Unter IT Security (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die Fähigkeit von IT-Systemen (und den zugehörigen Organisationen), die Vertraulichkeit, Verfügbarkeit und Integrität (von Systemen und Daten) zu gewährleisten.
Inhalt
Diese Seite verschafft einen Überblick und verlinkt auf relevante Fachartikel zu den Themen:
- Ziele der IT Security
- Regulatorische Anforderungen an die IT Security
- Hilfestellung bei der Umsetzung
- Unterstützung
1. Ziele der IT-Security
Mit dem Akronym CIA lassen sich die Ziele der IT-Security einfach merken:
- Confidentiality: Vertraulichkeit von z. B. personenbezogenen Daten
- Integrity: Die Unverfälschtheit von Daten und Systemen
- Availability: Die Verfügbarkeit von Daten und Systemen
Manchmal ergänzt man diese Liste noch um weitere Ziele:
- Accountability: Die Fähigkeit, Tätigkeiten wie die Veränderung von Daten und Systemen einer Person zuzuordnen
- Authenticity: Die Echtheit und Vertrauenswürdigkeit von Daten und Systemen
Im Gesundheitswesen spielt die Safety eine besonders große Rolle. Deren Ziel besteht darin, (körperliche) Schäden von Patienten, Anwendern und Dritten zu vermeiden.
Hinweis
Im Deutschen übersetzt man sowohl Security als auch Safety mit „Sicherheit“, was irreführend sein kann.
2. Regulatorische Anforderungen an die IT Security
Weiterführende Informationen
Beachten Sie den Beitrag zur IT-Sicherheit im Gesundheitswesen, der auf die speziellen Herausforderungen und regulatorischen Anforderungen an die IT-Sicherheit im Gesundheitswesen bzw. in der Medizintechnik eingeht.
In Europa sind u. a. die folgenden Gesetze zu beachten:
- EU-Medizinprodukteverordnungen MDR und IVDR
- EU Datenschutzgrundverordnung DSGVO
- Digitale-Versorgung-Gesetz (DVG) und die DiGAV
Außerdem steht die Norm IEC 81001-5-1 kurz vor ihrer Harmonisierung.
In den USA sind beispielsweise relevant:
Ein weiterer Artikel betrachtet die Security Patches aus regulatorischer Sicht, ein weiterer die Rolle der Software Bill of Materials SBOM.
Hilfreich sind die Überlegungen zur IT Security bei Legacy Devices. und zur Integration eine IT-Sicherheitsmanagementsystems nach ISO 27001 mit dem Qualitätsmanagementssystem.
3. Hilfestellung bei der Umsetzung
a) Leitfäden
Der Leitfaden des Johner Instituts zur IT Security dient Herstellern als Checkliste. Die Anforderungen lassen sich gut prüfen, weil sie gemäß dem Software-Lebenszyklus organisiert und als binär beantwortbare Kriterien formuliert sind.
b) Normen
Viele Normen haben den Anspruch, Best Practices zu formulieren. Diese sollten Hersteller berücksichtigen, um die IT Security nach dem Stand der Technik zu gewährleisten.
- IEC 81001-5-1: Die harmonisierte Norm für sichere Health Software
- ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten
- IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?
- ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?
- IEC 62443-4-1: IT-Sicherheit als Teil des Produktlebenszyklus
- UL 2900 – Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
- ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten
c) Methoden
Die Normen referenzieren Methoden, die zur Stärkung der IT-Sicherheit beitragen. Diese werden in den folgenden Artikel vorgestellt:
d) Spezifische Kontexte
Weitere Artikel adressieren bestimmte technische und organisatorische Kontexte:
4. Unterstützung
Haben Sie noch Fragen, beispielsweise zur IT-Sicherheit? Dann nutzen Sie das kostenfreie Micro-Consulting.
Das Johner Institut unterstützt Sie gerne, damit Sie die IT Security Ihrer Produkte und Organisation gewährleisten und unnötigen Ärger zu vermeiden:
- Das Seminar IT Security verschafft einen soliden Einstieg speziell für Medizinproduktehersteller.
- Die Security-Expert:innen helfen beim Gestalten sicherer Medizinprodukte, u. a. beim Threat Modeling und beim Risikomanagement.
- Unsere Expert:innen prüfen die IT-Sicherheit, z. B. durch Penetrations- und Fuzz-Tests.
- Unsere Expert:innen prüfen die Nachweise der IT-Sicherheit in technischen Dokumentationen und Zulassungsakten auf Vollständigkeit und Gesetzeskonformität. Das erspart unnötige Verzögerungen bei Zulassungen.
Melden Sie sich gerne! Das Team des Johner Instituts freut sich, helfen zu dürfen!
Der UL 2900-2-1 nennt sich „Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems“. Er zählt zur UL-2900-Familie, der Normenfamilie zur IT-Security. Lesen Sie in diesem Artikel, welche Schwächen der Standard hat und unter welchen Umständen er Ihnen dennoch nützlich sein kann.
Weiterlesen
Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI. Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.
Weiterlesen
Die FDA hat das Guidance Dokument ‚Interoperable Medical Devices‘ am 6. September 2017 veröffentlicht. Die US-Behörde möchte damit der Tatsache Rechnung tragen, dass einerseits die Interoperabilität von Medizinprodukten immer wichtiger für die Gesundheitsversorgung wird. Andererseits führen Probleme mit mangelnder Interoperabilität immer häufiger zu Risiken. Dieser Beitrag verschafft Ihnen einen schnellen Überblick über die Anforderungen der FDA…
Weiterlesen
Beim Internet der Dinge (engl. „Internet of Things“ kurz IoT) geht es um die digitale Vernetzung von physischen Objekten („things“) über das Internet (bzw. Internet-Technologien) mit dem Ziel, Prozesse zu automatisieren und zu optimieren. Von den Chancen, die das Internet der Dinge (IoT) ermöglicht, möchte auch das Gesundheitswesen bzw. die Medizin profitieren. Dabei sind dort…
Weiterlesen
Die ISO/IEC 15408-1 trägt den Titel „Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model“. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie geprüft werden soll, finden sich in dem zweiten und dritten Teil…
Weiterlesen
Die Health Breach Notification Rule legt fest, wann Anbieter von Health Records welche Probleme mit der Datensicherheit an wen, in welcher Frist und in welcher Form melden müssen. Dieser Artikel verschafft Ihnen eine schnelle Übersicht über die Forderung der US-amerikanischen Federal Trace Commission (FTC).
Die Federal Trade Commission (FTC) ist eine US-amerikanische Behörde, deren Zielsetzung in der Wahrung des Wettbewerbsrechts und des Verbraucherschutzes liegt. Unter welchen Umständen Sie auch die Anforderungen der FTC beachten müssen und worin diese Anforderungen bestehen, lesen Sie in diesem Beitrag. Wie radikal die FTC auch bei Herstellern von Medical Apps vorgehen kann, zeigt der Fall Lumosity.
Weiterlesen
IT-Netzwerke in Krankenhäusern unterscheiden sich — auch wenn die verwendeten Produkte und Technologien die gleichen sind — von IT-Netzwerken in anderen Branchen: