IT-Security

Unter IT-Security (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die Fähigkeit von IT-Systemen (und den zugehörigen Organisationen) die Vertraulichkeit, Verfügbarkeit und Integrität (von Systemen und Daten) zu gewährleisten
Weiterführende Informationen

Beachten Sie auch den Beitrag zur IT-Sicherheit im Gesundheitswesen, der auf die speziellen regulatorischen Anforderungen und konkrete Beispiele für die IT im Gesundheitswesen bzw. in der Medizintechnik eingeht.

Ziele der IT-Security

Um sich die Ziele der IT-Security einzuprägen, nutzt man das Akronym CIA:

  • Confidentiality: Vertraulichkeit z.B. von personenbezogenen Daten
  • Integrity: Die Unverfälschtheit von Daten und Systemen
  • Availability: Die Verfügbarkeit von Daten und Systemen

Manchmal ergänzt man diese Liste noch um weitere Ziele:

  • Accountability: Die Fähigkeit, Tätigkeiten wie die Veränderung von Daten und Systemen einer Person zuzuordnen
  • Authenticity: Die Echtheit und Vertrauenswürdigkeit von Daten und Systemen

Im Gesundheitswesen spielt die IT-Security eine besonders große Rolle, weil eine Verletzung zu einem (körperlichen) Schaden von Patienten und ggf. von Anwendern und Dritten führen kann. Damit wäre auch die Safety nicht mehr gewährleistet. Im Deutschen übersetzt man sowohl Security als auch Safety mit „Sicherheit“, was irreführend sein kann.

Aspekte der IT-Sicherheit (IT-Security) Aspekte der IT-Security (IT-Sicherheit) Quelle: Fotalia

Regulatorische Anforderungen an die IT-Security

Zu den branchenneutralen regulatorischen Anforderungen zählen

  • die nationalen und internationalen Datenschutzgesetze sowie
  • nationale Vorschriften wie beispielsweise das BSI-Gesetz.

Weiter gibt es Best-Practices wie der AAMI TIR 57 und die ISO 80001-1.

Weiterführende Informationen

Auf die spezifischen Anforderungen an die IT-Sicherheit im Gesundheitswesen geht ein weiterer Artikel ein.

Umsetzung der IT-Sicherheit

Bei der Umsetzung der IT-Sicherheit empfiehl es sich, zu den oben genannten Schutzzielen („Sachzielen) die dazu notwendigen Grundfunktionen zu identifizieren und in einem weiteren Schritt Maßnahmen („Mechanismen“) abzuleiten, um diese Grundfunktionen zu gewährleisten. Bedauerlicherweise scheitern viel Firma daran, grundlegende und selbstverständliche Maßnahmen umzusetzen [Quelle].

IT-Sicherheit-Semantisches-Modell
Quelle: Prof. Dr. Hartmut Pohl: Taxonomie und Modellbildung in der Informationssicherheit

(Sach)Ziele

Über die Schutzziele haben wir bereits oben geschrieben. Konzeptionell entsprechen sie im Kontext der IT-Security etwa dem, was die ISO 25010 beschreibt. So etwas ließe sich – wenn überhaupt, da zu allgemein – bei den System-Anforderungen subsumieren.

(Grund)Funktionen

Um diese IT-Securitys-Ziele zu erreichen, müssen Systeme bestimmte Funktionen implementieren. Eine Verbindlichkeit und Vertraulichkeit wird ohne eine Authentifizierung nur schwer zu realisieren sein.

Mechanismen

Die Funktionen wiederum bedienen sich wiederum Mechanismen (Maßnahmen, Verfahren, Methoden) wie dem Nutzen von Passworten oder der Kryptographie. Bei Software-Systemen finden sich diese Maßnahmen sowohl auf Ebene der System Requirements Specification (z.B. der Beschreibung eines Login-Dialogs) als auch auf Software-Architektur-Ebene z.B. in Form von Komponenten zur Verschlüsselung.

Das BSI hat einen Grundschutzkatalog veröffentlicht, der sowohl Gefährdungen für die IT-Security als auch Gegenmaßnahmen listet. Zu den Maßnahmen zählen:

  • Infrastruktur z.B. physikalische Absicherung des Rechenzentrums gegen Einbruch, Feuer, Stromausfall usw.
  • Organisation z.B. Regelung von Verantwortlichkeiten, Passwort-Richtlinien, Vergabe und Zurückziehung von Berechtigungen, Verpflichtung zur Datensicherung, Umgang mit Datenträgern
  • Personal z.B. Schulungen, Einweisungen
  • Hardware und Software: Verschlüsselung, Aktualisierung von Software, Einsatz von Firewalls und Antivirus-Software, Berechtigungen von Personen und Diensten, Betrieb von Servern
  • Kommunikation z.B. Netzwerkanbindungen, Regeln für Fernwartung, Verwendung von Protokollen wie HTTPS, IPSEC, physikalische und logische Segmentierung, Umgang mit sozialen Netzwerken
  • Notfallvorsorge

Während dieser Grundschutzkatalog viele einzelne Maßnahmen listet, beschreiben Managementstandards wie das IT-Security Management nach ISO 27001 stärker prozessorale Aspekte.

Beispiele für die Verletzung von IT-Security

Ein weiterer Beitrag nennt Beispiele für die Verletzung der IT-Sicherheit im Gesundheitswesen.

Beeinträchtigung der IT-Sicherheit durch die NSA

Der PRISM-Skandal hat viele überrascht, andere dachten, dass war doch klar, dass uns die Geheimdienste wie die NSA oder der BND ausspionieren. Darüber, wie weit sich diese „Bemühungen“ auch auf den medizinischen Bereich ausdehnen, lässt sich nur spekulieren. Möglichkeiten dazu gibt es aber viele, wie die österreichische Zeitung, der Standard, iHealthbeat und heise.de offensichtlich basierend auf den selben Quellen berichten, einmal des US Departments of Homeland Security und einmal der FDA. Demnach seien viele Geräte sperrangelweit für unbefugte Zugriffe geöffnet. Narkosegeräte ebenso wie Infusionsapparate, Überwachungsmonitore und externe Defibrillatoren. IT-Security geht sicher anders. Auch wenn sich mancher Verschwörungstheoretiker sicher ist, dass Geheimdienste ihre politischen und sonstigen Feinde künftig auf diese Weise „unschädlich machen“ (furchtbarer Euphemismus, ich weiß), so bin ich doch sicher, dass die meisten Schäden noch immer durch den täglichen Leichtsinn entstehen: Das ungeplante oder/und ungeprüfte Hinzufügen oder Ändern von Medizingeräten in IT-Netzwerken, durch schlampige Konfigurationen der Geräte oder die Ignoranz von Gebrauchsanweisungen. Natürlich entschuldigt das eine das andere nicht…


Dienstag 19. November 2019 von Prof. Dr. Christian Johner

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen.

Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich überwachen, um Risiken für Ihre Produkte einschätzen und beherrschen zu können. Das hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.
CVSS Common Vulnerability Scoring System | Beitrag lesen »

Dienstag 8. Oktober 2019 von Prof. Dr. Christian Johner

Immer mehr wird die IT-Sicherheit im Gesundheitswesen gefährdet. Das wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher drängen die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch die Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten.

In diesem Artikel bekommen Sie einen Überblick darüber, was die IT-Sicherheit im Gesundheitswesen gefährdet und was Sie dagegen tun können und müssen.

Damit wird es Ihnen gelingen, regulatorischen Ärger zu vermeiden und Produkte sicher zu entwickeln und zu betreiben.

IT-Sicherheit im Gesundheitswesen | Beitrag lesen »

Montag 7. Oktober 2019 von Prof. Dr. Christian Johner

Die Normenfamilie IEC 60601 ist eigentlich nur für medizinisch elektrische Geräte anzuwenden. Doch die IEC 60601-4-5 bildet eine Ausnahme: Diese Norm zur IT-Sicherheit hat alle Medizinprodukte im „Scope“, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device.

Erfahren Sie, welche Anforderungen die IEC 60601-4-5 an Hersteller und Betreiber stellt. Diese Norm gibt Ihnen z.B. konkrete Hinweise, welche Maßnahmen zur Verbesserung der IT-Sicherheit Sie umsetzen müssen und von welchen Faktoren diese Verpflichtung abhängt.

Damit will Ihnen die Norm helfen,

  • sichere Produkte zu entwickeln,
  • gleichzeitig unnötige Aufwände zu vermeiden und
  • die Chancen zu erhöhen, Probleme bei der Zulassung Ihres Produkts zu vermeiden.
IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für standalone Software? | Beitrag lesen »

Dienstag 7. Mai 2019 von Prof. Dr. Christian Johner

Die dritte Ausgabe der ISO 14971, steht als Entwurf (FDIS) bereit.

Die neue Version der ISO 14971 wird wahrscheinlich als ISO 14971:2019 publiziert. Sie ist eine evolutionäre Weiterentwicklung der ISO 14971:2007 und bricht nicht mit den bisherigen Konzepten.

Dennoch sollten sich Hersteller mit den neuen und geänderten Anforderungen dieser Norm vertraut machen.

Dritte Ausgabe der ISO 14971 – Was sich ändert | Beitrag lesen »

Dienstag 6. November 2018 von Prof. Dr. Christian Johner

Die IEC 62443-4-1 ist Teil einer Normenfamilie zur „IT-Sicherheit für industrielle Automatisierungssysteme“.

Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm für Hersteller von Medizinprodukten sinnvoll anwendbar ist.

IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus | Beitrag lesen »


Dienstag 23. Oktober 2018 von Prof. Dr. Christian Johner

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu drei Guidance Dokumente veröffentlich, die sich an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.
  1. Das FDA Guidance Dokument „Cybersecurity in Medical Devices“ wendet sich an alle Medizinproduktehersteller, der Produkte Software enthalten oder eigenständige Software sind. Der Fokus liegt auf der Entwicklungsphase (Pre-Market).
  2. Das Dokument „Postmarket Management of Cybersecurity in Medical Device“ schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung.
  3. Das Dokument „Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software“ ist lediglich ein FAQ.

Update: Die FDA hat einen Entwurf für ein Update des Pre-Market Cybersecurity Guidance Documents verfasst. Was die FDA darin fordert, finden Sie hier zusammengefasst.
Cybersecurity in Medical Devices: FDA Guidance Dokumente | Beitrag lesen »


Montag 4. Juni 2018 von Prof. Dr. Christian Johner

Die EU Datenschutzgrundverordnung (DSGVO) – auf englisch „General Data Protection Regulation“ (GDPR) – muss spätestens ab dem 25. Mai 2018 eingehalten werden.

Viele Firmen, darunter auch Medizinproduktehersteller und Betreiber wie Krankenhäuser, sind darauf nicht ausreichend vorbereitet.

Dieser Beitrag verschafft einen Überblick über die wesentlichen Konzepte und Forderungen der Datenschutzgrundverordnung und beleuchtet Aspekte, die für den Kontext der Medizinprodukte relevant sind.

EU Datenschutzgrundverordnung DSGVO | Beitrag lesen »


Mittwoch 2. Mai 2018 von Prof. Dr. Christian Johner

Das Risikomanagement im Krankenhaus ist ein vielschichtiges Thema, da verschiedene Stakeholder verschiedene Interessen verfolgen.

Das medizinische Personal versucht Risiken für Patienten zu minimieren, die beispielsweise durch falsches ärztliches Handeln entsteht. Die Geschäftsführung ist daran interessiert, gesetzliche und versicherungsrechtliche Risiken zu beherrschen und gleichzeitig den ökonomischen Erfolg zu sichern. Die IT und Medizintechnik fokussieren auf Risiken, die durch die Technologien entstehen.

Risikomanagement im Krankenhaus und bei anderen Betreibern | Beitrag lesen »


Dienstag 16. Januar 2018 von Prof. Dr. Christian Johner

Fuzz-Testing ist eine Methode zur Identifizierung bisher nicht-erkannter Schwachstellen und Sicherheitslücken in Software (stand-alone oder embedded), die die Schnittstellen der Systeme automatisiert mit korrekten oder falschen Werten testet.

Fuzz-Testing: IT-Sicherheit von Produkten bewerten | Beitrag lesen »


Freitag 12. Januar 2018 von Prof. Dr. Christian Johner

Unter einem Security Patch versteht man eine Nachbesserung an einer Software, um eine Sicherheitslücke zu stopfen. Für einen Security Patch gelten teilweise andere regulatorische Anforderungen als an andere Software Updates. Auf was Sie achten müssen, erfahren Sie in diesem Beitrag.

Security Patches – aus der regulatorischen Brille betrachtet | Beitrag lesen »

Seite 1