{"id":1126,"count":30,"description":"Unter <strong>IT Security<\/strong> (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die F\u00e4higkeit von IT-Systemen (und den zugeh\u00f6rigen Organisationen), die Vertraulichkeit, Verf\u00fcgbarkeit und Integrit\u00e4t (von Systemen und Daten) zu gew\u00e4hrleisten.\r\n<div style=\"clear: both;border: 1px solid grey;background-color: #dddddd;padding: 10px;margin-top: 30px;margin-bottom: 30px\">\r\n\r\n<strong>Inhalt<\/strong>\r\n\r\nDiese Seite verschafft einen \u00dcberblick und verlinkt auf relevante Fachartikel zu den Themen:\r\n<ol>\r\n \t<li>Ziele der IT Security<\/li>\r\n \t<li>Regulatorische Anforderungen an die IT Security<\/li>\r\n \t<li>Hilfestellung bei der Umsetzung<\/li>\r\n \t<li>Unterst\u00fctzung<\/li>\r\n<\/ol>\r\n<\/div>\r\n<h2>1. Ziele der IT-Security<\/h2>\r\nMit dem Akronym CIA lassen sich die Ziele der IT-Security einfach merken:\r\n<ul>\r\n \t<li><strong>Confidentiality<\/strong>: Vertraulichkeit von z. B. personenbezogenen Daten<\/li>\r\n \t<li><strong>Integrity<\/strong>: Die Unverf\u00e4lschtheit von Daten und Systemen<\/li>\r\n \t<li><strong>Availability<\/strong>: Die Verf\u00fcgbarkeit von Daten und Systemen<\/li>\r\n<\/ul>\r\nManchmal erg\u00e4nzt man diese Liste noch um weitere Ziele:\r\n<ul>\r\n \t<li><strong>Accountability<\/strong>: Die F\u00e4higkeit, T\u00e4tigkeiten wie die Ver\u00e4nderung von Daten und Systemen einer Person zuzuordnen<\/li>\r\n \t<li><strong>Authenticity<\/strong>: Die Echtheit und Vertrauensw\u00fcrdigkeit von Daten und Systemen<\/li>\r\n<\/ul>\r\nIm Gesundheitswesen spielt die <strong>Safety<\/strong> eine besonders gro\u00dfe Rolle. Deren Ziel besteht darin, (k\u00f6rperliche) Sch\u00e4den von Patienten, Anwendern und Dritten zu vermeiden.\r\n<div class=\"defbox\">\r\n<div class=\"definition\"><i class=\"fa fa-lightbulb-o\"><\/i> Hinweis<\/div>\r\nIm Deutschen \u00fcbersetzt man sowohl Security als auch Safety mit \u201eSicherheit\u201c, was irref\u00fchrend sein kann.\r\n\r\n<\/div>\r\n<h2>2. Regulatorische Anforderungen an die IT Security<\/h2>\r\n<div class=\"defbox\">\r\n<div class=\"definition\"><i class=\"fa fa-external-link\"><\/i> Weiterf\u00fchrende Informationen<\/div>\r\nBeachten Sie den <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/\">Beitrag zur IT-Sicherheit im Gesundheitswesen<\/a>, der auf die speziellen Herausforderungen und <strong>regulatorischen Anforderungen an die IT-Sicherheit im Gesundheitswesen bzw. in der Medizintechnik<\/strong> eingeht.\r\n\r\n<\/div>\r\nIn Europa sind u. a. die folgenden Gesetze zu beachten:\r\n<ul>\r\n \t<li>EU-Medizinprodukteverordnungen <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/mdr\/\">MDR<\/a> und <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/ivdr-in-vitro-diagnostic-device-regulation\/\">IVDR<\/a><\/li>\r\n \t<li>EU Datenschutzgrundverordnung DSGVO<\/li>\r\n \t<li>Digitale-Versorgung-Gesetz (<a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-versorgung-gesetz-dvg\/\">DVG<\/a>) und die <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-gesundheitsanwendungen-verordnung-digav\/\">DiGAV<\/a><\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\">NIS-2<\/a><\/li>\r\n<\/ul>\r\nAu\u00dferdem steht die Norm <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/\">IEC 81001-5-1<\/a> kurz vor ihrer Harmonisierung. Hilfreich ist auch der <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/leitfaden-it-sicherheit-guideline-it-security\/\">IT-Security-Leitfaden<\/a> des Johner Instituts. Hersteller sollten ggf. auch die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/\">C5-Testate<\/a> vorweisen k\u00f6nnen.\r\n\r\nIn den USA sind beispielsweise relevant:\r\n<ul>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/\">Cybersecurity Guidance-Dokumente der FDA<\/a><\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\">HIPAA<\/a><\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/health-breach-notification-rule\/\">Health Breach Notification Rule<\/a><\/li>\r\n \t<li>Vorschriften der <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/federal-trade-commission\/\">Federal Trade Commission FTC<\/a><\/li>\r\n<\/ul>\r\nEin weiterer Artikel betrachtet die <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/security-patch\/\">Security Patches aus regulatorischer Sicht<\/a>, ein weiterer die Rolle der <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/\">Software Bill of Materials SBOM<\/a>.\r\n\r\nHilfreich sind die \u00dcberlegungen zur <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/\">IT Security bei Legacy Devices<\/a>. und zur Integration eine <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27001\/\">IT-Sicherheitsmanagementsystems nach ISO 27001<\/a> mit dem Qualit\u00e4tsmanagementssystem.\r\n<h2>3. Hilfestellung bei der Umsetzung<\/h2>\r\n<h3>a) Leitf\u00e4den<\/h3>\r\nDer <a href=\"https:\/\/github.com\/johner-institut\/it-security-guideline\/\">Leitfaden des Johner Instituts zur IT Security<\/a> dient Herstellern als Checkliste. Die Anforderungen lassen sich gut pr\u00fcfen, weil sie gem\u00e4\u00df dem Software-Lebenszyklus organisiert und als bin\u00e4r beantwortbare Kriterien formuliert sind.\r\n<h3>b) Normen<\/h3>\r\nViele Normen haben den Anspruch, Best Practices zu formulieren. Diese sollten Hersteller ber\u00fccksichtigen, um die IT Security nach dem Stand der Technik zu gew\u00e4hrleisten.\r\n<ul>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/\">IEC 81001-5-1<\/a>: Die harmonisierte Norm f\u00fcr sichere Health Software<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/\">ISO 29147<\/a>: Wie Hersteller IT-Schwachstellen offenlegen sollten<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/\">IEC 60601-4-5<\/a>: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27001\/\">ISO 27001<\/a>: IT-Sicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\">IEC 62443-4-1<\/a>: IT-Sicherheit als Teil des Produktlebenszyklus<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\">UL 2900<\/a> \u2013 Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/iso-iec-15408\/\">ISO\/IEC 15408<\/a>: IT-Sicherheit von (Medizin-)Produkten bewerten<\/li>\r\n<\/ul>\r\n<h3>c) Methoden<\/h3>\r\nDie Normen referenzieren Methoden, die zur St\u00e4rkung der IT-Sicherheit beitragen. Diese werden in den folgenden Artikel vorgestellt:\r\n<ul>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/threat-modeling\/\">Threat Modeling<\/a> \u2013 eine Einf\u00fchrung<\/li>\r\n \t<li>Bewertung von Schwachstellen mit dem <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\">Common Vulnerability Scoring System (CVSS)<\/a><\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/anonymisierung-und-pseudonymisierung\/\">Anonymisierung und Pseudonymisierung<\/a> von Daten<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fuzz-testing\/\">Fuzz Testing<\/a>: IT-Sicherheit von Produkten bewerten<\/li>\r\n<\/ul>\r\n<h3>d) Spezifische Kontexte<\/h3>\r\nWeitere Artikel adressieren bestimmte technische und organisatorische Kontexte:\r\n<ul>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/risikomanagement-im-krankenhaus-und-bei-anderen-betreibern\/\">Risikomanagement im Krankenhaus<\/a> und bei anderen Betreibern<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/it-netzwerke-risikomanagement\/\">IT-Netzwerke<\/a>: Besonderheiten bei Krankenh\u00e4usern ausw\u00e4hlen<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/cloud-computing-im-gesundheitswesen\/\">Medical Cloud<\/a>: Cloud Computing im Gesundheitswesen<\/li>\r\n \t<li><a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/internet-der-dinge-iot-im-gesundheitswesen\/\">Internet der Dinge<\/a> (IoT) im Gesundheitswesen<\/li>\r\n<\/ul>\r\n<div style=\"clear: both;border: 1px solid grey;background-color: #dddddd;padding: 10px;margin-top: 30px;margin-bottom: 30px\">\r\n<h2>4. Unterst\u00fctzung<\/h2>\r\nHaben Sie noch Fragen, beispielsweise zur IT-Sicherheit? Dann nutzen Sie <a href=\"https:\/\/www.johner-institut.de\/micro-consulting\/\">das kostenfreie Micro-Consulting<\/a>.\r\n\r\nDas Johner Institut unterst\u00fctzt Sie gerne, damit Sie die IT Security Ihrer Produkte und Organisation gew\u00e4hrleisten und unn\u00f6tigen \u00c4rger zu vermeiden:\r\n<ul>\r\n \t<li>Das <a href=\"https:\/\/www.johner-institut.de\/seminare\/weitere-seminare\/it-security\/\">Seminar IT Security<\/a> verschafft einen soliden Einstieg speziell f\u00fcr Medizinproduktehersteller.<\/li>\r\n \t<li>Die Security-Expert:innen helfen beim Gestalten sicherer Medizinprodukte, u. a. beim Threat Modeling und beim Risikomanagement.<\/li>\r\n \t<li>Unsere Expert:innen <a href=\"https:\/\/www.johner-institut.de\/produktpruefung\/it-security-pentesting\/\">pr\u00fcfen die IT-Sicherheit<\/a>, z. B. durch Penetrations- und Fuzz-Tests.<\/li>\r\n \t<li>Unsere Expert:innen pr\u00fcfen die Nachweise der IT-Sicherheit in technischen Dokumentationen und Zulassungsakten auf Vollst\u00e4ndigkeit und Gesetzeskonformit\u00e4t. Das erspart unn\u00f6tige Verz\u00f6gerungen bei Zulassungen.<\/li>\r\n<\/ul>\r\n<a href=\"\/kontakt\/\"><strong>Melden Sie sich gerne<\/strong><\/a>! Das Team des Johner Instituts freut sich, helfen zu d\u00fcrfen!\r\n\r\n<\/div>","link":"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/","name":"IT Security","slug":"it-security","taxonomy":"post_tag","meta":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>IT Security<\/title>\n<meta name=\"description\" content=\"Es gibt viele gesetzliche Anforderungen an die IT Security. Normen, Leitlinien und Praxistipps helfen, diese zu erf\u00fcllen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"IT Security\" \/>\n<meta property=\"og:description\" content=\"Es gibt viele gesetzliche Anforderungen an die IT Security. Normen, Leitlinien und Praxistipps helfen, diese zu erf\u00fcllen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/ji.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"501\" \/>\n\t<meta property=\"og:image:height\" content=\"266\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"CollectionPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/tag\\\/it-security\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/tag\\\/it-security\\\/\",\"name\":\"IT Security\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"description\":\"Es gibt viele gesetzliche Anforderungen an die IT Security. Normen, Leitlinien und Praxistipps helfen, diese zu erf\u00fcllen.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/tag\\\/it-security\\\/#breadcrumb\"},\"inLanguage\":\"de\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/tag\\\/it-security\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"IT Security\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"IT Security","description":"Es gibt viele gesetzliche Anforderungen an die IT Security. Normen, Leitlinien und Praxistipps helfen, diese zu erf\u00fcllen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/","og_locale":"de_DE","og_type":"article","og_title":"IT Security","og_description":"Es gibt viele gesetzliche Anforderungen an die IT Security. Normen, Leitlinien und Praxistipps helfen, diese zu erf\u00fcllen.","og_url":"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","og_image":[{"width":501,"height":266,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/ji.jpg","type":"image\/jpeg"}],"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"CollectionPage","@id":"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/","url":"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/","name":"IT Security","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"description":"Es gibt viele gesetzliche Anforderungen an die IT Security. Normen, Leitlinien und Praxistipps helfen, diese zu erf\u00fcllen.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/#breadcrumb"},"inLanguage":"de"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"IT Security"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]}]}},"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags\/1126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/taxonomies\/post_tag"}],"wp:post_type":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts?tags=1126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}