In der Presse hat sich der Wirbel rund um die zahlreichen gezielten Angriffe auf deutsche Krankenhäuser der vergangenen Monate gelegt. Auch um das IT-Sicherheitsgesetz ist es still geworden.
Etwas Aufregung. Ein paar installierte Virenscanner und Firewalls. Ist das nötigste für den Erhalt eines ausreichend hohen IT-Sicherheitsniveaus somit getan und erreicht?
Mitnichten. Doch wie sieht der nächste Schritt in Richtung IT-Sicherheit und Konformität zum IT-Sicherheitsgesetz aus?
Letzte Woche fand die conhIT 2016 in Berlin statt. Neben zahlreichen Produkten und Vorträgen aus der Medizin- und Krankenhaus-IT war eines der zentralen Themen die IT-Sicherheit im Krankenhausumfeld.
Was wurde diskutiert? Welche Lösungen wurden präsentiert? Es folgt ein kurzer Überblick durch die IT-Sicherheitsbrille.
Continue reading „conhIT 2016: Ein Fazit aus IT-Sicherheitsperspektive“
Die jüngste Angriffswelle von Verschlüsselungstrojanern nimmt nicht ab. Wie wir bereits im Februar berichteten sind von der Schadsoftware, die sich in Computersysteme einnistet und diese dann komplett verschlüsselt, nicht nur Privatleute sondern insbesondere Krankenhäuser, Behörden und Unternehmen betroffen.
Der neueste bekannte Fall zwang das Aachener Marienhospital in die Knie.
Continue reading „Ransomware-Angriffswelle schlägt weiter aus“
Zur Steigerung der Cyber-Sicherheit sogenannter „kritischer Infrastrukturen“ (kurz: KRITIS) trat am 25. Juli 2015 das neue IT-Sicherheitsgesetz in Kraft, siehe Bundesamt für Sicherheit in der Informationstechnik und heise.de. Zu den KRITIS-Einrichtungen zählen insbesondere auch Krankenhäuser und Kliniken. Zur Sicherstellung und Bewahrung eines „angemessen hohen“ Sicherheitsniveaus wird von den KRITIS-Einrichtungen und deren Betreibern unter anderem gefordert, dass sie innerhalb der kommenden zwei Jahre das Sicherheitsniveau durch IT-Sicherheitsaudits und -Zertifizierungen nachweisen. Weiterhin müssen die Betreiber die Einhaltung eines hohen Sicherheitsniveaus alle zwei Jahre nachweisen.
Das Anstreben einer IT-Sicherheitszertifizierung ist meist mit hohen finanziellen und organisatorischen Aufwänden verbunden. Der tatsächliche Aufwand und der Nutzen einer Zertifizierung sind dabei stark von dem genutzten Standard abhängig.
Im Nachgang zu den spannenden Diskussionen auf der Bitkom Veranstaltung „Smart Health“ am 18.02.2015 in Köln (Aschermittwoch!) möchte ich kurz die wesentlichen Punkte für die Leser, die leider nicht teilnehmen konnten, kurz zusammenfassen.
Im Mai erschien eine neue Studie der Healthcare Information and Management Systems Society (HIMSS) in Zusammenarbeit mit DELL zum Thema „Nutzeneinschätzung von IT in deutschen Krankenhäusern.
Betrachtet wurde unter anderem die IT-Sicherheit. Hier waren die Befragten (61 Prozent) davon überzeugt, dass die Datensicherheit bereits kurzfristig – innerhalb der nächsten zwölf Monate – eines der zentralen Themen ist und weiter ausgebaut werden muss. Ein weiterer Punkt auf der IT-Agenda ist die elektronische Patientenakte (59 Prozent). Auch hier spielt die Sicherheit eine große Rolle.
Continue reading „Von der Bedeutung der Sicherheit in der Krankenhaus-IT“
Vor rund einem Jahr verfasste ich – betreut durch die Dahamoo – meine Bachelor-Thesis mit dem Titel „IT-Sicherheitskonzept in einer modernen Klinik.“ Dieser Beitrag stellt eine kurze Reflexion über die damalige Arbeit dar.
Im Rahmen der Bachelorarbeit zum Abschluss meines Informatik-Studiums wurde ein Krankenhaus auf Schwachstellen im Bereich der IT und Awareness der Mitarbeiter untersucht.
Continue reading „Bachelorarbeit: IT-Sicherheitskonzept in einer modernen Klinik“
Patientendaten umfassen eine Reihe unterschiedlichster Informationen. Diese gehen von Stammdaten (z.B. Namen, Adressen, etc.) über Finanzdaten, ethnischen und familiären Hintergründen bis hin zu allen medizinischen Informationen. Damit entsteht ein vollständiges Abbild einer Person. Den Wert dieser Informationen haben Angreifer mittlerweile erkannt.
Bereits Ende 2012 berichteten wir in unserem Artikel „IT-Sicherheit in der Telemedizin“ über die Gesetzesgebung in Deutschland, der EU und insbesondere in den USA. Nach vielen neuen Erfahrungen, gesammelt durch verschiedene Projekte im Gesundheitswesen, ziehen wir nun weitere Schlüsse. Ist der Health Insurance Portability and Accountability Act (kurz: HIPAA) relevant für medizinische Einrichtungen in Deutschland?
Sicherheitschecks ganzer Einrichtungen können in der Regel über Monate hinweg gehen. Dabei kann eine der interessantesten Fragen – „Wo stehen wir im Vergleich zu Anderen?“ – häufig gar nicht beantwortet werden! Denn es ist für die Verantwortlichen natürlich sehr wichtig, das aktuelle Sicherheitsniveau möglichst genau einordnen zu können, um eventuell unnötige Maßnahmen gar nicht erst zu planen und umso wichtigere Vorkehrungen rechtzeitig zu treffen.
Continue reading „Vorgestellt: Benchmark via „Hospital Security Architecture““
