IT Security

Unter IT Security (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die Fähigkeit von IT-Systemen (und den zugehörigen Organisationen), die Vertraulichkeit, Verfügbarkeit und Integrität (von Systemen und Daten) zu gewährleisten.

Inhalt

Diese Seite verschafft einen Überblick und verlinkt auf relevante Fachartikel zu den Themen:

Ziele der IT Security
Regulatorische Anforderungen an die IT Security
Hilfestellung bei der Umsetzung
Unterstützung

1. Ziele der IT-Security

Mit dem Akronym CIA lassen sich die Ziele der IT-Security einfach merken:

Confidentiality: Vertraulichkeit von z. B. personenbezogenen Daten
Integrity: Die Unverfälschtheit von Daten und Systemen
Availability: Die Verfügbarkeit von Daten und Systemen

Manchmal ergänzt man diese Liste noch um weitere Ziele:

Accountability: Die Fähigkeit, Tätigkeiten wie die Veränderung von Daten und Systemen einer Person zuzuordnen
Authenticity: Die Echtheit und Vertrauenswürdigkeit von Daten und Systemen

Im Gesundheitswesen spielt die Safety eine besonders große Rolle. Deren Ziel besteht darin, (körperliche) Schäden von Patienten, Anwendern und Dritten zu vermeiden.

Hinweis

Im Deutschen übersetzt man sowohl Security als auch Safety mit „Sicherheit“, was irreführend sein kann.

2. Regulatorische Anforderungen an die IT Security

Weiterführende Informationen

Beachten Sie den Beitrag zur IT-Sicherheit im Gesundheitswesen, der auf die speziellen Herausforderungen und regulatorischen Anforderungen an die IT-Sicherheit im Gesundheitswesen bzw. in der Medizintechnik eingeht.

In Europa sind u. a. die folgenden Gesetze zu beachten:

EU-Medizinprodukteverordnungen MDR und IVDR
EU Datenschutzgrundverordnung DSGVO
Digitale-Versorgung-Gesetz (DVG) und die DiGAV

Außerdem steht die Norm IEC 81001-5-1 kurz vor ihrer Harmonisierung.

In den USA sind beispielsweise relevant:

Cybersecurity Guidance-Dokumente der FDA
HIPAA
Health Breach Notification Rule
Vorschriften der Federal Trade Commission FTC

Ein weiterer Artikel betrachtet die Security Patches aus regulatorischer Sicht.

3. Hilfestellung bei der Umsetzung

a) Leitfäden

Der Leitfaden des Johner Instituts zur IT Security dient Herstellern als Checkliste. Die Anforderungen lassen sich gut prüfen, weil sie gemäß dem Software-Lebenszyklus organisiert und als binär beantwortbare Kriterien formuliert sind.

b) Normen

Viele Normen haben den Anspruch, Best Practices zu formulieren. Diese sollten Hersteller berücksichtigen, um die IT Security nach dem Stand der Technik zu gewährleisten.

IEC 81001-5-1: Die harmonisierte Norm für sichere Health Software
ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten
IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?
ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?
IEC 62443-4-1: IT-Sicherheit als Teil des Produktlebenszyklus
UL 2900 – Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten

c) Methoden

Die Normen referenzieren Methoden, die zur Stärkung der IT-Sicherheit beitragen. Diese werden in den folgenden Artikel vorgestellt:

Threat Modeling – eine Einführung
Bewertung von Schwachstellen mit dem Common Vulnerability Scoring System (CVSS)
Anonymisierung und Pseudonymisierung von Daten
Fuzz Testing: IT-Sicherheit von Produkten bewerten

d) Spezifische Kontexte

Weitere Artikel adressieren bestimmte technische und organisatorische Kontexte:

Risikomanagement im Krankenhaus und bei anderen Betreibern
IT-Netzwerke: Besonderheiten bei Krankenhäusern auswählen
Medical Cloud: Cloud Computing im Gesundheitswesen
Internet der Dinge (IoT) im Gesundheitswesen

4. Unterstützung

Haben Sie noch Fragen, beispielsweise zur IT-Sicherheit? Dann nutzen Sie das kostenfreie Micro-Consulting.

Das Johner Institut unterstützt Sie gerne, damit Sie die IT Security Ihrer Produkte und Organisation gewährleisten und unnötigen Ärger zu vermeiden:

Das Seminar IT Security verschafft einen soliden Einstieg speziell für Medizinproduktehersteller.
Die Security-Expert:innen helfen beim Gestalten sicherer Medizinprodukte, u. a. beim Threat Modeling und beim Risikomanagement.
Unsere Expert:innen prüfen die IT-Sicherheit, z. B. durch Penetrations- und Fuzz-Tests.
Unsere Expert:innen prüfen die Nachweise der IT-Sicherheit in technischen Dokumentationen und Zulassungsakten auf Vollständigkeit und Gesetzeskonformität. Das erspart unnötige Verzögerungen bei Zulassungen.

Melden Sie sich gerne! Das Team des Johner Instituts freut sich, helfen zu dürfen!

Dritte Ausgabe der ISO 14971 – Was sich ändert

Von Christian Rosenzweig 24. Februar 2021 13 Kommentare

Die dritte Ausgabe der ISO 14971 steht seit Dezember 2019 bereit. Die neue Version der ISO 14971 wurde als ISO 14971:2019 publiziert. Sie ist eine evolutionäre Weiterentwicklung der ISO 14971:2007 und bricht nicht mit den bisherigen Konzepten. Hersteller sollten sich mit den neuen und geänderten Anforderungen dieser Norm vertraut machen. Noch im Dezember…

CVSS Common Vulnerability Scoring System

Von Christian Rosenzweig 4. Februar 2021 Kommentar hinterlassen

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen. Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B.…

IEC/TR 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?

Von Christian Rosenzweig 3. Februar 2021 3 Kommentare

Die Normenfamilie IEC 60601 ist eigentlich nur für medizinisch elektrische Geräte anzuwenden. Doch die IEC/TR 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im „Scope“, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device. Erfahren Sie, welche Anforderungen die IEC/TR 60601-4-5 an Hersteller und Betreiber stellt. Diese…

Anonymisierung und Pseudonymisierung

Von Dr. Catharina Bertram 9. Dezember 2020 3 Kommentare

Das Bundesdatenschutzgesetz fordert die Anonymisierung und Pseudonymisierung von personenbezogenen Daten. Was sich hinter den beiden Begriffen verbirgt und wie Sie die gesetzlichen Anforderungen erfüllen, erläutert dieser Artikel. Update: HIPAA Forderungen berücksichtigt

ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?

Von Katrin Schnetter 20. Oktober 2020 2 Kommentare

Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei ISO-13485-Audits immer häufiger zum Thema. Die Regularien geben dazu Anlass. Dazu zählt u.a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller gerückt hat. Hersteller müssen die regulatorischen Anforderungen erfüllen, um Ärger mit Behörden und Benannten Stellen zu vermeiden und um Patienten nicht…

Leitfaden IT-Sicherheit / Guideline IT Security

Von Christian Rosenzweig 6. Dezember 2018 5 Kommentare

Gemeinsam mit dem TÜV SÜD, dem TÜV Nord und mit Unterstützung von Dr. Heidenreich (Siemens) hat das Johner Institut am 21.11. einen Leitfaden zur IT-Sicherheit speziell für Medizinproduktehersteller veröffentlicht.

IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus

Von Christian Rosenzweig 6. November 2018 9 Kommentare

Die IEC 62443-4-1 ist Teil einer Normenfamilie zur „IT-Sicherheit für industrielle Automatisierungssysteme“. Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm für Hersteller von Medizinprodukten sinnvoll anwendbar ist.

EU Datenschutzgrundverordnung DSGVO

Von Astrid Schulze 4. Juni 2018 10 Kommentare

Die EU Datenschutzgrundverordnung (DSGVO) – auf englisch „General Data Protection Regulation“ (GDPR) – muss spätestens ab dem 25. Mai 2018 eingehalten werden. Viele Firmen, darunter auch Medizinproduktehersteller und Betreiber wie Krankenhäuser, sind darauf nicht ausreichend vorbereitet. Dieser Beitrag verschafft einen Überblick über die wesentlichen Konzepte und Forderungen der Datenschutzgrundverordnung und beleuchtet Aspekte, die für den…

Fuzz-Testing: IT-Sicherheit von Produkten bewerten

Von Christian Rosenzweig 16. Januar 2018 Kommentar hinterlassen

Fuzz-Testing ist eine Methode zur Identifizierung bisher nicht-erkannter Schwachstellen und Sicherheitslücken in Software (stand-alone oder embedded), die die Schnittstellen der Systeme automatisiert mit korrekten oder falschen Werten testet.

Security Patches – aus der regulatorischen Brille betrachtet

Von Christian Rosenzweig 12. Januar 2018 7 Kommentare

Unter einem Security Patch versteht man eine Nachbesserung an einer Software, um eine Sicherheitslücke zu stopfen. Für einen Security Patch gelten teilweise andere regulatorische Anforderungen als an andere Software Updates. Auf was Sie achten müssen, erfahren Sie in diesem Beitrag.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Matomo
Anbieter	Johner Institut
Zweck	Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://www.johner-institut.de/datenschutz/
Cookie Name	_pk_.
Cookie Laufzeit	13 Monate

Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365