Die Ausgangssituation ist komplex: Während die aktuelle Chipkrise rund um Nexperia die Medizingerätehersteller zumindest nicht kurzfristig zu treffen scheint, wird auch diese Branche erneut an ihre Abhängigkeit erinnert. Vor allem ein Hardwareaspekt macht dem Bundesverband Medizintechnik (BVMed) sorgen: Sollte es erneut zu einer Chipmangelsituation kommen, brauche es „mehr Transparenz“ bei der Verteilung der verfügbaren Chips: „In Deutschland wäre beispielsweise eine Absprache zwischen dem Bundesgesundheitsministerium und dem Bundeswirtschaftsministerium vorstellbar, um vorrangigen Zuteilung von Halbleitern an den Gesundheitsbereich zu erreichen“, schildert BVMed-Sprecher Manfred Beeres die Vorstellungen seines Verbandes. Nur ein Aspekt, der auf dem Weg zu mehr digitaler Souveränität von Nicht-EU-Staaten bedacht werden will – angesichts der derzeitigen Auseinandersetzungen zwischen China und den USA und der EU allerdings kein einfacher.

Während die EU bei einem chinesisch-amerikanischen Handelskrieg nur zuschauen kann, hat die Nexperia-Episode die enge Lieferkettenverflechtung zwischen Firmen in der EU und der Volksrepublik noch einmal ins Bewusstsein gerufen. Ein Problem dabei: Medizintechnik zählt zu Europas wichtigsten Exportschlagern – auch in die USA. Damit gerät die EU in eine doppelte Abhängigkeit: von Chips und integrierten Komponenten aus China einerseits und von ihrem größten Absatzmarkt jenseits des Atlantiks andererseits.

Darüber hinaus drängen Anbieter aus den USA in den digitalen EU-Gesundheitsmarkt. Angesichts der politischen Wünsche werden hier derzeit neue Abhängigkeiten geschaffen. Und das in einer Zeit, in der diese politisch eigentlich als heikel gelten. Doch vieles bleibt unklar – etwa, wenn es um den Betrieb der elektronischen Patientenakte geht.

„Wenn nach eigenen Aussagen das Bundesministerium für Gesundheit keine Kenntnis über die Verträge zwischen den ePA-Betreiberfirmen IBM und Rise hat, stärkt das nicht das Vertrauen der Ärztinnen und Ärzte“, sagt etwa Silke Lüder, stellvertretende Bundesvorsitzende der Freien Ärzteschaft. Datensicherheitsexperten wie Manuel Atug von der AG Kritis oder der ehemalige Datenschutzbeauftragte Ulrich Kelber sehen das ähnlich. Nachdem sowohl dem Bundesamt für Sicherheit in der Informationstechnik als auch der Bundesbeauftragten für Datenschutz und Informationsfreiheit das Veto-Recht entzogen wurde, kommt es maßgeblich auf das Vertrauen in die Beteiligten an.

Aber ist ein strukturelles Vertrauen in Betreiber in Zeiten von Zero-Trust-Ansätzen noch zeitgemäß? Das Gesundheitsministerium sieht bei der Sicherheit der elektronischen Patientenakte jedenfalls keine Probleme, es seien laut Antwort auf die Kleine Anfrage „umfangreiche technische und organisatorische Sicherheitsmaßnahmen umgesetzt. Die Daten der ePA werden immer verschlüsselt auf Servern in der Bundesrepublik Deutschland gespeichert und können ohne den Schlüssel des Versicherten nicht durch Unbefugte gelesen werden“.

Eine Sprecherin des Bundesgesundheitsministeriums erklärt auf Nachfrage von heise online: Die „Schlüssel für den Zugriff auf die ePA eines Versicherten liegen in einem Hardware Security Module (HSM) bzw. in der virtuellen Ausführungsumgebung (VAU) beim Betreiber der ePA“ in einer sicheren Umgebung. Hierin habe „nur die Software selbst Zugriff, der Betreiber jedoch nicht“.

Jede Menge lose Enden

Insbesondere im Zusammenwirken der vielen unterschiedlichen Abhängigkeiten im Gesundheitssystem und dem forcierten Ineinandergreifen der Systeme könnten neue Probleme entstehen. Denn eigentlich sollen nicht nur die Abrechnungsdaten der Krankenkassen, Daten aus Praxisverwaltungssystemen und aus der ePA der gesetzlich Versicherten miteinander verknüpft werden können, sondern auch die Daten aus Krankenhausinformationssystemen stärker einbezogen werden.

Nach dem Aus für SAPs Krankenhaussoftware konkurrieren die übrigen Wettbewerber um Marktanteile, auch US-Unternehmen mischen mit. Das sorgt für Bewegung in einem profitablen, von Übernahmen und neuen und allen EU-Anbietern wie Avelios, Dedalus, CGM und Meierhofer geprägten Markt. Für die finanziell oft angeschlagenen deutschen Kliniken kommt die ePA-Einführung mitten in einer ohnehin schon schwierigen Zeit. Bisher konnte etwa die Hälfte der Krankenhäuser die ePA testen.

Es gibt immer wieder große Zweifel, ob bei so vielen verschiedenen Soft- und Hardwarelösungen die Datensicherheit wirklich gewährleistet ist – und ob die Vorgaben der Telematikinfrastruktur dafür überhaupt ausreichen.

Patientenschutz vor Datenfluss

Einen sehr konsequenten Weg beschreitet dabei die Zahnärztin Annette Apel. „Wir arbeiten viel manuell“, schildert sie vor wenigen Tagen bei einer Veranstaltung der Interessengemeinschaft Medizin (IG Med) in Berlin. Sie sieht ihre Verweigerungshaltung gegenüber digitaler Übermittlung als Teil ihrer Patientenfürsorge. Selbst bei einer auf den ersten Blick harmlos wirkenden Behandlung würden teils höchstpersönliche Fragen eine Rolle spielen und dokumentiert werden müssen – etwa Ängste oder finanzielle Aspekte, wenn Zuzahlungen nötig sind.

Bei ihr würden etwa Röntgenbilder nicht automatisch digital weitergegeben, schildert Apel. Ihre Praxis sei, soweit es ginge, eben offline. Sie würde konsequent keine Befunde über das Internet übermitteln, und die gesetzlichen Vorschriften würden sie dazu auch nicht verpflichten können. Sie selbst erfahre dafür weniger Kritik, aber ihre Patientinnen und Patienten würden deshalb drangsaliert, wenn sie diesen etwa ausgedruckte Befunde mitgebe. Die ärztliche Schweigepflicht könne hochgehalten werden, wenn die digitalen Möglichkeiten so genutzt würden, dass die Ärztinnen und Ärzte diese selbst sichern würden, so Apel.

Die Kosten, die sie durch die Sanktionen aufgrund des fehlenden Anschlusses an die Telematikinfrastruktur habe, seien geringer als die mit der TI verbundenen Kosten und nötigen Doppelstrukturen. Solche Abwägungen dürfen jedoch nicht dazu führen, dass die Digitalisierung des Gesundheitswesens scheitert und Patienten weiterhin auf ausgedruckte Dokumente angewiesen sind.

Die zahlreichen offenen Fragen zu Verantwortlichkeiten, Versorgungssicherheit und tatsächlicher digitaler Souveränität zeigen: Es fehlt eine klare politische Linie, wie tiefgreifend und in welcher Richtung die Digitalisierung des Gesundheitswesens gesteuert werden soll. Spätestens hier rückt die nationale Digitalstrategie in den Blick – und deren Aktualisierung ist längst überfällig.

Digitalisierungsstrategie: Update dringend benötigt

Für das bereits angekündigte Update der Digitalisierungsstrategie durch Bundesgesundheitsministerin Nina Warken (CDU) drängt sich ein weiterer Aspekt auf: Klarheit zu schaffen, inwieweit bei der Digitalisierung auch ein stärkerer Fokus auf EU-Lösungen gelegt werden soll. Erst im Juni hatte die EU-Kommission beschlossen, dass chinesische Anbieter von Medizinprodukten bei öffentlichen Aufträgen oberhalb von 5 Millionen Euro Beschaffungswert ausgeschlossen werden – einer reziproken Entscheidung, nachdem China seinen Markt strategisch abgeschottet hat. Derartige Maßnahmen wären im Zuge weiterer Handelsauseinandersetzungen durchaus denkbar – in alle Himmelsrichtungen.

Nur was das für die Verfügbarkeiten im deutschen Gesundheitssystem bedeutet, ist derweil unklar. Dass Teilausfälle der Telematikinfrastruktur für E-Rezept und Elektronische Patientenakte zeitlich fast deckungsgleich mit dem Amazon-Ausfall zu verzeichnen waren, könnte dafür ein Warnschuss sein.

(mack)

Die Abhängigkeit von einzelnen Tech-Anbietern und proprietären IT-Infrastrukturen rückt zunehmend ins Zentrum strategischer IT-Planung. Öffentliche Organisationen und Unternehmen müssen sich heute in einem komplexen Geflecht aus selbst entwickelten Anwendungen, zugekauften SaaS-Lösungen und grenzüberschreitenden Datenflüssen zurechtfinden. Entscheidend ist dabei, langfristig die digitale Souveränität zu sichern – sprich, die volle Handlungsfähigkeit über die eigene IT zu bewahren. Doch wie lässt sich der Weg dorthin strukturiert gestalten?

Schritt 1: Stakeholder einbinden und konkreten Souveränitätsbedarf identifizieren

Digital souverän zu werden ist ein Prozess, der – wie die meisten Transformationsvorhaben – mit einem offenen Dialog beginnt. Im ersten Schritt gilt es, mit den wichtigsten Anspruchsgruppen wie Vorstandsmitgliedern, Technologiepartnern und IT-Teams ins Gespräch zu gehen, um ihre Anforderungen, Bedenken und Prioritäten zu verstehen. Auf dieser Grundlage lassen sich gemeinsam der Transformationsprozess gestalten und die zentralen Themen identifizieren.

All diese Stakeholder bringen unterschiedliche Anforderungen und Perspektiven zu wesentlichen Fragen ein: Wo sollen sensible Daten liegen? Wer darf darauf zugreifen? Und wie lässt sich eine technologische Abhängigkeit von einzelnen Anbietern vermeiden? Antworten auf diese Fragen geben nicht nur Einblicke in die jeweiligen Bedürfnisse, sondern auch die möglichen Risiken. So bilden diese Gespräche die Grundlage für tragfähige Entscheidungen in den drei zentralen Handlungsfeldern: Daten, Betrieb und Technologie.

Schritt 2: Regulatorische Veränderungen beobachten

Nachdem die internen Bedürfnisse, Risiken und Prioritäten ermittelt wurden, gilt es im nächsten Schritt, auch die äußeren Rahmenbedingungen ins Visier zu nehmen. Datenschutz, Datenlokalisierung und Kontrollmechanismen rücken weltweit zunehmend in den Fokus staatlicher Regulierung. Programme wie FedRAMP in den USA, das neuseeländische Informationssicherheits-Manual (NZISM) oder Chinas Strategie zur technologischen Eigenständigkeit sind nur einige Beispiele für nationale Regelwerke, die digitale Souveränität auf sehr unterschiedliche Weise definieren.

Auch innerhalb der EU existiert ein komplexes Zusammenspiel aus europaweiten Vorgaben, wie die DSGVO, die NIS2-Richtlinie und die DORA-Verordnung. Hinzu kommen nationale Initiativen wie Frankreichs SecNumCloud oder Deutschlands Cloud Computing Compliance Criteria Catalogue (C5). Diese Regelwerke verfolgen zwei zentrale Ziele: europäische Daten zu schützen und die Unabhängigkeit von außereuropäischen Anbietern in strategischen Bereichen wie Verteidigung, Finanzwesen oder Gesundheit zu sichern.

Für Organisationen bedeutet das, regulatorische Entwicklungen stets im Blick zu behalten und ihre Strategien entsprechend anzupassen. Offizielle Quellen wie EUR-Lex oder Informationsangebote der EU-Kommission helfen, den Überblick zu bewahren.

Schritt 3: Ökosystem und Software-Lieferkette kartieren

Ein wesentlicher Baustein auf dem Weg zur digitalen Souveränität ist ein genaues Verständnis der gesamten Software-Lieferkette sowie ihre lückenlose Dokumentation. Ein hilfreiches Werkzeug dafür ist eine Software Bill of Materials (SBOM). Sie wird besonders für kritische Anwendungen eingesetzt und basiert auf anerkannten Standards wie SPDX oder CycloneDX. So macht es eine SBOM möglich, sämtliche Softwarekomponenten, deren Herkunft sowie bestehende Abhängigkeiten systematisch zu erfassen.

Besondere Aufmerksamkeit sollten dabei Anwendungen erhalten, die hochsensible Daten verarbeiten, darunter personenbezogene Informationen, Finanzdaten oder Daten, die unter die Definition kritischer Infrastrukturen fallen. Solche Anwendungen unterliegen in der Regel besonders strenger behördlicher Überwachung und Compliance-Anforderungen.

Schritt 4: Workloads nach Souveränitätsrisiko klassifizieren

Neben besonders sensiblen Anwendungen gilt es, alle alltäglichen Workloads zu erfassen und zu bewerten. Ein wichtiger Schritt ist es, jene Workloads zu identifizieren, bei denen Organisationen ihre Daten zwingend auf eigenen Servern oder in vollständig isolierten, netzwerkabgeschotteten Umgebungen verarbeiten müssen. Technische Maßnahmen können hier den entscheidenden Unterschied machen, etwa ein Open-Source-Stack mit Kubernetes-Orchestrierung, Air-Gap-Fähigkeiten und eigenem Paketmanagement.

Für stark regulierte Umgebungen empfiehlt es sich zudem, auf die Absicherung der Software-Lieferkette zu achten, etwa durch Zertifizierungen nach Common Criteria EAL 4+ oder anerkannten Sicherheitsstandards wie SLSA. Diese Maßnahmen tragen dazu bei, die Integrität der gesamten Anwendung vom Entwicklungs- bis zum Deployment-Prozess nachweislich zu gewährleisten.

Schritt 5: Souveräne Architektur implementieren

Sind die Anwendungen kartiert und bewertet, richtet sich der Blick auf die Architektur als Ganzes. Sie sollte auf offenen Standards basieren, klare Schnittstellen bieten und mit unterschiedlichen Systemen zusammenarbeiten können. Diese Offenheit schafft Wahlfreiheit, verringert Abhängigkeiten von einzelnen Anbietern und erleichtert die Integration neuer Komponenten.

Die Architektur muss zudem fest in der Organisation verankert sein. Das gelingt, wenn Verantwortlichkeiten eindeutig geregelt und Arbeitsabläufe klar strukturiert sind.

Schritt 6: Technologie-Stack konsequent auf Open Source ausrichten

Der Technologie-Stack bildet das Rückgrat einer souveränen Architektur. Ein konsequenter Einsatz quelloffener Technologien schafft die nötige Transparenz und Kontrolle, um langfristig technologische Abhängigkeiten zu vermeiden. Offener Quellcode erlaubt es, Sicherheitsprüfungen unabhängig durchzuführen, Schwachstellen schnell zu beheben und Funktionen flexibel an die eigenen Anforderungen anzupassen.

Standardisierte Schnittstellen und offene Formate sichern die Interoperabilität zwischen unterschiedlichen Systemen und erleichtern den Austausch einzelner Komponenten. So lassen sich neue Technologien einbinden, ohne den Betrieb bestehender Systeme zu gefährden. Open Source bietet zudem die Möglichkeit, auf ein breites Ökosystem von Tools und Communities zuzugreifen.

Schritt 7: Business Continuity planen

Zusätzlich zu einem robusten Technologie-Stack sollten Organisationen auch für den Ernstfall vorsorgen und ihre Business Continuity planen. Die Business-Continuity-Planung konzentriert sich darauf, Risikomanagementverfahren festzulegen, um Unterbrechungen geschäftskritischer Dienste zu verhindern und die volle Funktionsfähigkeit mit so wenig Ausfallzeit wie möglich wiederherzustellen.

Ein Business-Continuity-Plan sollte dabei festlegen, wie Systeme reagieren, wenn zentrale Anbieter ausfallen – etwa durch Sanktionen oder den Verlust von Kontrollsystemen außerhalb der EU. Wichtig ist, kritische Workloads so abzusichern, dass sie bei Ausfällen schnell auf andere Standorte umziehen können. Geo-Clustering, also die verteilte Replikation über mehrere geografisch getrennte Rechenzentren, kann beispielsweise das Risiko regionaler Störungen minimieren und so geschäftskritische Prozesse am Laufen halten.

Schritt 8: Digitale Souveränität als Kernprinzip der IT-Strategie verankern

Ein Business-Continuity-Plan sichert den Betrieb im Ernstfall. Damit digitale Souveränität jedoch langfristig Bestand hat, muss sie fester Bestandteil der IT-Strategie werden. Organisationen sollten sie nicht als einmalige Maßnahme sehen, sondern als Grundprinzip, das alle IT-Prozesse durchzieht.

Dazu gehört es, Systeme und Umgebungen regelmäßig zu überprüfen, Risiken frühzeitig zu erkennen und bei Bedarf Anpassungen vorzunehmen. Relevante Stakeholder sollten fortlaufend eingebunden werden, während regulatorische Änderungen und technologische Entwicklungen im Blick bleiben. So wird digitale Souveränität zu einem Grundprinzip, das Organisationen dauerhaft handlungsfähig, resilient und unabhängig macht.

Im Kern geht es bei digitaler Souveränität um das Zusammenspiel von Daten, Betrieb und Technologie. Die acht Schritte machen deutlich: Wer die wachsende Abhängigkeit von externen IT-Anbietern erkennt und adressiert, schafft die Basis für langfristige Handlungsfähigkeit. Digitale Souveränität funktioniert dabei nicht als einmaliges Projekt, sondern als kontinuierlicher Prozess und fest verankertes Grundprinzip. Wird sie konsequent in Strukturen, Prozesse und die Unternehmenskultur integriert, schafft sie eine zukunftsfähige, sichere und unabhängige IT.

(fo)

Bethesda feiert den zehnten Geburtstag von „Fallout 4“ mit einer Anniversary Edition. Wie bei „The Elder Scrolls 4: Skyrim“ umfasst das Paket alle Updates und DLCs. Neu sind lediglich einige von der Community entwickelte Mods, die in Bethesdas Bezahl-Store für Mods namens Creation Club angeboten werden.

Zudem bringt Bethesda die Anniversary Edition von „Fallout 4“ auf die Switch 2 – die erste Switch-Ausgabe des Rollenspiels. Während die Anniversary Edition bereits am 10. November für PC, Xbox Series X/S, Xbox One, Playstation 5 und Playstation 4 erscheint, soll die Switch-2-Variante erst im kommenden Jahr auf den Markt kommen.

Mod-Spaltung möglich

Für langjährige „Fallout 4“-Spieler dürfte der Release der Anniversary Edition eher ein Ärgernis als ein Grund zur Freude sein: Die Erfahrung von „The Elder Scrolls 4: Skyrim“ zeigt, dass der Release zumindest anfänglich zu einer Spaltung der Modding-Community führen könnte. Es ist denkbar, dass bestimmte Mods nicht mehr funktionieren werden, wenn man auf die neue Version umsteigt.

Bei „Skyrim“ wurden bestehende Nutzer nicht automatisch auf die Anniversary Edition umgestellt, sondern mussten für das Upgrade 20 Euro zahlen. Es ist wahrscheinlich, dass Bethesda bei „Fallout 4“ einen ähnlichen Weg geht. Wer jahrelang seine Modlist kuratiert und ausgefeilt hat, sollte darauf bei „Fallout 4“ zumindest anfänglich verzichten.

Zweifelhafte Neuerungen

Die Neuerungen der Anniversary Editions von Bethesda sind ohnehin sehr zweifelhaft: Bei der Anniversary Edition von „Skyrim“ implementierte Bethesda Dutzende Community-Mods und legte dabei offenbar kein besonders kritisches Augenmaß an den Tag – viele Mods passten nicht unbedingt zur Stimmung und zum Stil des Rollenspiels. Auch qualitativ konnten manche der implementierten Mods nicht mit der Qualität des Hauptspiels oder vieler frei zugänglicher Mods mithalten.

Das könnte sich auch bei der Anniversary Edition von „Fallout 4“ anbahnen: So bietet ein neuer Mod etwa die Möglichkeit, die Rasse des Hundebegleiters Dogmeat zu ändern – beispielsweise in einen Dalmatiner. Neu ist auch die Möglichkeit, die Power Armor und den Pip-Boy in pinker Farbe zu bekommen.

Der Release der Anniversary Edition von „Fallout 4“ fällt wenige Wochen vor die Veröffentlichung der zweiten Staffel von Amazons Prime-Serie „Fallout“. Schon den Release der ersten Staffel hatte Bethesda mit einem Spiel-Upgrade gefeiert – damals wurde die Grafik von „Fallout 4“ aufpoliert.

(dahe)