Unter IT Security (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die Fähigkeit von IT-Systemen (und den zugehörigen Organisationen), die Vertraulichkeit, Verfügbarkeit und Integrität (von Systemen und Daten) zu gewährleisten.

Inhalt

Diese Seite verschafft einen Überblick und verlinkt auf relevante Fachartikel zu den Themen:

  1. Ziele der IT Security
  2. Regulatorische Anforderungen an die IT Security
  3. Hilfestellung bei der Umsetzung
  4. Unterstützung

1. Ziele der IT-Security

Mit dem Akronym CIA lassen sich die Ziele der IT-Security einfach merken:

  • Confidentiality: Vertraulichkeit von z. B. personenbezogenen Daten
  • Integrity: Die Unverfälschtheit von Daten und Systemen
  • Availability: Die Verfügbarkeit von Daten und Systemen

Manchmal ergänzt man diese Liste noch um weitere Ziele:

  • Accountability: Die Fähigkeit, Tätigkeiten wie die Veränderung von Daten und Systemen einer Person zuzuordnen
  • Authenticity: Die Echtheit und Vertrauenswürdigkeit von Daten und Systemen

Im Gesundheitswesen spielt die Safety eine besonders große Rolle. Deren Ziel besteht darin, (körperliche) Schäden von Patienten, Anwendern und Dritten zu vermeiden.

Hinweis

Im Deutschen übersetzt man sowohl Security als auch Safety mit „Sicherheit“, was irreführend sein kann.

2. Regulatorische Anforderungen an die IT Security

Weiterführende Informationen

Beachten Sie den Beitrag zur IT-Sicherheit im Gesundheitswesen, der auf die speziellen Herausforderungen und regulatorischen Anforderungen an die IT-Sicherheit im Gesundheitswesen bzw. in der Medizintechnik eingeht.

In Europa sind u. a. die folgenden Gesetze zu beachten:

  • EU-Medizinprodukteverordnungen MDR und IVDR
  • EU Datenschutzgrundverordnung DSGVO
  • Digitale-Versorgung-Gesetz (DVG) und die DiGAV

Außerdem steht die Norm IEC 81001-5-1 kurz vor ihrer Harmonisierung.

In den USA sind beispielsweise relevant:

Ein weiterer Artikel betrachtet die Security Patches aus regulatorischer Sicht, ein weiterer die Rolle der Software Bill of Materials SBOM.

Hilfreich sind die Überlegungen zur IT Security bei Legacy Devices. und zur Integration eine IT-Sicherheitsmanagementsystems nach ISO 27001 mit dem Qualitätsmanagementssystem.

3. Hilfestellung bei der Umsetzung

a) Leitfäden

Der Leitfaden des Johner Instituts zur IT Security dient Herstellern als Checkliste. Die Anforderungen lassen sich gut prüfen, weil sie gemäß dem Software-Lebenszyklus organisiert und als binär beantwortbare Kriterien formuliert sind.

b) Normen

Viele Normen haben den Anspruch, Best Practices zu formulieren. Diese sollten Hersteller berücksichtigen, um die IT Security nach dem Stand der Technik zu gewährleisten.

  • IEC 81001-5-1: Die harmonisierte Norm für sichere Health Software
  • ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten
  • IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?
  • ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?
  • IEC 62443-4-1: IT-Sicherheit als Teil des Produktlebenszyklus
  • UL 2900 – Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
  • ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten

c) Methoden

Die Normen referenzieren Methoden, die zur Stärkung der IT-Sicherheit beitragen. Diese werden in den folgenden Artikel vorgestellt:

d) Spezifische Kontexte

Weitere Artikel adressieren bestimmte technische und organisatorische Kontexte:

4. Unterstützung

Haben Sie noch Fragen, beispielsweise zur IT-Sicherheit? Dann nutzen Sie das kostenfreie Micro-Consulting.

Das Johner Institut unterstützt Sie gerne, damit Sie die IT Security Ihrer Produkte und Organisation gewährleisten und unnötigen Ärger zu vermeiden:

  • Das Seminar IT Security verschafft einen soliden Einstieg speziell für Medizinproduktehersteller.
  • Die Security-Expert:innen helfen beim Gestalten sicherer Medizinprodukte, u. a. beim Threat Modeling und beim Risikomanagement.
  • Unsere Expert:innen prüfen die IT-Sicherheit, z. B. durch Penetrations- und Fuzz-Tests.
  • Unsere Expert:innen prüfen die Nachweise der IT-Sicherheit in technischen Dokumentationen und Zulassungsakten auf Vollständigkeit und Gesetzeskonformität. Das erspart unnötige Verzögerungen bei Zulassungen.

Melden Sie sich gerne! Das Team des Johner Instituts freut sich, helfen zu dürfen!


CVSS Common Vulnerability Scoring System

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen. Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B.…

Weiterlesen

IEC/TR 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?

Die Normenfamilie IEC 60601 ist eigentlich nur für medizinisch elektrische Geräte anzuwenden. Doch die IEC/TR 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im „Scope“, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device. Erfahren Sie, welche Anforderungen die IEC/TR 60601-4-5 an Hersteller und Betreiber stellt. Diese…

Weiterlesen

EU Datenschutzgrundverordnung DSGVO

Die EU Datenschutzgrundverordnung (DSGVO) – auf englisch „General Data Protection Regulation“ (GDPR) – muss spätestens ab dem 25. Mai 2018 eingehalten werden. Viele Firmen, darunter auch Medizinproduktehersteller und Betreiber wie Krankenhäuser, sind darauf nicht ausreichend vorbereitet. Dieser Beitrag verschafft einen Überblick über die wesentlichen Konzepte und Forderungen der Datenschutzgrundverordnung und beleuchtet Aspekte, die für den…

Weiterlesen