IT-Sicherheit und Datenschutz im Gesundheitswesen - Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1: Einleitung

1.1 Weshalb sollten gerade Sie als Arzt, Apotheker, Laborleiter oder IT-Verantwortlicher dieses Buch lesen?

1.2 Bei welchen Entscheidungen hilft Ihnen dieses Buch?

1.3 Hinweise für den Leser

1.4 Deshalb sollten Sie sich als Arzt mit IT-Sicherheit und Datenschutz auskennen

1.5 Konkrete Beispiele von Hackerangriffen im Gesundheitswesen

1.6 IT-Sicherheit, Compliance und Datenschutz

1.7 Haftungsausschluss/Disclaimer

1.8 Aktualität des Buches

Literatur

2: IT-Sicherheit – Was ist zu tun?

2.1 Die zehn wichtigsten IT-Sicherheitsmaßnahmen

2.1.1 Physische Absicherung der Informatikserver und -räume

2.1.2 Regelmäßige Datensicherung erstellen

2.1.3 Passwörter: sichere Wahl und Umgang

2.1.4 Computersysteme auf aktuellem Stand halten

2.1.5 Verantwortlichkeiten präzise definieren

2.1.6 IT-Konzepte und grundlegende IT-Prozesse definieren/Notfallkonzepte

2.1.7 Nutzerkreise und Netzwerkbereiche präzise definieren

2.1.8 Schulungen und Awareness-Programme durchführen

2.1.9 Schwachstellen von Experten prüfen lassen

2.1.10 IT-Sicherheitswerkzeuge richtig einsetzen

2.2 Die zehn typischen Fehler in einer medizinischen IT – vom Schwesternzimmer bis zum Sekretariat

2.2.1 Unprofessioneller Umgang mit Passwörtern

2.2.1.1 Unsichere Passwörter

2.2.1.2 Passwörter werden an Bildschirm oder Pinnwand angeheftet

2.2.1.3 Gleiche oder ähnliche Passwörter werden für verschiedene Zwecke verwendet

2.2.2 Datenwiederherstellung wird nicht geprüft oder getestet bzw. geübt

2.2.3 Unachtsames Klicken auf an E-Mail anhängende Links

2.2.4 Vorhandene Sicherheitsvorkehrungen werden nicht genutzt oder ignoriert

2.2.5 Der Chef oder die Leitung der Verwaltung interessiert sich nicht für IT-Sicherheit

2.2.6 Kein Anlagenmanagement

2.2.7 Fehlende Schulung und kein Awareness-Programm

2.2.8 Veraltete Betriebssysteme und Programme werden verwendet

2.2.9 Benutzer kann fremde bzw. eigene Software installieren

2.2.10 Man fühlt sich zu sicher

Literatur

3: IT-Sicherheitstechniken und Schutzziele für die medizinische IT

3.1 Allgemeine Informationen und Definitionen

3.2 Möglichkeiten zur Erhöhung der IT-Sicherheit

3.3 IT-Sicherheit für den Computerarbeitsplatz basierend auf Standardtechnik

3.3.1 Benutzerauthentisierung

3.3.2 Rollentrennung

3.3.3 Aktivieren von Autoupdate-Mechanismen

3.3.4 Regelmäßige Datensicherung

3.3.5 Bildschirmsperre

3.3.6 Einsatz von Virenschutzprogrammen

3.3.7 Protokollierung

3.3.8 Nutzung von TLS

3.3.9 Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und -Kameras

3.3.10 Abmelden nach Aufgabenerfüllung

3.4 CIA-Triade

3.4.1 Confidentiality: Vertraulichkeit (Datenschutz)

3.4.1.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten

3.4.2 Integrity: Integrität (Datensicherheit)

3.4.2.1 Integritätsverlust schützenswerter Informationen

3.4.3 Availability: Verfügbarkeit (Datenzugriff)

3.4.4 Zusätzliche Schutzziele und Herausforderungen

3.4.4.1 Authenticity: Authentizität

3.4.4.2 Non repudiation: Nichtabstreitbarkeit

3.4.4.3 IT-Sicherheit, Compliance und EU-DSGVO-konform

3.5 Mit einfachen Schritten zu härteren Systemen („Hardening“)

3.5.1 Schutzmaßnahmen für Windows-PCs

3.5.2 Schutzmaßnahmen für Apple OS X

3.5.3 Schutzmaßnahmen für Mobile Devices

Literatur

4: Einfallspforten für IT-Angreifer in der Medizin

4.1 Einführung in die „IT-Risiko-Anamnese“

4.2 „Feindbild“ und Bedrohungen

4.3 Hacker-Angriffe

4.4 Die Räumlichkeiten und ihre Risikoprofile

4.4.1 Wartezimmer

4.4.2 Behandlungszimmer

4.4.3 Patientenzimmer (im Krankenhaus)

4.4.4 Empfang, Sekretariat und Verwaltung

4.4.5 Häuslicher Arbeitsplatz/Home Office/Mobiler Arbeitsplatz

4.4.6 Gefährdung durch Reinigungs- oder Fremdpersonal

4.4.7 Parkplätze, Lagerräume etc.

4.4.8 Räume der IT

4.5 Standard-IT-Geräte im medizinischen Umfeld

4.5.1 Standard-PC

4.5.2 Tablet und Smartphone

4.5.3 USB-Stick

4.5.4 USB-Geräte

4.5.4.1 USB-Killer (Stick)

4.5.4.2 Tastatur-Logger

4.5.4.3 USB-Stick als USB-Tastatur

4.5.4.4 USB-Netzwerkkarte

4.5.4.5 Malware auf dem USB-Stick

4.5.5 Verkabelter Angriff („Sniffer“)

4.5.6 Radio- oder Funkwellen-Angriff

4.5.7 Manipulierter WLAN-Router

4.5.8 Intelligente Virtuelle Assistenzsysteme

4.6 IT-Zugänge

4.6.1 Kabelgebundene Zugänge

4.6.2 Drahtlose Zugänge

4.6.3 Kommunikationsserver

4.6.4 Remote-Zugang für Service-Zwecke

4.7 Medizingeräte

4.8 Systematisches Vorgehen beim Schützen einer IT im Gesundheitswesen

4.8.1 IT-Grundschutz des BSI

4.8.2 Besondere Absicherungsmaßnahmen im Gesundheitswesen

4.8.3 Anforderungen an Hard- und Software

4.8.4 Wichtige IT-Sicherheitsmaßnahmen

4.8.5 Bring Your Own Device (BYOD)

4.8.6 Security Monitoring in größeren IT-Installationen (SIEM, SOC)

Literatur

5: Medizintechnik und medizinische Geräte als potenzielle Schwachstelle

5.1 Klassifizierung medizinischer Geräte (mit Software oder IT)

5.1.1 Einteilung in Risikoklassen

5.1.2 Klassische Medizinprodukte – Bildgebende Systeme

5.1.3 Lebenserhaltende medizinische Systeme und aktive Systeme

5.2 Einsatzort

5.2.1 Stationäre medizinische Geräte

5.2.2 Mobile medizinische Geräte

5.3 Vernetzung medizinischer Geräte

5.3.1 Stand-alone-Betrieb

5.3.2 Lokal vernetzter Betrieb

5.3.3 Vernetzter Betrieb mit Zugang zum Internet

5.4 Verwundbarkeit medizinischer Geräte und daraus resultierende Risiken

5.4.1 Praxisnahe Beispiel-Szenarien der IT-Sicherheit in Medizingeräten

5.4.1.1 Infusionspumpen in Krankenhäuser sind manipulierbar

5.4.1.2 Automatisierter externer Defibrillator (AED)

5.4.2 Hacken von Krankenhaus-Ausrüstungen

5.4.3 Geeignete risikokompensierende Gegenmaßnahmen

5.5 Medizingeräte – Worauf Sie achten sollten

5.5.1 Lebenszyklus medizinischer Geräte

5.5.2 Evaluierung

5.5.3 Einkauf

5.5.4 Inbetriebnahme und Abnahme

5.5.5 Wartung und Updates

5.5.6 Periodische Überprüfung durch den TÜV

5.5.7 Lebensende und sichere Entsorgung

5.5.8 Awareness bei den Nutzern und eine Checkliste für jeden Tag

5.6 Awareness „Medizingeräte“

5.6.1 Awareness-Programm für interne Mitarbeiter

5.6.2 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten

Literatur

6: Arztpraxen – kleiner, aber umso gefährdeter

6.1 IT-Sicherheit in der eigenen Praxis

6.1.1 Was darf niemals, da (grob) fahrlässig, passieren?

6.2 E-Health-Gesetz

6.3 Cyber-Versicherung für Arztpraxen

6.4 Schützenswerte Bereiche einer Arztpraxis

6.4.1 Empfang

6.4.2 Wartezimmer

6.4.3 Labor

6.4.4 Behandlungszimmer mit PC

6.4.5 Server-Raum

6.4.6 Lagerräume für fachgerechte Deponierung, Archivierung und Entsorgung

6.5 Schützenswerte Daten einer Arztpraxis

6.5.1 Personenbezogene Datenobjekte

6.5.2 Unberechtigter Datenzugriff durch Dritte

6.6 Maßnahmen zur Gewährleistung der IT-Sicherheit in der Arztpraxis

6.6.1 Zutrittskontrolle (P, O)

6.6.2 Zugangskontrolle (T, O)

6.6.3 Zugriffskontrolle (T, O)

6.6.4 Weitergabekontrolle (T)

6.6.5 Eingabekontrolle (T)

6.6.6 Auftragskontrolle (O)

6.6.7 Verfügbarkeitskontrolle (T, O)

6.6.8 Trennungskontrolle (T, O)

6.7 Checkliste „Arztpraxis“

6.7.1 Datenschutz in der Arztpraxis

6.7.2 Neueinrichtung einer Praxis

6.7.3 Praxisübernahme

6.7.4 Verträge mit IT-Lieferanten

6.7.5 Praxisverkauf oder Praxisaufgabe

6.7.5.1 Praxisverkauf

6.7.5.2 Praxisaufgabe/Praxisauflösung

6.8 Awareness „Arztpraxis“

6.8.1 Awareness im Allgemeinen

6.8.2 Awareness-Programm für Mitarbeiter

6.8.3 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten

6.8.4 Informationssicherheitsrichtlinie

Literatur

7: Wichtige Gesetze und Standards der IT-Sicherheit im Gesundheitswesen

7.1 Gesetze

7.1.1 Straftatbestände

7.1.2 Gesetzeslage

7.1.3 Europäische Vorgaben in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR)

7.1.3.1 Inkrafttreten und Begriffe

7.1.3.2 Datenpannen

7.1.3.3 Acht Regeln der Datensicherung

7.1.3.4 Besonderheiten beim Internetauftritt

7.1.3.5 Datenschutzbeauftragter

7.1.3.6 Datensicherung

7.1.3.7 Auswirkungen auf die Schweiz

7.1.4 HIPAA-Gesetz (USA)

7.2 Die verschiedenen Standards

7.2.1 Standard ISO/IEC 27000:2016

7.2.2 Standard ISO/IEC 27001:2013

7.2.3 Standard ISO/IEC 27002:2013

7.2.4 Standard ISO/IEC 27005:2018

7.2.5 Standard ISO/IEC 27789:2013

7.2.6 Standard ISO/IEC 27799:2016

7.2.7 Standard ISO 22600:2015-02

7.2.8 Standard ISO 22857:2013

7.2.9 Standard IEC EN 80001-1:2010

7.2.10 IT-Grundschutz

7.2.11 NIST-Standards und Leitfaden

Literatur

8: Krankenhäuser und Kliniken – groß, anonym und damit ideal für Angreifer

8.1 Herausforderung für Krankenhäuser

8.2 Schutzbedarfsfeststellung gemäß IT-Grundschutz

8.3 Schützenswerte Bereiche eines Krankenhauses

8.3.1 Vergleich mit Arztpraxen

8.3.2 Operationsräume

8.3.3 Chirurgie-Roboter

8.3.4 Technikräume

8.3.5 Patientenzimmer

8.4 Schützenswerte Daten eines Krankenhauses

8.4.1 Schutzpflichtige Daten

8.4.2 Unberechtigter Datenzugriff durch Dritte

8.5 Gewährleistung der IT-Sicherheit in einem Krankenhaus

8.6 Awareness „Krankenhaus“

8.6.1 Überblick

8.6.2 Organisation der Awareness-Maßnahmen

8.6.3 Stufengerechte Sensibilisierungsinhalte

8.6.4 Awareness-Programm für alle internen Mitarbeiter

8.6.5 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten

Literatur

9: Musterverträge für die DSGVO

9.1 Allgemeine und Copyright-Hinweise

9.2 Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

9.2.1 Gegenstand und Dauer des Auftrags

9.2.2 Konkretisierung des Auftragsinhalts

9.2.3 Technisch-organisatorische Maßnahmen

9.2.4 Berichtigung, Einschränkung und Löschung von Daten

9.2.5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers

9.2.6 Unterauftragsverhältnisse

9.2.7 Kontrollrechte des Auftraggebers

9.2.8 Mitteilung bei Verstößen des Auftragnehmers

9.2.9 Weisungsbefugnis des Auftraggebers

9.2.10 Löschung und Rückgabe von personenbezogenen Daten

9.2.11 Fernzugriff oder -wartung

9.2.12 Gerichtsstand

9.3 Mustervertrag Anlage – Technisch-organisatorische Maßnahmen

9.3.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

9.3.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

9.3.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

9.3.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

9.4 Beispiel für eine Vertraulichkeitserklärung zur Verpflichtung des eingesetzten Personals

9.4.1 Verpflichtung auf das Datengeheimnis nach Art. 28 Abs. 3 S. 2 lit. b DSGVO

9.4.2 Verpflichtung auf das Fernmeldegeheimnis

9.4.3 Verpflichtung auf Wahrung von Geschäftsgeheimnissen

Literatur

10: Nützliches für den täglichen Gebrauch

10.1 Nützliche Internet-Links

10.2 Bestimmungen, Checklisten, Praxistipps

10.2.1 Checkliste „IT-Sicherheit in der Praxis“

10.2.2 Geräteverlust oder Diebstahl – Was ist zu tun?

10.2.3 IT-Sicherheitsstrategie und -management

10.2.4 Gesetzliche Aufbewahrungspflichten

10.2.5 Checkliste „Medizingeräte“

10.2.6 Spurensuche: Warum sind die IT-Sicherheitsmaßnahmen nicht umgesetzt?

10.2.7 Methoden und Maßnahmen

10.2.8 Notfallkonzept

10.2.9 Anzeichen für Phishing-Attacken

10.2.10 Anzeichen dafür, dass Ihr PC gehackt worden ist

10.2.11 Teilnahme an Konferenzen im Ausland

10.2.12 Ergebniserwartung an einen Sicherheitscheck durch Spezialisten

10.2.13 Websites

10.2.14 Checkliste „Härtungsmaßnahmen“

10.2.14.1 Windows

10.2.14.2 Apple OS X

10.2.14.3 Tablets und Smartphones

10.2.15 Arbeitsvertrag – Datenschutz und IT-Sicherheit

10.2.16 Neubau einer Arztpraxis

10.3 Risiko-Kategorisierung

Literatur

Glossar: IT-Fachausdrücke ganz einfach erklärt

Glossar

Literatur

Stichwortverzeichnis