IT-Security

Unter IT-Security (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die Fähigkeit von IT-Systemen (und den zugehörigen Organisationen) die Vertraulichkeit, Verfügbarkeit und Integrität (von Systemen und Daten) zu gewährleisten
Weiterführende Informationen

Beachten Sie auch den Beitrag zur IT-Sicherheit im Gesundheitswesen, der auf die speziellen regulatorischen Anforderungen und konkrete Beispiele für die IT im Gesundheitswesen bzw. in der Medizintechnik eingeht.

Ziele der IT-Security

Um sich die Ziele der IT-Security einzuprägen, nutzt man das Akronym CIA:

  • Confidentiality: Vertraulichkeit z.B. von personenbezogenen Daten
  • Integrity: Die Unverfälschtheit von Daten und Systemen
  • Availability: Die Verfügbarkeit von Daten und Systemen

Manchmal ergänzt man diese Liste noch um weitere Ziele:

  • Accountability: Die Fähigkeit, Tätigkeiten wie die Veränderung von Daten und Systemen einer Person zuzuordnen
  • Authenticity: Die Echtheit und Vertrauenswürdigkeit von Daten und Systemen

Im Gesundheitswesen spielt die IT-Security eine besonders große Rolle, weil eine Verletzung zu einem (körperlichen) Schaden von Patienten und ggf. von Anwendern und Dritten führen kann. Damit wäre auch die Safety nicht mehr gewährleistet. Im Deutschen übersetzt man sowohl Security als auch Safety mit „Sicherheit“, was irreführend sein kann.

Aspekte der IT-Sicherheit (IT-Security) Aspekte der IT-Security (IT-Sicherheit) Quelle: Fotalia

Regulatorische Anforderungen an die IT-Security

Zu den branchenneutralen regulatorischen Anforderungen zählen

  • die nationalen und internationalen Datenschutzgesetze sowie
  • nationale Vorschriften wie beispielsweise das BSI-Gesetz.

Weiter gibt es Best-Practices wie der AAMI TIR 57 und die ISO 80001-1.

Weiterführende Informationen

Auf die spezifischen Anforderungen an die IT-Sicherheit im Gesundheitswesen geht ein weiterer Artikel ein.

Umsetzung der IT-Sicherheit

Bei der Umsetzung der IT-Sicherheit empfiehl es sich, zu den oben genannten Schutzzielen („Sachzielen) die dazu notwendigen Grundfunktionen zu identifizieren und in einem weiteren Schritt Maßnahmen („Mechanismen“) abzuleiten, um diese Grundfunktionen zu gewährleisten. Bedauerlicherweise scheitern viel Firma daran, grundlegende und selbstverständliche Maßnahmen umzusetzen [Quelle].

IT-Sicherheit-Semantisches-Modell
Quelle: Prof. Dr. Hartmut Pohl: Taxonomie und Modellbildung in der Informationssicherheit

(Sach)Ziele

Über die Schutzziele haben wir bereits oben geschrieben. Konzeptionell entsprechen sie im Kontext der IT-Security etwa dem, was die ISO 25010 beschreibt. So etwas ließe sich – wenn überhaupt, da zu allgemein – bei den System-Anforderungen subsumieren.

(Grund)Funktionen

Um diese IT-Securitys-Ziele zu erreichen, müssen Systeme bestimmte Funktionen implementieren. Eine Verbindlichkeit und Vertraulichkeit wird ohne eine Authentifizierung nur schwer zu realisieren sein.

Mechanismen

Die Funktionen wiederum bedienen sich wiederum Mechanismen (Maßnahmen, Verfahren, Methoden) wie dem Nutzen von Passworten oder der Kryptographie. Bei Software-Systemen finden sich diese Maßnahmen sowohl auf Ebene der System Requirements Specification (z.B. der Beschreibung eines Login-Dialogs) als auch auf Software-Architektur-Ebene z.B. in Form von Komponenten zur Verschlüsselung.

Das BSI hat einen Grundschutzkatalog veröffentlicht, der sowohl Gefährdungen für die IT-Security als auch Gegenmaßnahmen listet. Zu den Maßnahmen zählen:

  • Infrastruktur z.B. physikalische Absicherung des Rechenzentrums gegen Einbruch, Feuer, Stromausfall usw.
  • Organisation z.B. Regelung von Verantwortlichkeiten, Passwort-Richtlinien, Vergabe und Zurückziehung von Berechtigungen, Verpflichtung zur Datensicherung, Umgang mit Datenträgern
  • Personal z.B. Schulungen, Einweisungen
  • Hardware und Software: Verschlüsselung, Aktualisierung von Software, Einsatz von Firewalls und Antivirus-Software, Berechtigungen von Personen und Diensten, Betrieb von Servern
  • Kommunikation z.B. Netzwerkanbindungen, Regeln für Fernwartung, Verwendung von Protokollen wie HTTPS, IPSEC, physikalische und logische Segmentierung, Umgang mit sozialen Netzwerken
  • Notfallvorsorge

Während dieser Grundschutzkatalog viele einzelne Maßnahmen listet, beschreiben Managementstandards wie das IT-Security Management nach ISO 27001 stärker prozessorale Aspekte.

Beispiele für die Verletzung von IT-Security

Ein weiterer Beitrag nennt Beispiele für die Verletzung der IT-Sicherheit im Gesundheitswesen.

Beeinträchtigung der IT-Sicherheit durch die NSA

Der PRISM-Skandal hat viele überrascht, andere dachten, dass war doch klar, dass uns die Geheimdienste wie die NSA oder der BND ausspionieren. Darüber, wie weit sich diese „Bemühungen“ auch auf den medizinischen Bereich ausdehnen, lässt sich nur spekulieren. Möglichkeiten dazu gibt es aber viele, wie die österreichische Zeitung, der Standard, iHealthbeat und heise.de offensichtlich basierend auf den selben Quellen berichten, einmal des US Departments of Homeland Security und einmal der FDA. Demnach seien viele Geräte sperrangelweit für unbefugte Zugriffe geöffnet. Narkosegeräte ebenso wie Infusionsapparate, Überwachungsmonitore und externe Defibrillatoren. IT-Security geht sicher anders. Auch wenn sich mancher Verschwörungstheoretiker sicher ist, dass Geheimdienste ihre politischen und sonstigen Feinde künftig auf diese Weise „unschädlich machen“ (furchtbarer Euphemismus, ich weiß), so bin ich doch sicher, dass die meisten Schäden noch immer durch den täglichen Leichtsinn entstehen: Das ungeplante oder/und ungeprüfte Hinzufügen oder Ändern von Medizingeräten in IT-Netzwerken, durch schlampige Konfigurationen der Geräte oder die Ignoranz von Gebrauchsanweisungen. Natürlich entschuldigt das eine das andere nicht…


Dienstag 6. November 2018 von Prof. Dr. Christian Johner

Die IEC 62443-4-1 ist Teil einer Normenfamilie zur „IT-Sicherheit für industrielle Automatisierungssysteme“.

Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm für Hersteller von Medizinprodukten sinnvoll anwendbar ist.

IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus | Beitrag lesen »


Dienstag 23. Oktober 2018 von Prof. Dr. Christian Johner

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu drei Guidance Dokumente veröffentlich, die sich an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.
  1. Das FDA Guidance Dokument „Cybersecurity in Medical Devices“ wendet sich an alle Medizinproduktehersteller, der Produkte Software enthalten oder eigenständige Software sind. Der Fokus liegt auf der Entwicklungsphase (Pre-Market).
  2. Das Dokument „Postmarket Management of Cybersecurity in Medical Device“ schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung.
  3. Das Dokument „Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software“ ist lediglich ein FAQ.

Update: Die FDA hat einen Entwurf für ein Update des Pre-Market Cybersecurity Guidance Documents verfasst. Was die FDA darin fordert, finden Sie hier zusammengefasst.
Cybersecurity in Medical Devices: FDA Guidance Dokumente | Beitrag lesen »


Freitag 13. Juli 2018 von Prof. Dr. Christian Johner

Über die IT-Sicherheit im Gesundheitswesen wurde viel geunkt. Seit Februar 2016 wissen wir, dass die IT-Infrastrukturen vieler Kliniken einem einfachen Virenangriff nicht gewachsen sind.

Verschaffen Sie sich in diesem Artikel zur IT-Sicherheit im Gesundheitswesen einen Überblick

Update: Regulatorische Anforderungen ergänzt, Beitrag aktualisiert
IT-Sicherheit im Gesundheitswesen | Beitrag lesen »


Montag 4. Juni 2018 von Prof. Dr. Christian Johner

Die EU Datenschutzgrundverordnung (DSGVO) – auf englisch „General Data Protection Regulation“ (GDPR) – muss spätestens ab dem 25. Mai 2018 eingehalten werden.

Viele Firmen, darunter auch Medizinproduktehersteller und Betreiber wie Krankenhäuser, sind darauf nicht ausreichend vorbereitet.

Dieser Beitrag verschafft einen Überblick über die wesentlichen Konzepte und Forderungen der Datenschutzgrundverordnung und beleuchtet Aspekte, die für den Kontext der Medizinprodukte relevant sind.

EU Datenschutzgrundverordnung DSGVO | Beitrag lesen »


Mittwoch 2. Mai 2018 von Prof. Dr. Christian Johner

Das Risikomanagement im Krankenhaus ist ein vielschichtiges Thema, da verschiedene Stakeholder verschiedene Interessen verfolgen.

Das medizinische Personal versucht Risiken für Patienten zu minimieren, die beispielsweise durch falsches ärztliches Handeln entsteht. Die Geschäftsführung ist daran interessiert, gesetzliche und versicherungsrechtliche Risiken zu beherrschen und gleichzeitig den ökonomischen Erfolg zu sichern. Die IT und Medizintechnik fokussieren auf Risiken, die durch die Technologien entstehen.

Risikomanagement im Krankenhaus und bei anderen Betreibern | Beitrag lesen »


Dienstag 16. Januar 2018 von Prof. Dr. Christian Johner

Fuzz-Testing ist eine Methode zur Identifizierung bisher nicht-erkannter Schwachstellen und Sicherheitslücken in Software (stand-alone oder embedded), die die Schnittstellen der Systeme automatisiert mit korrekten oder falschen Werten testet.

Fuzz-Testing: IT-Sicherheit von Produkten bewerten | Beitrag lesen »


Freitag 12. Januar 2018 von Prof. Dr. Christian Johner

Unter einem Security Patch versteht man eine Nachbesserung an einer Software, um eine Sicherheitslücke zu stopfen. Für einen Security Patch gelten teilweise andere regulatorische Anforderungen als an andere Software Updates. Auf was Sie achten müssen, erfahren Sie in diesem Beitrag.

Security Patches – aus der regulatorischen Brille betrachtet | Beitrag lesen »


Dienstag 9. Januar 2018 von Prof. Dr. Christian Johner

Der UL 2900-2-1 nennt sich „Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems“. Er zählt zur UL-2900-Familie, der Normenfamilie zur IT-Security.

Lesen Sie in diesem Artikel, welche Schwächen der Standard hat und unter welchen Umständen er Ihnen dennoch nützlich sein kann.

UL 2900 – weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten | Beitrag lesen »


Dienstag 5. Dezember 2017 von Prof. Dr. Christian Johner

Medizinproduktehersteller nutzen zunehmend Cloud-Dienste, die wir in diesem Artikel als Medical Cloud bezeichnen.

Erfahren Sie, welche Möglichkeiten Hersteller haben, um Medical Clouds zu nutzen und dennoch die regulatorischen Anforderungen z.B. an den Datenschutz zu erfüllen.

Medical Cloud: Cloud Computing im Gesundheitswesen | Beitrag lesen »


Dienstag 24. Oktober 2017 von Prof. Dr. Christian Johner

Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI.

Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.

AAMI TIR 57: IT-Sicherheit und Risikomanagement | Beitrag lesen »

Seite 1