IT Security

Unter IT Security (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die Fähigkeit von IT-Systemen (und den zugehörigen Organisationen), die Vertraulichkeit, Verfügbarkeit und Integrität (von Systemen und Daten) zu gewährleisten.

Inhalt

Diese Seite verschafft einen Überblick und verlinkt auf relevante Fachartikel zu den Themen:

Ziele der IT Security
Regulatorische Anforderungen an die IT Security
Hilfestellung bei der Umsetzung
Unterstützung

1. Ziele der IT-Security

Mit dem Akronym CIA lassen sich die Ziele der IT-Security einfach merken:

Confidentiality: Vertraulichkeit von z. B. personenbezogenen Daten
Integrity: Die Unverfälschtheit von Daten und Systemen
Availability: Die Verfügbarkeit von Daten und Systemen

Manchmal ergänzt man diese Liste noch um weitere Ziele:

Accountability: Die Fähigkeit, Tätigkeiten wie die Veränderung von Daten und Systemen einer Person zuzuordnen
Authenticity: Die Echtheit und Vertrauenswürdigkeit von Daten und Systemen

Im Gesundheitswesen spielt die Safety eine besonders große Rolle. Deren Ziel besteht darin, (körperliche) Schäden von Patienten, Anwendern und Dritten zu vermeiden.

Hinweis

Im Deutschen übersetzt man sowohl Security als auch Safety mit „Sicherheit“, was irreführend sein kann.

2. Regulatorische Anforderungen an die IT Security

Weiterführende Informationen

Beachten Sie den Beitrag zur IT-Sicherheit im Gesundheitswesen, der auf die speziellen Herausforderungen und regulatorischen Anforderungen an die IT-Sicherheit im Gesundheitswesen bzw. in der Medizintechnik eingeht.

In Europa sind u. a. die folgenden Gesetze zu beachten:

EU-Medizinprodukteverordnungen MDR und IVDR
EU Datenschutzgrundverordnung DSGVO
Digitale-Versorgung-Gesetz (DVG) und die DiGAV

Außerdem steht die Norm IEC 81001-5-1 kurz vor ihrer Harmonisierung.

In den USA sind beispielsweise relevant:

Cybersecurity Guidance-Dokumente der FDA
HIPAA
Health Breach Notification Rule
Vorschriften der Federal Trade Commission FTC

Ein weiterer Artikel betrachtet die Security Patches aus regulatorischer Sicht, ein weiterer die Rolle der Software Bill of Materials SBOM.

Hilfreich sind die Überlegungen zur IT Security bei Legacy Devices. und zur Integration eine IT-Sicherheitsmanagementsystems nach ISO 27001 mit dem Qualitätsmanagementssystem.

3. Hilfestellung bei der Umsetzung

a) Leitfäden

Der Leitfaden des Johner Instituts zur IT Security dient Herstellern als Checkliste. Die Anforderungen lassen sich gut prüfen, weil sie gemäß dem Software-Lebenszyklus organisiert und als binär beantwortbare Kriterien formuliert sind.

b) Normen

Viele Normen haben den Anspruch, Best Practices zu formulieren. Diese sollten Hersteller berücksichtigen, um die IT Security nach dem Stand der Technik zu gewährleisten.

IEC 81001-5-1: Die harmonisierte Norm für sichere Health Software
ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten
IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?
ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?
IEC 62443-4-1: IT-Sicherheit als Teil des Produktlebenszyklus
UL 2900 – Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten

c) Methoden

Die Normen referenzieren Methoden, die zur Stärkung der IT-Sicherheit beitragen. Diese werden in den folgenden Artikel vorgestellt:

Threat Modeling – eine Einführung
Bewertung von Schwachstellen mit dem Common Vulnerability Scoring System (CVSS)
Anonymisierung und Pseudonymisierung von Daten
Fuzz Testing: IT-Sicherheit von Produkten bewerten

d) Spezifische Kontexte

Weitere Artikel adressieren bestimmte technische und organisatorische Kontexte:

Risikomanagement im Krankenhaus und bei anderen Betreibern
IT-Netzwerke: Besonderheiten bei Krankenhäusern auswählen
Medical Cloud: Cloud Computing im Gesundheitswesen
Internet der Dinge (IoT) im Gesundheitswesen

4. Unterstützung

Haben Sie noch Fragen, beispielsweise zur IT-Sicherheit? Dann nutzen Sie das kostenfreie Micro-Consulting.

Das Johner Institut unterstützt Sie gerne, damit Sie die IT Security Ihrer Produkte und Organisation gewährleisten und unnötigen Ärger zu vermeiden:

Das Seminar IT Security verschafft einen soliden Einstieg speziell für Medizinproduktehersteller.
Die Security-Expert:innen helfen beim Gestalten sicherer Medizinprodukte, u. a. beim Threat Modeling und beim Risikomanagement.
Unsere Expert:innen prüfen die IT-Sicherheit, z. B. durch Penetrations- und Fuzz-Tests.
Unsere Expert:innen prüfen die Nachweise der IT-Sicherheit in technischen Dokumentationen und Zulassungsakten auf Vollständigkeit und Gesetzeskonformität. Das erspart unnötige Verzögerungen bei Zulassungen.

Melden Sie sich gerne! Das Team des Johner Instituts freut sich, helfen zu dürfen!

NIS-2 zur Cybersecurity: Wahrscheinlich betrifft es Sie!

Von Katrin Schnetter 5. November 2024 4 Kommentare

Die NIS-2 (Network and Information Security) Richtline ist eine europäische Richtlinie (Directive (EU) 2022/2555), die innerhalb der EU die Mindeststandards für die Cybersecurity festlegt. Betrifft diese Richtlinie auch IVD- und Medizinproduktehersteller? Falls ja, was verlangt sie und was sollten die Hersteller tun? Antworten gibt Ihnen dieser Fachartikel.

ISO 27001: Informationssicherheitsmanagement für alle Medizinproduktehersteller?

Von Katrin Schnetter 23. Mai 2024 2 Kommentare

Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei Medizinprodukteherstellern immer häufiger zum Thema. Die Regularien geben dazu Anlass. Dazu zählt u. a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller gerückt hat. Hersteller müssen die regulatorischen Anforderungen erfüllen, um Ärger mit Behörden und Benannten Stellen zu vermeiden und um Patienten…

Medical Cloud und Cloud-Computing im Gesundheitswesen

Von Prof. Dr. Christian Johner 4. April 2024 5 Kommentare

Medizinprodukte- und IVD-Hersteller verwenden zunehmend Cloud-Dienste: Erfahren Sie, welche Möglichkeiten Hersteller haben, um Cloud-Dienste wie Medical Clouds zu nutzen und dennoch die regulatorischen Anforderungen an z. B. den Datenschutz zu erfüllen.

Risikomanagement im Krankenhaus und bei anderen Betreibern

Von Christian Rosenzweig 26. März 2024 4 Kommentare

Gesetze fordern das Risikomanagement im Krankenhaus, vor allem, um die Patientensicherheit zu verbessern. Dennoch tun sich viele Krankenhäuser damit schwer. Dieser Artikel stellt die wichtigsten regulatorischen Anforderungen vor und gibt Tipps zur Umsetzung.

Die FDA Cybersecurity Guidance Documents

Von Christian Rosenzweig 26. März 2024 4 Kommentare

Die Cybersecurity von Medizinprodukten ist nicht nur ein Schwerpunkt der FDA, sondern auch anderer Gesetzgeber und Behörden, sowohl in den US als auch anderen Märkten. Das ist nachvollziehbar, Die USA hat den „Food, Drug & Cosmetic Act“ (FD&C) um Anforderungen an „Cyber Devices“ ergänzt, und die FDA mehrere Guidance Documents zur Cybersecurity veröffentlicht, die dieser…

IT-Security bei “Legacy Devices”

Von Christian Rosenzweig 28. November 2023 3 Kommentare

Dass Gesetze und Normen die IT-Security auch bei „Legacy Devices“ einfordern, ist verständlich. Die Art, wie diese Anforderungen formuliert werden, führt allerdings oft zu Verwirrung. Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei Legacy Devices, einmal um die IT-Sicherheit von Altprodukten bzw. von Bestandsprodukten…

IEC 81001-5-1: Die Norm für sichere Health-Software

Von Christian Rosenzweig 27. März 2023 24 Kommentare

Die Cybersecurity-Norm IEC 81001-5-1 befasst sich damit, wie IT-Sicherheit im Software-Lebenszyklus berücksichtigt werden muss. Als spezielle Norm für Gesundheitssoftware ergänzt sie unter anderem die IEC 82304-1 bzw. die IEC 62304 und kann Lücken schließen, die dringend geschlossen werden müssen. Die EU plant die Harmonisierung der IEC 81001-5-1 derzeit mit Zieldatum 24. Mai 2024. In diesem Beitrag…

ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten

Von Christian Rosenzweig 13. März 2023 4 Kommentare

ISO 29147 – noch nie gehört? Dabei ist diese Norm gerade für Hersteller von Medizinprodukten sehr hilfreich: Sie sollten sich die ISO 29147 zunutze machen, auch um regulatorische Anforderungen zu erfüllen. Welche Anforderungen das sind und wie Sie die ISO 29147 dabei einbeziehen können, lesen Sie in diesem Beitrag.

HIPAA in a nutshell

Von Prof. Dr. Christian Johner 20. Februar 2023 2 Kommentare

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das Anforderungen an den Umgang mit geschützten Gesundheitsdaten stellt. Institutionen, die in den USA diese Daten erheben oder verarbeiten, sowie deren Unterauftraggeber müssen den HIPAA befolgen, um Sanktionen zu vermeiden. Besonders für europäische Firmen ist der HIPAA ein nur schwer verständliches und kaum…

IT-Sicherheit im Gesundheitswesen

Von Christian Rosenzweig 17. Februar 2023 12 Kommentare

Wie gefährdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher achten die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten. In diesem Artikel erhalten Sie einen Überblick darüber, was die IT-Sicherheit im…

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Matomo
Anbieter	Johner Institut
Zweck	Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://www.johner-institut.de/datenschutz/
Cookie Name	_pk_.
Cookie Laufzeit	13 Monate

Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365