IT Security

Unter IT Security (auch IT-Sicherheit oder Informationssicherheit genannt) versteht man die Fähigkeit von IT-Systemen (und den zugehörigen Organisationen), die Vertraulichkeit, Verfügbarkeit und Integrität (von Systemen und Daten) zu gewährleisten.

Inhalt

Diese Seite verschafft einen Überblick und verlinkt auf relevante Fachartikel zu den Themen:

Ziele der IT Security
Regulatorische Anforderungen an die IT Security
Hilfestellung bei der Umsetzung
Unterstützung

1. Ziele der IT-Security

Mit dem Akronym CIA lassen sich die Ziele der IT-Security einfach merken:

Confidentiality: Vertraulichkeit von z. B. personenbezogenen Daten
Integrity: Die Unverfälschtheit von Daten und Systemen
Availability: Die Verfügbarkeit von Daten und Systemen

Manchmal ergänzt man diese Liste noch um weitere Ziele:

Accountability: Die Fähigkeit, Tätigkeiten wie die Veränderung von Daten und Systemen einer Person zuzuordnen
Authenticity: Die Echtheit und Vertrauenswürdigkeit von Daten und Systemen

Im Gesundheitswesen spielt die Safety eine besonders große Rolle. Deren Ziel besteht darin, (körperliche) Schäden von Patienten, Anwendern und Dritten zu vermeiden.

Hinweis

Im Deutschen übersetzt man sowohl Security als auch Safety mit „Sicherheit“, was irreführend sein kann.

2. Regulatorische Anforderungen an die IT Security

Weiterführende Informationen

Beachten Sie den Beitrag zur IT-Sicherheit im Gesundheitswesen, der auf die speziellen Herausforderungen und regulatorischen Anforderungen an die IT-Sicherheit im Gesundheitswesen bzw. in der Medizintechnik eingeht.

In Europa sind u. a. die folgenden Gesetze zu beachten:

EU-Medizinprodukteverordnungen MDR und IVDR
EU Datenschutzgrundverordnung DSGVO
Digitale-Versorgung-Gesetz (DVG) und die DiGAV
NIS-2

Außerdem steht die Norm IEC 81001-5-1 kurz vor ihrer Harmonisierung.

In den USA sind beispielsweise relevant:

Cybersecurity Guidance-Dokumente der FDA
HIPAA
Health Breach Notification Rule
Vorschriften der Federal Trade Commission FTC

Ein weiterer Artikel betrachtet die Security Patches aus regulatorischer Sicht, ein weiterer die Rolle der Software Bill of Materials SBOM.

Hilfreich sind die Überlegungen zur IT Security bei Legacy Devices. und zur Integration eine IT-Sicherheitsmanagementsystems nach ISO 27001 mit dem Qualitätsmanagementssystem.

3. Hilfestellung bei der Umsetzung

a) Leitfäden

Der Leitfaden des Johner Instituts zur IT Security dient Herstellern als Checkliste. Die Anforderungen lassen sich gut prüfen, weil sie gemäß dem Software-Lebenszyklus organisiert und als binär beantwortbare Kriterien formuliert sind.

b) Normen

Viele Normen haben den Anspruch, Best Practices zu formulieren. Diese sollten Hersteller berücksichtigen, um die IT Security nach dem Stand der Technik zu gewährleisten.

IEC 81001-5-1: Die harmonisierte Norm für sichere Health Software
ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten
IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?
ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?
IEC 62443-4-1: IT-Sicherheit als Teil des Produktlebenszyklus
UL 2900 – Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten

c) Methoden

Die Normen referenzieren Methoden, die zur Stärkung der IT-Sicherheit beitragen. Diese werden in den folgenden Artikel vorgestellt:

Threat Modeling – eine Einführung
Bewertung von Schwachstellen mit dem Common Vulnerability Scoring System (CVSS)
Anonymisierung und Pseudonymisierung von Daten
Fuzz Testing: IT-Sicherheit von Produkten bewerten

d) Spezifische Kontexte

Weitere Artikel adressieren bestimmte technische und organisatorische Kontexte:

Risikomanagement im Krankenhaus und bei anderen Betreibern
IT-Netzwerke: Besonderheiten bei Krankenhäusern auswählen
Medical Cloud: Cloud Computing im Gesundheitswesen
Internet der Dinge (IoT) im Gesundheitswesen

4. Unterstützung

Haben Sie noch Fragen, beispielsweise zur IT-Sicherheit? Dann nutzen Sie das kostenfreie Micro-Consulting.

Das Johner Institut unterstützt Sie gerne, damit Sie die IT Security Ihrer Produkte und Organisation gewährleisten und unnötigen Ärger zu vermeiden:

Das Seminar IT Security verschafft einen soliden Einstieg speziell für Medizinproduktehersteller.
Die Security-Expert:innen helfen beim Gestalten sicherer Medizinprodukte, u. a. beim Threat Modeling und beim Risikomanagement.
Unsere Expert:innen prüfen die IT-Sicherheit, z. B. durch Penetrations- und Fuzz-Tests.
Unsere Expert:innen prüfen die Nachweise der IT-Sicherheit in technischen Dokumentationen und Zulassungsakten auf Vollständigkeit und Gesetzeskonformität. Das erspart unnötige Verzögerungen bei Zulassungen.

Melden Sie sich gerne! Das Team des Johner Instituts freut sich, helfen zu dürfen!

Fuzz-Testing: IT-Sicherheit von Produkten bewerten

Von Christian Rosenzweig 16. Januar 2018 Kommentar hinterlassen

Fuzz-Testing ist eine Methode zur Identifizierung bisher nicht-erkannter Schwachstellen und Sicherheitslücken in Software (stand-alone oder embedded), die die Schnittstellen der Systeme automatisiert mit korrekten oder falschen Werten testet.

Security Patches – aus der regulatorischen Brille betrachtet

Von Christian Rosenzweig 12. Januar 2018 7 Kommentare

Unter einem Security Patch versteht man eine Nachbesserung an einer Software, um eine Sicherheitslücke zu stopfen. Für einen Security Patch gelten teilweise andere regulatorische Anforderungen als an andere Software Updates. Auf was Sie achten müssen, erfahren Sie in diesem Beitrag.

UL 2900 – weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten

Von Christian Rosenzweig 9. Januar 2018 2 Kommentare

Der UL 2900-2-1 nennt sich „Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems“. Er zählt zur UL-2900-Familie, der Normenfamilie zur IT-Security. Lesen Sie in diesem Artikel, welche Schwächen der Standard hat und unter welchen Umständen er Ihnen dennoch nützlich sein kann.

Details

AAMI TIR 57: IT-Sicherheit und Risikomanagement

Von Christian Rosenzweig 24. Oktober 2017 Kommentar hinterlassen

Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI. Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.

Details

Internet der Dinge (IoT) im Gesundheitswesen

Von Prof. Dr. Christian Johner 12. April 2017 Kommentar hinterlassen

Beim Internet der Dinge (engl. „Internet of Things“ kurz IoT) geht es um die digitale Vernetzung von physischen Objekten („things“) über das Internet (bzw. Internet-Technologien) mit dem Ziel, Prozesse zu automatisieren und zu optimieren. Von den Chancen, die das Internet der Dinge (IoT) ermöglicht, möchte auch das Gesundheitswesen bzw. die Medizin profitieren. Dabei sind dort…

Details

ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten

Von Christian Rosenzweig 15. Dezember 2016 Kommentar hinterlassen

Die ISO/IEC 15408-1 trägt den Titel „Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model“. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie geprüft werden soll, finden sich in dem zweiten und dritten Teil…

Details

FTC Forderungen an Mobile Health Apps, Mobile Medical Apps

Health Breach Notification Rule

Von Prof. Dr. Christian Johner 19. April 2016 Kommentar hinterlassen

Die Health Breach Notification Rule legt fest, wann Anbieter von Health Records welche Probleme mit der Datensicherheit an wen, in welcher Frist und in welcher Form melden müssen. Dieser Artikel verschafft Ihnen eine schnelle Übersicht über die Forderung der US-amerikanischen Federal Trace Commission (FTC).

Federal Trade Commission FTC: Für Medizinproduktehersteller?

Von Prof. Dr. Christian Johner 18. April 2016 Kommentar hinterlassen

Die Federal Trade Commission (FTC) ist eine US-amerikanische Behörde, deren Zielsetzung in der Wahrung des Wettbewerbsrechts und des Verbraucherschutzes liegt. Unter welchen Umständen Sie auch die Anforderungen der FTC beachten müssen und worin diese Anforderungen bestehen, lesen Sie in diesem Beitrag. Wie radikal die FTC auch bei Herstellern von Medical Apps vorgehen kann, zeigt der Fall Lumosity.

Details

IT-Netzwerke: Besonderheiten bei Krankenhäusern

Von Christian Rosenzweig 9. Juni 2015 1 Kommentar

IT-Netzwerke in Krankenhäusern unterscheiden sich — auch wenn die verwendeten Produkte und Technologien die gleichen sind — von IT-Netzwerken in anderen Branchen:

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Matomo
Anbieter	Johner Institut
Zweck	Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://www.johner-institut.de/datenschutz/
Cookie Name	_pk_.
Cookie Laufzeit	13 Monate

Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365