Suchen und Finden
Service
IT-Sicherheit und Datenschutz im Gesundheitswesen - Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis
Martin Darms, Stefan Haßfeld, Stephen Fedtke
Verlag Springer Vieweg, 2019
ISBN 9783658215897 , 275 Seiten
Format PDF, OL
Kopierschutz Wasserzeichen
Mehr zum Inhalt
IT-Sicherheit und Datenschutz im Gesundheitswesen - Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis
Inhaltsverzeichnis
5
Abkürzungsverzeichnis
12
Abbildungsverzeichnis
17
1: Einleitung
18
1.1 Weshalb sollten gerade Sie als Arzt, Apotheker, Laborleiter oder IT-Verantwortlicher dieses Buch lesen?
18
1.2 Bei welchen Entscheidungen hilft Ihnen dieses Buch?
20
1.3 Hinweise für den Leser
21
1.4 Deshalb sollten Sie sich als Arzt mit IT-Sicherheit und Datenschutz auskennen
22
1.5 Konkrete Beispiele von Hackerangriffen im Gesundheitswesen
23
1.6 IT-Sicherheit, Compliance und Datenschutz
24
1.7 Haftungsausschluss/Disclaimer
25
1.8 Aktualität des Buches
25
Literatur
26
2: IT-Sicherheit – Was ist zu tun?
27
2.1 Die zehn wichtigsten IT-Sicherheitsmaßnahmen
27
2.1.1 Physische Absicherung der Informatikserver und -räume
28
2.1.2 Regelmäßige Datensicherung erstellen
28
2.1.3 Passwörter: sichere Wahl und Umgang
30
2.1.4 Computersysteme auf aktuellem Stand halten
32
2.1.5 Verantwortlichkeiten präzise definieren
33
2.1.6 IT-Konzepte und grundlegende IT-Prozesse definieren/Notfallkonzepte
34
2.1.7 Nutzerkreise und Netzwerkbereiche präzise definieren
34
2.1.8 Schulungen und Awareness-Programme durchführen
35
2.1.9 Schwachstellen von Experten prüfen lassen
36
2.1.10 IT-Sicherheitswerkzeuge richtig einsetzen
37
2.2 Die zehn typischen Fehler in einer medizinischen IT – vom Schwesternzimmer bis zum Sekretariat
38
2.2.1 Unprofessioneller Umgang mit Passwörtern
38
2.2.1.1 Unsichere Passwörter
38
2.2.1.2 Passwörter werden an Bildschirm oder Pinnwand angeheftet
39
2.2.1.3 Gleiche oder ähnliche Passwörter werden für verschiedene Zwecke verwendet
39
2.2.2 Datenwiederherstellung wird nicht geprüft oder getestet bzw. geübt
39
2.2.3 Unachtsames Klicken auf an E-Mail anhängende Links
42
2.2.4 Vorhandene Sicherheitsvorkehrungen werden nicht genutzt oder ignoriert
43
2.2.5 Der Chef oder die Leitung der Verwaltung interessiert sich nicht für IT-Sicherheit
44
2.2.6 Kein Anlagenmanagement
45
2.2.7 Fehlende Schulung und kein Awareness-Programm
46
2.2.8 Veraltete Betriebssysteme und Programme werden verwendet
47
2.2.9 Benutzer kann fremde bzw. eigene Software installieren
48
2.2.10 Man fühlt sich zu sicher
49
Literatur
49
3: IT-Sicherheitstechniken und Schutzziele für die medizinische IT
51
3.1 Allgemeine Informationen und Definitionen
51
3.2 Möglichkeiten zur Erhöhung der IT-Sicherheit
55
3.3 IT-Sicherheit für den Computerarbeitsplatz basierend auf Standardtechnik
57
3.3.1 Benutzerauthentisierung
59
3.3.2 Rollentrennung
59
3.3.3 Aktivieren von Autoupdate-Mechanismen
59
3.3.4 Regelmäßige Datensicherung
60
3.3.5 Bildschirmsperre
60
3.3.6 Einsatz von Virenschutzprogrammen
60
3.3.7 Protokollierung
61
3.3.8 Nutzung von TLS
61
3.3.9 Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und -Kameras
62
3.3.10 Abmelden nach Aufgabenerfüllung
62
3.4 CIA-Triade
62
3.4.1 Confidentiality: Vertraulichkeit (Datenschutz)
62
3.4.1.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
64
3.4.2 Integrity: Integrität (Datensicherheit)
65
3.4.2.1 Integritätsverlust schützenswerter Informationen
65
3.4.3 Availability: Verfügbarkeit (Datenzugriff)
66
3.4.4 Zusätzliche Schutzziele und Herausforderungen
67
3.4.4.1 Authenticity: Authentizität
67
3.4.4.2 Non repudiation: Nichtabstreitbarkeit
68
3.4.4.3 IT-Sicherheit, Compliance und EU-DSGVO-konform
68
3.5 Mit einfachen Schritten zu härteren Systemen („Hardening“)
69
3.5.1 Schutzmaßnahmen für Windows-PCs
69
3.5.2 Schutzmaßnahmen für Apple OS X
73
3.5.3 Schutzmaßnahmen für Mobile Devices
75
Literatur
77
4: Einfallspforten für IT-Angreifer in der Medizin
79
4.1 Einführung in die „IT-Risiko-Anamnese“
79
4.2 „Feindbild“ und Bedrohungen
79
4.3 Hacker-Angriffe
80
4.4 Die Räumlichkeiten und ihre Risikoprofile
82
4.4.1 Wartezimmer
82
4.4.2 Behandlungszimmer
82
4.4.3 Patientenzimmer (im Krankenhaus)
82
4.4.4 Empfang, Sekretariat und Verwaltung
83
4.4.5 Häuslicher Arbeitsplatz/Home Office/Mobiler Arbeitsplatz
83
4.4.6 Gefährdung durch Reinigungs- oder Fremdpersonal
86
4.4.7 Parkplätze, Lagerräume etc.
86
4.4.8 Räume der IT
86
4.5 Standard-IT-Geräte im medizinischen Umfeld
86
4.5.1 Standard-PC
86
4.5.2 Tablet und Smartphone
87
4.5.3 USB-Stick
88
4.5.4 USB-Geräte
89
4.5.4.1 USB-Killer (Stick)
89
4.5.4.2 Tastatur-Logger
90
4.5.4.3 USB-Stick als USB-Tastatur
90
4.5.4.4 USB-Netzwerkkarte
90
4.5.4.5 Malware auf dem USB-Stick
91
4.5.5 Verkabelter Angriff („Sniffer“)
91
4.5.6 Radio- oder Funkwellen-Angriff
91
4.5.7 Manipulierter WLAN-Router
92
4.5.8 Intelligente Virtuelle Assistenzsysteme
93
4.6 IT-Zugänge
94
4.6.1 Kabelgebundene Zugänge
94
4.6.2 Drahtlose Zugänge
95
4.6.3 Kommunikationsserver
96
4.6.4 Remote-Zugang für Service-Zwecke
96
4.7 Medizingeräte
97
4.8 Systematisches Vorgehen beim Schützen einer IT im Gesundheitswesen
98
4.8.1 IT-Grundschutz des BSI
98
4.8.2 Besondere Absicherungsmaßnahmen im Gesundheitswesen
101
4.8.3 Anforderungen an Hard- und Software
101
4.8.4 Wichtige IT-Sicherheitsmaßnahmen
103
4.8.5 Bring Your Own Device (BYOD)
114
4.8.6 Security Monitoring in größeren IT-Installationen (SIEM, SOC)
118
Literatur
122
5: Medizintechnik und medizinische Geräte als potenzielle Schwachstelle
124
5.1 Klassifizierung medizinischer Geräte (mit Software oder IT)
124
5.1.1 Einteilung in Risikoklassen
124
5.1.2 Klassische Medizinprodukte – Bildgebende Systeme
126
5.1.3 Lebenserhaltende medizinische Systeme und aktive Systeme
127
5.2 Einsatzort
128
5.2.1 Stationäre medizinische Geräte
128
5.2.2 Mobile medizinische Geräte
128
5.3 Vernetzung medizinischer Geräte
129
5.3.1 Stand-alone-Betrieb
130
5.3.2 Lokal vernetzter Betrieb
130
5.3.3 Vernetzter Betrieb mit Zugang zum Internet
130
5.4 Verwundbarkeit medizinischer Geräte und daraus resultierende Risiken
131
5.4.1 Praxisnahe Beispiel-Szenarien der IT-Sicherheit in Medizingeräten
131
5.4.1.1 Infusionspumpen in Krankenhäuser sind manipulierbar
131
5.4.1.2 Automatisierter externer Defibrillator (AED)
132
5.4.2 Hacken von Krankenhaus-Ausrüstungen
133
5.4.3 Geeignete risikokompensierende Gegenmaßnahmen
136
5.5 Medizingeräte – Worauf Sie achten sollten
137
5.5.1 Lebenszyklus medizinischer Geräte
137
5.5.2 Evaluierung
137
5.5.3 Einkauf
138
5.5.4 Inbetriebnahme und Abnahme
138
5.5.5 Wartung und Updates
139
5.5.6 Periodische Überprüfung durch den TÜV
140
5.5.7 Lebensende und sichere Entsorgung
140
5.5.8 Awareness bei den Nutzern und eine Checkliste für jeden Tag
140
5.6 Awareness „Medizingeräte“
141
5.6.1 Awareness-Programm für interne Mitarbeiter
141
5.6.2 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten
142
Literatur
142
6: Arztpraxen – kleiner, aber umso gefährdeter
144
6.1 IT-Sicherheit in der eigenen Praxis
144
6.1.1 Was darf niemals, da (grob) fahrlässig, passieren?
145
6.2 E-Health-Gesetz
146
6.3 Cyber-Versicherung für Arztpraxen
149
6.4 Schützenswerte Bereiche einer Arztpraxis
149
6.4.1 Empfang
149
6.4.2 Wartezimmer
150
6.4.3 Labor
151
6.4.4 Behandlungszimmer mit PC
151
6.4.5 Server-Raum
151
6.4.6 Lagerräume für fachgerechte Deponierung, Archivierung und Entsorgung
152
6.5 Schützenswerte Daten einer Arztpraxis
152
6.5.1 Personenbezogene Datenobjekte
152
6.5.2 Unberechtigter Datenzugriff durch Dritte
153
6.6 Maßnahmen zur Gewährleistung der IT-Sicherheit in der Arztpraxis
154
6.6.1 Zutrittskontrolle (P, O)
154
6.6.2 Zugangskontrolle (T, O)
155
6.6.3 Zugriffskontrolle (T, O)
155
6.6.4 Weitergabekontrolle (T)
155
6.6.5 Eingabekontrolle (T)
156
6.6.6 Auftragskontrolle (O)
156
6.6.7 Verfügbarkeitskontrolle (T, O)
156
6.6.8 Trennungskontrolle (T, O)
156
6.7 Checkliste „Arztpraxis“
157
6.7.1 Datenschutz in der Arztpraxis
157
6.7.2 Neueinrichtung einer Praxis
158
6.7.3 Praxisübernahme
160
6.7.4 Verträge mit IT-Lieferanten
161
6.7.5 Praxisverkauf oder Praxisaufgabe
162
6.7.5.1 Praxisverkauf
162
6.7.5.2 Praxisaufgabe/Praxisauflösung
162
6.8 Awareness „Arztpraxis“
162
6.8.1 Awareness im Allgemeinen
162
6.8.2 Awareness-Programm für Mitarbeiter
163
6.8.3 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten
164
6.8.4 Informationssicherheitsrichtlinie
165
Literatur
166
7: Wichtige Gesetze und Standards der IT-Sicherheit im Gesundheitswesen
167
7.1 Gesetze
167
7.1.1 Straftatbestände
167
7.1.2 Gesetzeslage
170
7.1.3 Europäische Vorgaben in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR)
171
7.1.3.1 Inkrafttreten und Begriffe
171
7.1.3.2 Datenpannen
172
7.1.3.3 Acht Regeln der Datensicherung
174
7.1.3.4 Besonderheiten beim Internetauftritt
176
7.1.3.5 Datenschutzbeauftragter
177
7.1.3.6 Datensicherung
177
7.1.3.7 Auswirkungen auf die Schweiz
178
7.1.4 HIPAA-Gesetz (USA)
178
7.2 Die verschiedenen Standards
180
7.2.1 Standard ISO/IEC 27000:2016
180
7.2.2 Standard ISO/IEC 27001:2013
180
7.2.3 Standard ISO/IEC 27002:2013
181
7.2.4 Standard ISO/IEC 27005:2018
181
7.2.5 Standard ISO/IEC 27789:2013
181
7.2.6 Standard ISO/IEC 27799:2016
182
7.2.7 Standard ISO 22600:2015-02
182
7.2.8 Standard ISO 22857:2013
183
7.2.9 Standard IEC EN 80001-1:2010
183
7.2.10 IT-Grundschutz
184
7.2.11 NIST-Standards und Leitfaden
185
Literatur
185
8: Krankenhäuser und Kliniken – groß, anonym und damit ideal für Angreifer
188
8.1 Herausforderung für Krankenhäuser
188
8.2 Schutzbedarfsfeststellung gemäß IT-Grundschutz
189
8.3 Schützenswerte Bereiche eines Krankenhauses
193
8.3.1 Vergleich mit Arztpraxen
193
8.3.2 Operationsräume
193
8.3.3 Chirurgie-Roboter
194
8.3.4 Technikräume
197
8.3.5 Patientenzimmer
198
8.4 Schützenswerte Daten eines Krankenhauses
198
8.4.1 Schutzpflichtige Daten
198
8.4.2 Unberechtigter Datenzugriff durch Dritte
199
8.5 Gewährleistung der IT-Sicherheit in einem Krankenhaus
199
8.6 Awareness „Krankenhaus“
199
8.6.1 Überblick
199
8.6.2 Organisation der Awareness-Maßnahmen
200
8.6.3 Stufengerechte Sensibilisierungsinhalte
202
8.6.4 Awareness-Programm für alle internen Mitarbeiter
204
8.6.5 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten
206
Literatur
207
9: Musterverträge für die DSGVO
209
9.1 Allgemeine und Copyright-Hinweise
209
9.2 Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
210
9.2.1 Gegenstand und Dauer des Auftrags
211
9.2.2 Konkretisierung des Auftragsinhalts
211
9.2.3 Technisch-organisatorische Maßnahmen
213
9.2.4 Berichtigung, Einschränkung und Löschung von Daten
213
9.2.5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers
213
9.2.6 Unterauftragsverhältnisse
215
9.2.7 Kontrollrechte des Auftraggebers
216
9.2.8 Mitteilung bei Verstößen des Auftragnehmers
217
9.2.9 Weisungsbefugnis des Auftraggebers
217
9.2.10 Löschung und Rückgabe von personenbezogenen Daten
218
9.2.11 Fernzugriff oder -wartung
218
9.2.12 Gerichtsstand
220
9.3 Mustervertrag Anlage – Technisch-organisatorische Maßnahmen
220
9.3.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
220
9.3.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
221
9.3.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
221
9.3.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
221
9.4 Beispiel für eine Vertraulichkeitserklärung zur Verpflichtung des eingesetzten Personals
221
9.4.1 Verpflichtung auf das Datengeheimnis nach Art. 28 Abs. 3 S. 2 lit. b DSGVO
222
9.4.2 Verpflichtung auf das Fernmeldegeheimnis
222
9.4.3 Verpflichtung auf Wahrung von Geschäftsgeheimnissen
222
Literatur
223
10: Nützliches für den täglichen Gebrauch
224
10.1 Nützliche Internet-Links
224
10.2 Bestimmungen, Checklisten, Praxistipps
225
10.2.1 Checkliste „IT-Sicherheit in der Praxis“
225
10.2.2 Geräteverlust oder Diebstahl – Was ist zu tun?
229
10.2.3 IT-Sicherheitsstrategie und -management
230
10.2.4 Gesetzliche Aufbewahrungspflichten
231
10.2.5 Checkliste „Medizingeräte“
231
10.2.6 Spurensuche: Warum sind die IT-Sicherheitsmaßnahmen nicht umgesetzt?
232
10.2.7 Methoden und Maßnahmen
233
10.2.8 Notfallkonzept
234
10.2.9 Anzeichen für Phishing-Attacken
235
10.2.10 Anzeichen dafür, dass Ihr PC gehackt worden ist
235
10.2.11 Teilnahme an Konferenzen im Ausland
236
10.2.12 Ergebniserwartung an einen Sicherheitscheck durch Spezialisten
237
10.2.13 Websites
238
10.2.14 Checkliste „Härtungsmaßnahmen“
239
10.2.14.1 Windows
239
10.2.14.2 Apple OS X
240
10.2.14.3 Tablets und Smartphones
241
10.2.15 Arbeitsvertrag – Datenschutz und IT-Sicherheit
241
10.2.16 Neubau einer Arztpraxis
242
10.3 Risiko-Kategorisierung
243
Literatur
243
Glossar: IT-Fachausdrücke ganz einfach erklärt
247
Glossar
249
Literatur
270
Stichwortverzeichnis
271