IT-Sicherheit und Datenschutz im Gesundheitswesen: Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis

Von Martin Darms, Stefan Haßfeld und Stephen Fedtke

Mit dem Buch erlangen Ärzte, Apotheker und IT-Verantwortliche im Gesundheitswesen ein klares Verständnis zum heute notwendigen Stand von IT-Sicherheit und Datenschutz in dieser speziellen und hochverantwortlichen IT-Anwendungsumgebung. Enger Praxisbezug und wertvolle Tipps helfen Cyberangriffe, Systemausfälle und den Diebstahl von Patientendaten zu verhindern. Daher werden in der Betrachtung u. a. von Klink, Praxis, Labor und Apotheke mögliche Einfallspforten und Risiken systematisch verdeutlicht und erfolgreiche Detektions- und Gegenmaßnahmen aufgeführt – verbunden mit Hinweisen für eine alltagstaugliche Achtsamkeit (Awareness) bei allen Beteiligten. Die Risikobetrachtung schließt Sonderthemen ein, wie die notwendigen Anforderungen beim Kauf von Hard- und Software bzw. Medizingeräten oder die „Due Diligence“ bei der Übernahme einer Arztpraxis. Umfassende Checklisten machen das Werk jederzeit direkt einsetzbar. Als kompetenter Berater in Buchform ist es eine Muss-Lektüre für jeden Beschäftigten im Gesundheitswesen.  

• Sprache: Deutsch
• Herausgeber: Springer Vieweg
• Erscheinungsdatum: 30. Jan. 2019
• ISBN: 9783658215897

Buchvorschau

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019

Martin Darms, Stefan Haßfeld und Stephen Fedtke IT-Sicherheit und Datenschutz im Gesundheitswesenhttps://doi.org/10.1007/978-3-658-21589-7_1

1. Einleitung

Martin Darms¹ , Stefan Haßfeld² und Stephen Fedtke³

(1)

Darms Engineering GmbH, Buonas, Schweiz

(2)

Klinikum Dortmund gGmbH Klinikzentrum Nord, Dortmund, Deutschland

(3)

Enterprise-IT-Security.com, Zug, Schweiz

Zusammenfassung

Die Informationstechnologie (IT) und somit auch die IT-Sicherheit sind in den vergangenen Jahren für die Medizin immer wichtiger geworden. So hat das Internet auch die Arbeitsweise im medizinischen Umfeld in großen Teilen beeinflusst oder gar komplett verändert. Hier erfahren Sie die Gründe, wieso Sie sich mit IT-Sicherheit und Datenschutz auskennen sollten, und Sie erhalten eine Übersicht, bei welchen Entscheidungen dieses Buch Ihnen weiterhelfen kann. Konkrete Beispiele von Hackerangriffen im Gesundheitswesen untermauern die Wichtigkeit der IT-Sicherheit im Gesundheitswesen. Hinweise, wie Sie das Buch am besten lesen, runden das erste Kapitel ab.

1.1 Weshalb sollten gerade Sie als Arzt, Apotheker, Laborleiter oder IT-Verantwortlicher dieses Buch lesen?

Es gibt mehrere wichtige Gründe, weshalb dieses Buch über IT-Sicherheit, Datenschutz und Compliance für Sie als praktizierender Arzt, Apotheker, Laborleiter oder Verwaltungsverantwortlicher im Gesundheitswesen von großer Bedeutung ist. Die Informationstechnologie (IT) und somit auch die IT-Sicherheit sind in den vergangenen Jahren für die Medizin immer wichtiger geworden. So hat das Internet auch die Arbeitsweise im medizinischen Umfeld in großen Teilen beeinflusst oder gar komplett verändert. Durch die Vernetzung von immer mehr medizinischen Geräten stehen Ihnen als Mediziner zum Beispiel benötigte Informationen sehr viel schneller zur Verfügung als noch vor ein paar Jahren oder gar Jahrzehnten. Damit können Sie schneller entscheiden, haben Zugriff auf umfangreiches Wissen oder können einfach per Knopfdruck von einem Kollegen eine Zweitmeinung zu einem schwierigen Fall einholen. Durch die Vernetzung ergeben sich im Bereich der IT-Technik, der damit nötigen Sicherheit und im Umgang mit den Daten durch Sie selbst oder Ihre Mitarbeiter aber auch Gefahren und Risiken, die Sie auf keinen Fall vernachlässigen dürfen.

In dem alltäglichen Zusammenspiel von Medizin und IT begründet sich eine elementare Herausforderung: Sie als Arzt haben das Arztgelöbnis geleistet, das den Eid des Hippokrates abgelöst hat, und darin heißt es unter anderem:

„Ich werde die mir anvertrauten Geheimnisse auch über den Tod der Patientin oder des Patienten hinaus wahren."

Unter „anvertrauten Geheimnissen" versteht man heute den Inhalt der meistens elektronischen Patientenakte mit allen medizinischen Befunden, Bildern und sonstigen Dokumenten. Diese sensiblen, persönlichen Informationen müssen aber auch gemäß Datenschutzgesetz¹ geschützt werden. Sie als Arzt sind daher in einer doppelten Pflicht gegenüber Ihren Patienten, diese Informationen mit größtmöglicher Sorgfalt zu verwalten. Dieses Buch stellt Sie in dieser Herausforderung kompetent und professionell auf, indem es den breiten Themenkreis IT-Sicherheit, Datenschutz und Compliance exakt auf Ihr Umfeld, die Medizin, transparent darlegt und konkrete Handlungsanweisungen gibt. Gleichgültig, ob Sie eine bestehende Arztpraxis oder ein Labor übernehmen möchten, eine IT-Sicherheitsanforderung bzw. -Mitteilung der FDA oder der Gesundheitsbehörde verstehen bzw. umsetzen müssen, mit IT-Dienstleistern oder Medizingeräteherstellern sicher verhandeln wollen, ein neues Arztsystem implementieren, oder als Chefarzt für eine Klinikabteilung verantwortlich sind, dieses Buch ist Ihr kompetenter Berater und Coach auf allen drei Gebieten. Dank der praxisgerechten Ausrichtung im Sinne eines Beraters in Buchform wissen Sie schnell, worauf besonders zu achten ist, um nicht in eine „Falle der IT-Sicherheit oder des Datenschutzes zu laufen, obwohl es einfach zu verhindern gewesen wäre. Das Buch weist Sie auf wichtige Details hin, indem es Ihr Auge für „das Unplausible schärft und indem es Ihnen ermöglicht, Ihren Dialog mit den IT’lern auf Augenhöhe stattfinden zu lassen. Beispielsweise wird es Ihnen dank Kap. 3 auffallen – und Sie werden nachfragen –, wenn Ihnen unbekannte USB-Sticks im PC des Schwesternzimmers stecken sollten. Und Sie werden Ihren IT- oder Medizingeräte-Leiter darauf ansprechen, wenn Sie einen permanent aktivierten Wartungszugang am CT beobachten; entsprechend wird die IT-Abteilung sehr viel „motivierter" für Sicherheit einstehen, weil sie weiß, dass die Ärzte im Haus sich jetzt auf diesen Gebieten auch auskennen. Am besten Sie legen dieses Buch bei wichtigen Meetings mit an Ihren Platz, sodass Sie jederzeit etwas nachschauen können.

Das Buch hilft Ihnen insbesondere, ein „Versagen" in trivialen Bereichen zu vermeiden. Dies ist so wichtig, weil die juristischen Grenzen der verschiedenen Stufen von Fahrlässigkeit und Unterlassung immer schwammiger und nachteiliger für Sie als Verantwortlicher verlaufen. Hierzu gleich ein Tipp: Überprüfen Sie in diesem Zusammenhang gegebenenfalls auch Ihre Haftpflicht-Versicherungspolicen bezüglich des Einschlusses entsprechender IT-Security-, Compliance- und Datenschutz-Risiken.

Die Abb. 1.1 verdeutlicht ein wenig die Situation der IT-Sicherheit im Gesundheitswesen. Jeder weiß, dass IT-Sicherheit keine primäre Wertschöpfung im medizinischen Umfeld darstellt, es aber doch sehr wichtig ist, sich hier proaktiv zu engagieren, weil entsprechende Schadenssituationen in puncto Reputationsverlust und finanzieller Ersatzansprüche sehr schnell sehr teuer werden können. Vielleicht werfen Sie kurz einen Blick in Abschn. 5.​4.​2, in dem das erschreckende Ergebnis einer IT-Schwachstellenanalyse im Krankenhaus-Umfeld beschrieben ist. Aber keine Sorge, dieses Buch hilft Ihnen, die Situation sicher in den Griff zu bekommen.

../images/450674_1_De_1_Chapter/450674_1_De_1_Fig1_HTML.png

Abb. 1.1

Handeln Sie – besser heute als morgen

1.2 Bei welchen Entscheidungen hilft Ihnen dieses Buch?

Sie sollten diesen Leitfaden jedes Mal in die Hand nehmen, wenn Sie vor folgenden Herausforderungen stehen und gute Entscheidungen treffen möchten:

bei einer Praxisübernahme im Rahmen der sogenannten Due-Diligence

bei einem Neubau einer Arztpraxis oder einer Klinik (siehe Abschn. 10.​2.​16)

bei jeder Investition in Computer-Hard- oder -Software für den Einsatz im medizinischen Umfeld

bei Investitionen in softwarebasierten medizinischen Geräten

beim Zusammenlegen von verschiedenen Krankenhäusern oder Kliniken

beim Aushandeln der Verträge einer Gemeinschaftspraxis

für praxisgerechte Schulungen und Awareness-Programme der Mitarbeiter in Sachen IT-Sicherheit und Datenschutz

wenn Mitarbeiter in ihr Arbeitsumfeld eingewiesen werden müssen, damit sie nicht unwissentlich in vermeidbare Schwierigkeiten geraten

vor einem Dialog mit IT-Dienstleistern, um die Abhängigkeit von den sogenannten IT-Spezialisten zu minimieren und eigene Anforderungen auf Augenhöhe formulieren und durchsetzen zu können

wenn die FDA oder das Gesundheitsministerium entsprechende Hinweise oder Erlasse veröffentlicht haben und umgesetzt werden müssen

Wenn Sie die Ratschläge dieses Buches aktiv einsetzen, können Sie bares Geld sparen, Konflikte mit dem Gesetz und unnötige Leerläufe vermeiden.

Dieses Buch hilft Ihnen, wenn Sie selber verantwortlich für die IT in Ihrer Praxis sind und hier Entscheidungen treffen müssen.

Und als Chefarzt erhalten Sie mit diesem Buch fachlich wertvolle Informationen, die Ihnen im Umgang mit dem IT-Leiter helfen werden.

1.3 Hinweise für den Leser

Dieser Leitfaden ist für mehrere Nutzerkreise geschrieben worden. Zuallererst für den Arzt als „Einsteiger" in die Themen IT-Sicherheit und Datenschutz – Ihnen als Arzt gehört die besondere Aufmerksamkeit dieses Buches. Zum anderen hilft es auch Anfängern und Profis der IT-Sicherheit, sich mit dem medizinischen Umfeld vertraut zu machen, und schließlich auch den Verantwortlichen einer Klinikverwaltung. Das Buch muss nicht Kapitel für Kapitel gelesen werden. Wenn Sie ein Problem oder Fragen zu einem speziellen Thema haben, dann können Sie über das Inhaltsverzeichnis direkt in das zugehörige Kapitel oder zu den Checklisten in Abschn. 10.​2 springen. Die zahlreichen Checklisten helfen Ihnen in vielen Situationen, das Richtige zu tun.

Tiefergehende Informationen sind mit dem Hinweis „Expertenwissen" gekennzeichnet. Falls die IT-Sicherheit für Sie noch Neuland ist, dann empfehlen wir Ihnen, dieses Buch zuerst einmal ohne diese Rubriken zu lesen. Beim zweiten oder dritten Lesegang können Sie dann auch die Abschnitte für IT-Profis lesen.

Expertenwissen

Sollten Sie nach der Lektüre dieses Buches begeistert vom Thema „IT-Sicherheit" sein, finden Sie auf mehr als 1000 Seiten umfassende und tiefgründige Informationen im Standardwerk zur IT-Sicherheit [1]. Es ist für technisch versierte Personen gedacht und deckt das ganze Spektrum der IT-Sicherheit ab.

Der vorliegende Leitfaden ist kompakt und speziell auf Sie als Arzt zugeschnitten, mit (nur) den speziellen Gegebenheiten, die im Gesundheitswesen anzutreffen und damit primär relevant sind. Dazu zählen die Gebrauchstauglichkeit eines Produktes sowie seine Verfügbarkeit. Viele medizinische Geräte müssen zum Beispiel mit Handschuhen bedient werden können.

In der Informatik und im speziellen Teilbereich der IT-Sicherheit existieren viele Abkürzungen und Begriffe. Daher finden Sie ein Abkürzungsverzeichnis zu Beginn des Buchs, ebenso wie das Glossar am Ende. Damit Sie sich einige IT-Fachbegriffe besser vorstellen können, haben wir eine Liste mit Analogien zur Medizin erstellt. Diese Liste finden Sie im ergänzenden Glossar „IT-Fachausdrücke einfach erklärt".

Bessere Lesbarkeit

Aus Gründen der besseren Lesbarkeit wird in diesem Buch auf eine geschlechtsspezifische Formulierung oder Differenzierung verzichtet und nur die männliche Form verwendet. Im Sinne des Gleichbehandlungsgesetzes sind entsprechende Begriffe als nicht geschlechtsspezifisch zu betrachten. Wenn in diesem Buch die Rede vom Angreifer oder vom Hacker ist, dann könnte der auch eine Frau sein.

Nun wünschen wir Ihnen viel Spaß beim Lesen und Entdecken der IT-Sicherheit als wichtigem Teilbereich Ihres Berufes, dem Gesundheitswesen.

1.4 Deshalb sollten Sie sich als Arzt mit IT-Sicherheit und Datenschutz auskennen

Vielleicht denken Sie, dass es als Arzt genügt, sich in den fachspezifischen und medizinischen Bereichen auszukennen und den Betrieb wie auch die Sicherheit der IT als Verwaltungsaufgabe anzusehen und sie als solche gerne zu delegieren. Die IT-Sicherheit und damit verbunden der Datenschutz sind in den vergangenen Jahren jedoch sehr wichtig geworden, weil sich mit dem technischen Fortschritt ein gefährlicher Risikofaktor entwickelt hat – den es, vergleichbar zum Beispiel mit dem neuen Feld der Hygiene – unbedingt in die Abläufe einzubeziehen gilt. Aus diesem Grund ist heutzutage ein Grundwissen über die IT-Sicherheit und den Datenschutz für alle im Gesundheitswesen Arbeitenden genauso wichtig wie über die betriebswirtschaftlichen Abläufe oder finanziellen Fragen – dies gilt im Praxis- wie auch im Krankenhausalltag. Falls aufgrund mangelnder IT-Sicherheit Patienten zu Schaden kommen sollten, oder der Datenschutz verletzt wird, dann können Sie sogar rechtlich belangt werden.²

Aus diesen Gründen ist es auch enorm wichtig, dass Sie als (Mit-)Verantwortlicher nachvollziehen können, was IT-Lieferanten oder -Dienstleister Ihnen vorschlagen bzw. mit Ihnen besprechen wollen. Die Erfahrung zeigt, dass man, sobald man auch nur einen Fachausdruck im entsprechenden Fachgebiet kennt, auch ernst genommen wird. Im Weiteren sind Sie dann auch nicht in Gefahr, jede (zum Teil auch unnötige) Dienstleistung oder Produkt angeboten zu bekommen oder über Gebühr in „Fachgespräche" verwickelt zu werden. Wie Sie, als Arzt und Praxisinhaber die neue Datenschutzgrundverordnung (DSGVO/GDPR) befolgen müssen, ist in Abschn. 2.​1.​5 und in Abschn. 7.​1.​2 im Detail erläutert.

1.5 Konkrete Beispiele von Hackerangriffen im Gesundheitswesen

Dutzende Krankenhäuser in den USA und Deutschland sind Anfang 2016 Opfer von Cyber-Attacken geworden, in deren Folge die IT-Infrastruktur ganz oder teilweise abgeschaltet werden musste und der Krankenhausbetrieb tagelang extrem eingeschränkt war.³ Die finanziellen Folgen und das angekratzte Image sind nicht das Schlimmste an solchen erfolgreichen Angriffen – Ausfälle in Form nicht erfolgter medizinischer Leistungen sind das viel gravierendere Problem. Beim Cyber-Angriff in den USA mussten zum Beispiel Patienten länger auf die Medikamentenausgabe warten oder sie wurden an andere Krankenhäuser verwiesen. Das Lukaskrankenhaus der Städtischen Kliniken in Neuss reagierte nach dem Entdecken des Trojaners sofort und richtig, indem es die Server und Computersysteme herunterfuhr. Dennoch waren die IT-Techniker im Nachhinein über Wochen damit beschäftigt, die gesamte Krankenhaus-Informatik auf Herz und Nieren zu überprüfen.

Im Frühjahr 2017 ist es in England fast zum „9/11 der IT-Sicherheit" gekommen. Insgesamt waren 81 Krankenhäuser oder Gesundheitsanbieter des britischen Gesundheitswesens NHS von dem Ransomware-Angriff „WannaCry⁴" betroffen.⁵ Von den 81 Institutionen waren 37 Krankenhäuser, darunter 27 Akutkrankenhäuser, direkt infiziert, 44 Krankenhäuser waren nicht direkt infiziert, aber trotzdem indirekt betroffen, weil als Vorsichtsmaßnahme einige ihrer IT-Systeme hinuntergefahren werden mussten oder nicht auf Daten von betroffenen Krankenhäusern zugreifen konnten (gemäß dem Bericht der NAO, 2017 [3]). Etwa 20.000 Patientengespräche mussten in diesem Zeitraum abgesagt werden. Lang geplante Herzoperationen mussten verschoben werden, weil die Ärzte nicht mehr garantieren konnten, im Notfall genügend Blut zu haben, da der Zugriff auf die Datenbank wegen der böswilligen Verschlüsselung nicht mehr funktionierte. Die Behörden empfahlen den Bürgern, bei einem medizinischen Notfall zum Hausarzt statt in die Notaufnahme des Krankenhauses zu gehen. Stellen Sie sich dieses Szenario einmal in Deutschland oder der Schweiz vor!

Die Ursache für diesen GAU war darin begründet, dass das britische Parlament das Budget für die kostenpflichtigen Software-Updates nach dem Abkündigen des Supports für das Betriebssystem Windows XP seitens von Microsoft nicht mehr bewilligte. Neuinvestitionen in eine moderne IT-Infrastruktur wurden ebenfalls nicht getätigt, und das obwohl das interne Computer-Netzwerk keinen ausreichenden Schutz bot und auch heute immer noch nicht bietet. Ein einzelner Klick auf eine E-Mail oder ein offener Port zum Internet haben genügt, mehrere Krankenhäuser lahmzulegen. In der Literatur [4]⁶ spricht man von einem „Wakeup-Call" für die moderne Medizin.

Aus diesen Cyber-Attacken gilt es nun, die notwendigen Lehren zu ziehen, ohne überzureagieren. Zu beachten gilt dabei:

Krankenhäuser sind angreifbar und bleiben es auch, wenn nichts dagegen unternommen wird. Keine der beteiligten Parteien kann noch behaupten, sich der Gefahr nicht bewusst zu sein. Jetzt ist zielförderndes Handeln angesagt. Größe und Lage eines Krankenhauses spielen bei einer Risikobetrachtung keine primäre Rolle, das heißt in der Bewertung, ob es zum Angriffsziel wird oder nicht.

Man darf bei der IT-Sicherheit nicht sparen und muss zugleich eine gleich verteilte „Paranoia" anwenden.

Am Anfang eines IT-Projekts sollte die IT-Sicherheit als grundlegende Aufgabe mit betrachtet, definiert und konkret vereinbart werden.

Zudem ist die IT-Sicherheit durch eine „Gemeinheit" geprägt: Falls es eine Sicherheitslücke – und sei sie auch noch so winzig – in einem System gibt, dann wird sie auch ausgenützt. Durch den hohen Automatisationsgrad auf Seiten der Angreifer ist das nur eine Frage der Zeit.

1.6 IT-Sicherheit, Compliance und Datenschutz

Die drei wichtigen Begriffe IT-Sicherheit, Compliance und Datenschutz werden hier kurz vorgestellt. Detailliertere Informationen finden Sie in Abschn. 3.​4.

IT-Sicherheit oder Informationssicherheit hat den Schutz von Informationen als Ziel. Die Schutzziele und Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.

Compliance bedeutet in Einklang mit den geltenden Gesetzen zu sein und die internen Regeln zu befolgen. Wenn Informationen, Geschäftsprozesse und IT-Systeme unzureichend abgesichert sind (beispielsweise durch ein unzureichendes Sicherheitsmanagement), kann dies zu Verstößen gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern führen.⁷

Datenschutz soll den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Mit Datenschutz wird daher der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet (nicht zu verwechseln mit Datensicherheit).

1.7 Haftungsausschluss/Disclaimer

Die Benutzung dieses Buches und die Umsetzung der darin enthaltenen Informationen erfolgt ausdrücklich auf eigenes Risiko. Die Ratschläge basieren auf den sogenannten „Best Practices" und auf dem aktuellen Stand der Technik. Der Verlag und auch die Autoren können für etwaige Unfälle und Schäden im Zusammenhang ausgesprochener Ratschläge keine Haftung jeder Art übernehmen. Haftungsansprüche gegen den Verlag und die Autoren für Schäden aller Art, die durch die Nutzung oder Nichtnutzung der Informationen bzw. durch die Nutzung fehlerhafter und/oder unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen. Rechts- und Schadenersatzansprüche sind daher ausgeschlossen. Der Leitfaden, inklusive aller Inhalte, wurde unter größter Sorgfalt erarbeitet. Der Verlag und die Autoren übernehmen jedoch keine Gewähr für die Aktualität, Korrektheit, Vollständigkeit und Qualität der bereitgestellten Informationen zum Zeitpunkt des Lesens. Druckfehler und Falschinformationen können nicht vollständig ausgeschlossen werden. Für die Inhalte von den in diesem Buch abgedruckten Internetseiten sind ausschließlich die Betreiber der jeweiligen Internetseiten verantwortlich. Zum Zeitpunkt der Verwendung waren keinerlei illegale Inhalte auf den aufgeführten Websites⁸ vorhanden.

1.8 Aktualität des Buches

Das Buch entspricht dem heute aktuellen Stand der Technik, die sich aber rasend schnell weiterentwickelt. Wir werden dieses Buch weiter pflegen und in Abständen als neue Auflagen aktualisieren. Gerne verwerten wir hier auch Ihre Hinweise und Erfahrungen. Scheuen Sie sich nicht, uns ein entsprechendes Feedback zukommen zu lassen.

Sie finden im jedem Kapitel jeweils einen Abschnitt „Literatur". Zum Redaktionszeitpunkt dieses Buches waren alle dort aufgeführten Links gültig und erreichbar. Sollte ein Link nicht mehr funktionieren, dann können Sie nach dem Begriff googeln und sollten dann die Informationen erhalten.

Literatur

1.

Eckert C (2014) IT-Sicherheit: Konzepte – Verfahren – Protokolle, 9. Aufl. De Gruyter Oldenbourg, Berlin/BostonCrossref

2.

Darms M (2016) Gefährdung Schweizer Spitäler gegenüber Cyberangriffen. Schulthess Verlag, Zürich

3.

NAO National Audit Office, 27. October, Investigation: WannaCry cyber attack and the NHS. https://​www.​nao.​org.​uk/​wp-content/​uploads/​2017/​10/​Investigation-WannaCry-cyber-attack-and-the-NHS.​pdf. Zugegriffen am 28.10.2017

4.

New England Journal of Medicine NEJM (2017) Cyber attack on Britain’s National Health Service – a wake-up call for the modern medicine. https://​doi.​org/​10.​1056/​NEJMp1706754. http://​www.​nejm.​org/​doi/​full/​10.​1056/​NEJMp1706754#t=​article$. Zugegriffen am 07.06.2017Crossref

5.

IT-Grundschutz-Kompendium, 1. Edition 2018, BSI. https://​www.​bsi.​bund.​de/​SharedDocs/​Downloads/​DE/​BSI/​Grundschutz/​Kompendium/​IT_​Grundschutz_​Kompendium_​Edition2018.​pdf?​_​_​blob=​publicationFile&​v=​7. Zugegriffen am 03.03.2018

Fußnoten

1

Siehe Deutsche BDSG § 4 und Schweizer DSG Art. 35.

2

Siehe Deutsche BDSG § 43 und § 44, bzw. DSGVO Art. 83 und Art. 79 und Schweizer DSG Art. 34.

3

Siehe [2, 3] und [4].

4

Die Forscher geben leicht einzuprägende Wörter. Ransomware WannaCry = Wanna Crypt, siehe Glossar.

5

Siehe Bericht [3].

6

Siehe [4] NEJM (2017) A Wake-up Call for the modern Medicine.

7

Siehe [5] BSI (2018, Seite 75) Elementare Gefährdungen G 0.29 Verstoß gegen Gesetze und Regelungen.

8

Unter Website (oder Homepage) verstehen wir einen Auftritt eines Unternehmens oder einer Institution im Internet. Falls speziell auf eine einzelne Seite hingewiesen wird, sprechen wir von einer Webseite, siehe Glossar.

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019

Martin Darms, Stefan Haßfeld und Stephen Fedtke IT-Sicherheit und Datenschutz im Gesundheitswesenhttps://doi.org/10.1007/978-3-658-21589-7_2

2. IT-Sicherheit – Was ist zu tun?

Martin Darms¹ , Stefan Haßfeld² und Stephen Fedtke³

(1)

Darms Engineering GmbH, Buonas, Schweiz

(2)

Klinikum Dortmund gGmbH Klinikzentrum Nord, Dortmund, Deutschland

(3)

Enterprise-IT-Security.com, Zug, Schweiz

Zusammenfassung

Die zehn wichtigsten Maßnahmen, mit denen Sie einfach Ihre IT-Sicherheit verbessern können, werden mit Beispielen erläutert. Die zehn häufigsten Fehler, die in der IT-Sicherheit gemacht werden, runden dieses Kapitel ab, das auch als kleines Nachschlagewerk dienen kann.

2.1 Die zehn wichtigsten IT-Sicherheitsmaßnahmen

Den ersten wichtigen Schritt haben Sie getan, indem Sie dieses Buch in Ihren Händen halten und lesen. Generell ist es wichtig, dass man sich informiert, nachfragt und dann das neue Wissen direkt anwendet. Wenn Sie sich all der möglichen Gefahren im Bereich der IT-Sicherheit noch nicht bewusst sind, dann fehlt Ihnen gegebenenfalls der Antrieb für die Notwendigkeit eines proaktiven Handelns. Nachdem Sie diesen Leitfaden dann studiert haben, ist Ihnen vieles klarer, und Sie haben über das notwendige IT-Sicherheitskonzept eine klare Vorstellung und können bei dessen Ausgestaltung konkret mitbestimmen. Eine Sensibilisierung sollte stets in vielen Bereichen stattfinden, nicht nur speziell in der IT, sondern auch im ganzen Arbeitsumfeld. Im Fall des Arztes sind dies die Kollegen, Schwestern, Pfleger usw.

Nun folgen die aus unserer Sicht zehn wichtigsten Maßnahmen in den folgenden Abschnitten.

2.1.1 Physische Absicherung der Informatikserver und -räume

Gleichgültig, ob Sie eine kleine Klinik betreiben oder Hunderte von Servern in einer Universitätsklinik, das Prinzipielle ist bei großen und kleinen Informatiklandschaften sehr ähnlich. Es unterscheidet sich vielmehr nur in der Skalierung (damit ist die Anzahl der Systeme gemeint), in der Redundanz (es existiert ein zweites System, welches sofort einspringt, wenn die Hauptkomponente ausfällt) und in der Performance (damit sind der Datendurchsatz und die Geschwindigkeit gemeint).

Mit der physischen Absicherung ist gemeint, dass sich der Server in einem abgesicherten, klimatisierten Raum mit Notstromversorgung befindet. Den Zutritt zum Server-Raum gilt es zu protokollieren, um zu wissen, welche Person wann in den Server-Raum eingetreten ist und diesen wann wieder verlassen hat. Durch eine Türzutrittskontrolle verhindert man, dass ein möglicher Angreifer oder ein unerwünschter Besucher sich einfach den Zugang zum Server-Raum verschafft und dann dort das System manipuliert, beschädigt, oder einfach nur ausschaltet.

Sichere Räume

Dies ist ein sehr wichtiger Aspekt. Der Zugang zu möglichst allen Räumen sollte limitiert sein, am besten wird die Zutrittsregelung mittels Badge geregelt. Nicht zu vergessen sind auch die physischen Zugänge, wie zum Beispiel Fenster, Zwischentüren, Lüftungsschächte und Balkone zu verschiedenen Räumen. Sollte ein Angreifer ungehindert durch ein offenes Fenster zu Ihren Servern kommen, dann ist dies möglichst schnell zu ändern. Die Abb. 2.1 verdeutlicht, dass das Sicherheitsbewusstsein vorhanden ist – es müssen nur die richtigen und effektivsten Maßnahmen eingeleitet werden, wie sie in Abschn. 4.​8.​1 vorzufinden sind.

../images/450674_1_De_2_Chapter/450674_1_De_2_Fig1_HTML.png

Abb. 2.1

Falsch verstandene Sicherheit

2.1.2 Regelmäßige Datensicherung erstellen

Die regelmäßige Datensicherung, der IT-Fachmann spricht vom sogenannten Back-up , ist das A und O einer sicheren IT-Umgebung. Ohne ein zeitnahes Back-up sind Sie völlig hilflos, wenn plötzlich kein Zugriff mehr auf Ihre Daten besteht.

Ursachen für eine plötzlich nicht mehr gegebene Verfügbarkeit von Daten oder Dateien können sein:

Hardware-Defekt, zum Beispiel Harddisk-Crash

unbeabsichtigtes Löschen von Dateien durch Benutzer oder Administratoren

Stromausfall (beschädigt Betriebssystem oder zum Zeitpunkt des Stromausfalls offene Dateien)

Softwarefehler Ihrer Datenbank oder Datei, der das Software-Programm beschädigt

Installation erpresserischer Schadsoftware, der IT-Fachmann spricht hier von Ransomware (verschlüsselt Dateien, sodass sie nicht mehr geöffnet oder gelesen werden können)

Hackerangriff gegen Sie oder den Provider: Sie können nicht mehr auf Ihre Daten in der Cloud zugreifen, weil zum Beispiel Ihre Zugangsdaten geändert wurden.

Stromunterbrechung oder Spannungsspitzen im Stromnetz: machen Ihre Server oder Ihre Arbeitsplatzstationen unbrauchbar, wenn sie nicht mit einer unterbrechungsfreien Stromversorgung (USV) abgesichert sind.

Diese Liste ist nicht vollständig.

Wie oft Sie nun ein Back-up erstellen, hängt vor allem von Ihrem Arbeitsvolumen ab. Wenn Sie weniger kritische Daten erstellen und Sie diese Daten jederzeit wieder eingeben können, dann genügt wohl ein tägliches Back-up. In größeren Krankenhäusern, mit mehreren hundert oder tausend gleichzeitig Arbeitenden wird mindestens zweistündlich ein Back-up erstellt. Hier spricht man auch von einer permanenten Spiegelung der Daten zwischen den operativen Daten und dem Back-up-System. Sie müssen unbedingt beachten, dass eine Spiegelung sehr wohl gegen einen einfachen Hardwaredefekt hilft, jedoch hilft Ihnen gegen böswilliges oder unbeabsichtigtes Löschen von Daten eine Spiegelung keineswegs.

Beim Back-up hat sich folgendes Prinzip durchgesetzt: Man erstellt ein komplettes Back-up zum Beispiel am Wochenende, danach erfolgt täglich nur ein sogenanntes inkrementelles Back-up, das heißt, nur die geänderten Dateien werden gespeichert. Die Back-up-Tapes werden auch regelmäßig im Turnus gewechselt, ein Wochen-Back-up geht regelmäßig an einen sicheren Ort (zum Beispiel Tresor).

Back-up

Das physische Back-up-Medium (Tape, externe Harddisks oder NAS¹) muss an einem sicheren (feuerfesten und wasserdichten) Ort, wie zum Beispiel in einem Tresor, aufbewahrt werden.

Denken Sie daran, wenn Sie Patientendaten speichern, die Option für ein verschlüsseltes Back-up auszuwählen. Falls die Back-up-Bänder gestohlen werden oder sonst wie abhandenkommen, sind die Patientendaten im verschlüsselten Back-up sicher vor neugierigen Einblicken und einer bösartigen Verwertung. Nur so bewahren Sie das Arztgeheimnis und befolgen das Datenschutzgesetz. Denken Sie daran, den Schlüssel der Verschlüsselung separat zu speichern sowie die verwendete Back-up-Software ebenfalls zu inventarisieren und sicher aufzubewahren. Die Schlüssel, um das Back-up wiederherzustellen, und gegebenenfalls das Passwort, brennen Sie am besten auf eine CD und zusätzlich auf einen leeren USB-Stick. Beides verpacken Sie in ein Kuvert und legen es in den feuerfesten Tresor. Der Stellvertreter des IT-Administrators muss wissen, dass im Tresor die Master-Passwörter für den Notfall bereitstehen würden.

Testen Sie regelmäßig, ob das Wiederherstellen der Dateien oder Systeme auch wirklich funktioniert. Nichts ist ärgerlicher, als dass man meint, alles sei gesichert, und sich dann herausstellt, dass gerade die wichtige Datei nicht gesichert wurde, zum Beispiel weil die Datei zum Zeitpunkt des Back-ups in exklusivem Zugriff stand und nicht gesichert werden konnte. Professionelle Back-up-Lösungen schreiben deshalb ein Protokoll, welches zu überprüfen gilt, und bieten ferner die Möglichkeit der Verifikation und Validierung eines erstellten Back-ups. Die Validierung ist sehr oft eine Option, welche jedoch aktiviert werden muss.

Stellen Sie auch sicher, dass genügend freier Speicherplatz auf dem Speichermedium für das Back-up vorhanden ist und dass allfällige Alarmierungsmeldungen, wie SMS oder E-Mail, auch beim Verantwortlichen für den Back-up-Prozess ankommen. Das heißt, die Back-up-Einstellungen müssen korrekt sein und auch getestet werden; nur bei einem solchen praktischen Test erkennen Sie zum Beispiel, wenn die Meldungen der Back-up-Lösung versehentlich im Spam-Filter landen sollten.

2.1.3 Passwörter: sichere Wahl und Umgang

Über sichere Passwörter gibt es viele Studien, Abhandlungen und sogar ganze Bücher. Hier sollen die wichtigsten Themen erörtert und begründet werden, wenn es um sichere Wahl und Umgang mit Passwörtern geht.

Was zeichnet ein sicheres Passwort aus?

möglichst lang, mehr als zehn oder zwölf Zeichen,² das absolute Minimum liegt bei acht Zeichen

Groß- und Kleinbuchstaben

mindestens zwei Sonderzeichen

kein Bezug auf die Person oder Firma

via Eselsbrücke für Benutzer gut memorierbar (das heißt, er sollte es nicht aufschreiben müssen)

kein bestimmtes Schema verwenden

Wieso soll man auch sichere Passwörter regelmäßig ändern?

Der Hauptgrund, weshalb man auch sehr sicher gewählte Passwörter regelmäßig ändern sollte, ist der Folgende: Wenn ein Angreifer die verschlüsselte Form eines