekohl-Diäten, die aus gefriergetrockneten Kohlpflanzen am IGZ hergestellt werden und definierte Mengen an bioaktiven Substanzen enthalten. Außerdem wird der Einfluss der Vielfalt an Gemüsekohl in der Ernährung auf die Zusammensetzung des Darmmikrobioms untersucht.
Bewusstsein für Vielfalt fördern
Die Forschungsergebnisse sollen anschließend über verschiedene Formate wie Kochevents, Feldführungen und Ausstellungen an die Öffentlichkeit kommuniziert werden. Ziel ist es, das Bewusstsein für den Erhalt der Artenvielfalt in der Landwirtschafft sowie eine vielfältige pflanzenbasierte Ernährung zu fördern. Unterstützt werden die Forscher dabei von proWissen Potsdam e.V. Das Bundesministerium für Bildung und Forschung fördert SharpGreens im Rahmen der Forschungsinitiative zum Erhalt der Artenvielfalt (FEdA) und der Richtlinie zur Erforschung der Zusammenhänge zwischen Biodiversität und menschlicher Gesundheit (BiodivGesundheit2) mit 1,1 Millionen Euro für einen Zeitraum von drei Jahren.

Vivantes-Neuausrichtung steht

Der Aufsichtsrat der Vivantes Netzwerk für Gesundheit GmbH hat diese Woche ein ambitioniertes Neuausrichtungs- und Sanierungskonzept auf den Weg gebracht. Das jährliche Defizit soll in zwei Stufen um 110 Millionen Euro sinken.

Der Aufsichtsrat der Vivantes Netzwerk für Gesundheit GmbH hat diese Woche ein ambitioniertes Neuausrichtungs- und Sanierungskonzept auf den Weg gebracht. Das jährliche Defizit soll in zwei Stufen um 110 Millionen Euro sinken.