IT-Sicherheit und Datenschutz im Gesundheitswesen - Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis
von: Martin Darms, Stefan Haßfeld, Stephen Fedtke
Springer Vieweg, 2019
ISBN: 9783658215897
Sprache: Deutsch
275 Seiten, Download: 3791 KB
Format: PDF, auch als Online-Lesen
geeignet für:
Mehr zum Inhalt
IT-Sicherheit und Datenschutz im Gesundheitswesen - Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis
| Inhaltsverzeichnis | 5 | ||
| Abkürzungsverzeichnis | 12 | ||
| Abbildungsverzeichnis | 17 | ||
| 1: Einleitung | 18 | ||
| 1.1 Weshalb sollten gerade Sie als Arzt, Apotheker, Laborleiter oder IT-Verantwortlicher dieses Buch lesen? | 18 | ||
| 1.2 Bei welchen Entscheidungen hilft Ihnen dieses Buch? | 20 | ||
| 1.3 Hinweise für den Leser | 21 | ||
| 1.4 Deshalb sollten Sie sich als Arzt mit IT-Sicherheit und Datenschutz auskennen | 22 | ||
| 1.5 Konkrete Beispiele von Hackerangriffen im Gesundheitswesen | 23 | ||
| 1.6 IT-Sicherheit, Compliance und Datenschutz | 24 | ||
| 1.7 Haftungsausschluss/Disclaimer | 25 | ||
| 1.8 Aktualität des Buches | 25 | ||
| Literatur | 26 | ||
| 2: IT-Sicherheit – Was ist zu tun? | 27 | ||
| 2.1 Die zehn wichtigsten IT-Sicherheitsmaßnahmen | 27 | ||
| 2.1.1 Physische Absicherung der Informatikserver und -räume | 28 | ||
| 2.1.2 Regelmäßige Datensicherung erstellen | 28 | ||
| 2.1.3 Passwörter: sichere Wahl und Umgang | 30 | ||
| 2.1.4 Computersysteme auf aktuellem Stand halten | 32 | ||
| 2.1.5 Verantwortlichkeiten präzise definieren | 33 | ||
| 2.1.6 IT-Konzepte und grundlegende IT-Prozesse definieren/Notfallkonzepte | 34 | ||
| 2.1.7 Nutzerkreise und Netzwerkbereiche präzise definieren | 34 | ||
| 2.1.8 Schulungen und Awareness-Programme durchführen | 35 | ||
| 2.1.9 Schwachstellen von Experten prüfen lassen | 36 | ||
| 2.1.10 IT-Sicherheitswerkzeuge richtig einsetzen | 37 | ||
| 2.2 Die zehn typischen Fehler in einer medizinischen IT – vom Schwesternzimmer bis zum Sekretariat | 38 | ||
| 2.2.1 Unprofessioneller Umgang mit Passwörtern | 38 | ||
| 2.2.1.1 Unsichere Passwörter | 38 | ||
| 2.2.1.2 Passwörter werden an Bildschirm oder Pinnwand angeheftet | 39 | ||
| 2.2.1.3 Gleiche oder ähnliche Passwörter werden für verschiedene Zwecke verwendet | 39 | ||
| 2.2.2 Datenwiederherstellung wird nicht geprüft oder getestet bzw. geübt | 39 | ||
| 2.2.3 Unachtsames Klicken auf an E-Mail anhängende Links | 42 | ||
| 2.2.4 Vorhandene Sicherheitsvorkehrungen werden nicht genutzt oder ignoriert | 43 | ||
| 2.2.5 Der Chef oder die Leitung der Verwaltung interessiert sich nicht für IT-Sicherheit | 44 | ||
| 2.2.6 Kein Anlagenmanagement | 45 | ||
| 2.2.7 Fehlende Schulung und kein Awareness-Programm | 46 | ||
| 2.2.8 Veraltete Betriebssysteme und Programme werden verwendet | 47 | ||
| 2.2.9 Benutzer kann fremde bzw. eigene Software installieren | 48 | ||
| 2.2.10 Man fühlt sich zu sicher | 49 | ||
| Literatur | 49 | ||
| 3: IT-Sicherheitstechniken und Schutzziele für die medizinische IT | 51 | ||
| 3.1 Allgemeine Informationen und Definitionen | 51 | ||
| 3.2 Möglichkeiten zur Erhöhung der IT-Sicherheit | 55 | ||
| 3.3 IT-Sicherheit für den Computerarbeitsplatz basierend auf Standardtechnik | 57 | ||
| 3.3.1 Benutzerauthentisierung | 59 | ||
| 3.3.2 Rollentrennung | 59 | ||
| 3.3.3 Aktivieren von Autoupdate-Mechanismen | 59 | ||
| 3.3.4 Regelmäßige Datensicherung | 60 | ||
| 3.3.5 Bildschirmsperre | 60 | ||
| 3.3.6 Einsatz von Virenschutzprogrammen | 60 | ||
| 3.3.7 Protokollierung | 61 | ||
| 3.3.8 Nutzung von TLS | 61 | ||
| 3.3.9 Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und -Kameras | 62 | ||
| 3.3.10 Abmelden nach Aufgabenerfüllung | 62 | ||
| 3.4 CIA-Triade | 62 | ||
| 3.4.1 Confidentiality: Vertraulichkeit (Datenschutz) | 62 | ||
| 3.4.1.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten | 64 | ||
| 3.4.2 Integrity: Integrität (Datensicherheit) | 65 | ||
| 3.4.2.1 Integritätsverlust schützenswerter Informationen | 65 | ||
| 3.4.3 Availability: Verfügbarkeit (Datenzugriff) | 66 | ||
| 3.4.4 Zusätzliche Schutzziele und Herausforderungen | 67 | ||
| 3.4.4.1 Authenticity: Authentizität | 67 | ||
| 3.4.4.2 Non repudiation: Nichtabstreitbarkeit | 68 | ||
| 3.4.4.3 IT-Sicherheit, Compliance und EU-DSGVO-konform | 68 | ||
| 3.5 Mit einfachen Schritten zu härteren Systemen („Hardening“) | 69 | ||
| 3.5.1 Schutzmaßnahmen für Windows-PCs | 69 | ||
| 3.5.2 Schutzmaßnahmen für Apple OS X | 73 | ||
| 3.5.3 Schutzmaßnahmen für Mobile Devices | 75 | ||
| Literatur | 77 | ||
| 4: Einfallspforten für IT-Angreifer in der Medizin | 79 | ||
| 4.1 Einführung in die „IT-Risiko-Anamnese“ | 79 | ||
| 4.2 „Feindbild“ und Bedrohungen | 79 | ||
| 4.3 Hacker-Angriffe | 80 | ||
| 4.4 Die Räumlichkeiten und ihre Risikoprofile | 82 | ||
| 4.4.1 Wartezimmer | 82 | ||
| 4.4.2 Behandlungszimmer | 82 | ||
| 4.4.3 Patientenzimmer (im Krankenhaus) | 82 | ||
| 4.4.4 Empfang, Sekretariat und Verwaltung | 83 | ||
| 4.4.5 Häuslicher Arbeitsplatz/Home Office/Mobiler Arbeitsplatz | 83 | ||
| 4.4.6 Gefährdung durch Reinigungs- oder Fremdpersonal | 86 | ||
| 4.4.7 Parkplätze, Lagerräume etc. | 86 | ||
| 4.4.8 Räume der IT | 86 | ||
| 4.5 Standard-IT-Geräte im medizinischen Umfeld | 86 | ||
| 4.5.1 Standard-PC | 86 | ||
| 4.5.2 Tablet und Smartphone | 87 | ||
| 4.5.3 USB-Stick | 88 | ||
| 4.5.4 USB-Geräte | 89 | ||
| 4.5.4.1 USB-Killer (Stick) | 89 | ||
| 4.5.4.2 Tastatur-Logger | 90 | ||
| 4.5.4.3 USB-Stick als USB-Tastatur | 90 | ||
| 4.5.4.4 USB-Netzwerkkarte | 90 | ||
| 4.5.4.5 Malware auf dem USB-Stick | 91 | ||
| 4.5.5 Verkabelter Angriff („Sniffer“) | 91 | ||
| 4.5.6 Radio- oder Funkwellen-Angriff | 91 | ||
| 4.5.7 Manipulierter WLAN-Router | 92 | ||
| 4.5.8 Intelligente Virtuelle Assistenzsysteme | 93 | ||
| 4.6 IT-Zugänge | 94 | ||
| 4.6.1 Kabelgebundene Zugänge | 94 | ||
| 4.6.2 Drahtlose Zugänge | 95 | ||
| 4.6.3 Kommunikationsserver | 96 | ||
| 4.6.4 Remote-Zugang für Service-Zwecke | 96 | ||
| 4.7 Medizingeräte | 97 | ||
| 4.8 Systematisches Vorgehen beim Schützen einer IT im Gesundheitswesen | 98 | ||
| 4.8.1 IT-Grundschutz des BSI | 98 | ||
| 4.8.2 Besondere Absicherungsmaßnahmen im Gesundheitswesen | 101 | ||
| 4.8.3 Anforderungen an Hard- und Software | 101 | ||
| 4.8.4 Wichtige IT-Sicherheitsmaßnahmen | 103 | ||
| 4.8.5 Bring Your Own Device (BYOD) | 114 | ||
| 4.8.6 Security Monitoring in größeren IT-Installationen (SIEM, SOC) | 118 | ||
| Literatur | 122 | ||
| 5: Medizintechnik und medizinische Geräte als potenzielle Schwachstelle | 124 | ||
| 5.1 Klassifizierung medizinischer Geräte (mit Software oder IT) | 124 | ||
| 5.1.1 Einteilung in Risikoklassen | 124 | ||
| 5.1.2 Klassische Medizinprodukte – Bildgebende Systeme | 126 | ||
| 5.1.3 Lebenserhaltende medizinische Systeme und aktive Systeme | 127 | ||
| 5.2 Einsatzort | 128 | ||
| 5.2.1 Stationäre medizinische Geräte | 128 | ||
| 5.2.2 Mobile medizinische Geräte | 128 | ||
| 5.3 Vernetzung medizinischer Geräte | 129 | ||
| 5.3.1 Stand-alone-Betrieb | 130 | ||
| 5.3.2 Lokal vernetzter Betrieb | 130 | ||
| 5.3.3 Vernetzter Betrieb mit Zugang zum Internet | 130 | ||
| 5.4 Verwundbarkeit medizinischer Geräte und daraus resultierende Risiken | 131 | ||
| 5.4.1 Praxisnahe Beispiel-Szenarien der IT-Sicherheit in Medizingeräten | 131 | ||
| 5.4.1.1 Infusionspumpen in Krankenhäuser sind manipulierbar | 131 | ||
| 5.4.1.2 Automatisierter externer Defibrillator (AED) | 132 | ||
| 5.4.2 Hacken von Krankenhaus-Ausrüstungen | 133 | ||
| 5.4.3 Geeignete risikokompensierende Gegenmaßnahmen | 136 | ||
| 5.5 Medizingeräte – Worauf Sie achten sollten | 137 | ||
| 5.5.1 Lebenszyklus medizinischer Geräte | 137 | ||
| 5.5.2 Evaluierung | 137 | ||
| 5.5.3 Einkauf | 138 | ||
| 5.5.4 Inbetriebnahme und Abnahme | 138 | ||
| 5.5.5 Wartung und Updates | 139 | ||
| 5.5.6 Periodische Überprüfung durch den TÜV | 140 | ||
| 5.5.7 Lebensende und sichere Entsorgung | 140 | ||
| 5.5.8 Awareness bei den Nutzern und eine Checkliste für jeden Tag | 140 | ||
| 5.6 Awareness „Medizingeräte“ | 141 | ||
| 5.6.1 Awareness-Programm für interne Mitarbeiter | 141 | ||
| 5.6.2 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten | 142 | ||
| Literatur | 142 | ||
| 6: Arztpraxen – kleiner, aber umso gefährdeter | 144 | ||
| 6.1 IT-Sicherheit in der eigenen Praxis | 144 | ||
| 6.1.1 Was darf niemals, da (grob) fahrlässig, passieren? | 145 | ||
| 6.2 E-Health-Gesetz | 146 | ||
| 6.3 Cyber-Versicherung für Arztpraxen | 149 | ||
| 6.4 Schützenswerte Bereiche einer Arztpraxis | 149 | ||
| 6.4.1 Empfang | 149 | ||
| 6.4.2 Wartezimmer | 150 | ||
| 6.4.3 Labor | 151 | ||
| 6.4.4 Behandlungszimmer mit PC | 151 | ||
| 6.4.5 Server-Raum | 151 | ||
| 6.4.6 Lagerräume für fachgerechte Deponierung, Archivierung und Entsorgung | 152 | ||
| 6.5 Schützenswerte Daten einer Arztpraxis | 152 | ||
| 6.5.1 Personenbezogene Datenobjekte | 152 | ||
| 6.5.2 Unberechtigter Datenzugriff durch Dritte | 153 | ||
| 6.6 Maßnahmen zur Gewährleistung der IT-Sicherheit in der Arztpraxis | 154 | ||
| 6.6.1 Zutrittskontrolle (P, O) | 154 | ||
| 6.6.2 Zugangskontrolle (T, O) | 155 | ||
| 6.6.3 Zugriffskontrolle (T, O) | 155 | ||
| 6.6.4 Weitergabekontrolle (T) | 155 | ||
| 6.6.5 Eingabekontrolle (T) | 156 | ||
| 6.6.6 Auftragskontrolle (O) | 156 | ||
| 6.6.7 Verfügbarkeitskontrolle (T, O) | 156 | ||
| 6.6.8 Trennungskontrolle (T, O) | 156 | ||
| 6.7 Checkliste „Arztpraxis“ | 157 | ||
| 6.7.1 Datenschutz in der Arztpraxis | 157 | ||
| 6.7.2 Neueinrichtung einer Praxis | 158 | ||
| 6.7.3 Praxisübernahme | 160 | ||
| 6.7.4 Verträge mit IT-Lieferanten | 161 | ||
| 6.7.5 Praxisverkauf oder Praxisaufgabe | 162 | ||
| 6.7.5.1 Praxisverkauf | 162 | ||
| 6.7.5.2 Praxisaufgabe/Praxisauflösung | 162 | ||
| 6.8 Awareness „Arztpraxis“ | 162 | ||
| 6.8.1 Awareness im Allgemeinen | 162 | ||
| 6.8.2 Awareness-Programm für Mitarbeiter | 163 | ||
| 6.8.3 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten | 164 | ||
| 6.8.4 Informationssicherheitsrichtlinie | 165 | ||
| Literatur | 166 | ||
| 7: Wichtige Gesetze und Standards der IT-Sicherheit im Gesundheitswesen | 167 | ||
| 7.1 Gesetze | 167 | ||
| 7.1.1 Straftatbestände | 167 | ||
| 7.1.2 Gesetzeslage | 170 | ||
| 7.1.3 Europäische Vorgaben in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR) | 171 | ||
| 7.1.3.1 Inkrafttreten und Begriffe | 171 | ||
| 7.1.3.2 Datenpannen | 172 | ||
| 7.1.3.3 Acht Regeln der Datensicherung | 174 | ||
| 7.1.3.4 Besonderheiten beim Internetauftritt | 176 | ||
| 7.1.3.5 Datenschutzbeauftragter | 177 | ||
| 7.1.3.6 Datensicherung | 177 | ||
| 7.1.3.7 Auswirkungen auf die Schweiz | 178 | ||
| 7.1.4 HIPAA-Gesetz (USA) | 178 | ||
| 7.2 Die verschiedenen Standards | 180 | ||
| 7.2.1 Standard ISO/IEC 27000:2016 | 180 | ||
| 7.2.2 Standard ISO/IEC 27001:2013 | 180 | ||
| 7.2.3 Standard ISO/IEC 27002:2013 | 181 | ||
| 7.2.4 Standard ISO/IEC 27005:2018 | 181 | ||
| 7.2.5 Standard ISO/IEC 27789:2013 | 181 | ||
| 7.2.6 Standard ISO/IEC 27799:2016 | 182 | ||
| 7.2.7 Standard ISO 22600:2015-02 | 182 | ||
| 7.2.8 Standard ISO 22857:2013 | 183 | ||
| 7.2.9 Standard IEC EN 80001-1:2010 | 183 | ||
| 7.2.10 IT-Grundschutz | 184 | ||
| 7.2.11 NIST-Standards und Leitfaden | 185 | ||
| Literatur | 185 | ||
| 8: Krankenhäuser und Kliniken – groß, anonym und damit ideal für Angreifer | 188 | ||
| 8.1 Herausforderung für Krankenhäuser | 188 | ||
| 8.2 Schutzbedarfsfeststellung gemäß IT-Grundschutz | 189 | ||
| 8.3 Schützenswerte Bereiche eines Krankenhauses | 193 | ||
| 8.3.1 Vergleich mit Arztpraxen | 193 | ||
| 8.3.2 Operationsräume | 193 | ||
| 8.3.3 Chirurgie-Roboter | 194 | ||
| 8.3.4 Technikräume | 197 | ||
| 8.3.5 Patientenzimmer | 198 | ||
| 8.4 Schützenswerte Daten eines Krankenhauses | 198 | ||
| 8.4.1 Schutzpflichtige Daten | 198 | ||
| 8.4.2 Unberechtigter Datenzugriff durch Dritte | 199 | ||
| 8.5 Gewährleistung der IT-Sicherheit in einem Krankenhaus | 199 | ||
| 8.6 Awareness „Krankenhaus“ | 199 | ||
| 8.6.1 Überblick | 199 | ||
| 8.6.2 Organisation der Awareness-Maßnahmen | 200 | ||
| 8.6.3 Stufengerechte Sensibilisierungsinhalte | 202 | ||
| 8.6.4 Awareness-Programm für alle internen Mitarbeiter | 204 | ||
| 8.6.5 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten | 206 | ||
| Literatur | 207 | ||
| 9: Musterverträge für die DSGVO | 209 | ||
| 9.1 Allgemeine und Copyright-Hinweise | 209 | ||
| 9.2 Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO | 210 | ||
| 9.2.1 Gegenstand und Dauer des Auftrags | 211 | ||
| 9.2.2 Konkretisierung des Auftragsinhalts | 211 | ||
| 9.2.3 Technisch-organisatorische Maßnahmen | 213 | ||
| 9.2.4 Berichtigung, Einschränkung und Löschung von Daten | 213 | ||
| 9.2.5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers | 213 | ||
| 9.2.6 Unterauftragsverhältnisse | 215 | ||
| 9.2.7 Kontrollrechte des Auftraggebers | 216 | ||
| 9.2.8 Mitteilung bei Verstößen des Auftragnehmers | 217 | ||
| 9.2.9 Weisungsbefugnis des Auftraggebers | 217 | ||
| 9.2.10 Löschung und Rückgabe von personenbezogenen Daten | 218 | ||
| 9.2.11 Fernzugriff oder -wartung | 218 | ||
| 9.2.12 Gerichtsstand | 220 | ||
| 9.3 Mustervertrag Anlage – Technisch-organisatorische Maßnahmen | 220 | ||
| 9.3.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) | 220 | ||
| 9.3.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO) | 221 | ||
| 9.3.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) | 221 | ||
| 9.3.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO | 221 | ||
| 9.4 Beispiel für eine Vertraulichkeitserklärung zur Verpflichtung des eingesetzten Personals | 221 | ||
| 9.4.1 Verpflichtung auf das Datengeheimnis nach Art. 28 Abs. 3 S. 2 lit. b DSGVO | 222 | ||
| 9.4.2 Verpflichtung auf das Fernmeldegeheimnis | 222 | ||
| 9.4.3 Verpflichtung auf Wahrung von Geschäftsgeheimnissen | 222 | ||
| Literatur | 223 | ||
| 10: Nützliches für den täglichen Gebrauch | 224 | ||
| 10.1 Nützliche Internet-Links | 224 | ||
| 10.2 Bestimmungen, Checklisten, Praxistipps | 225 | ||
| 10.2.1 Checkliste „IT-Sicherheit in der Praxis“ | 225 | ||
| 10.2.2 Geräteverlust oder Diebstahl – Was ist zu tun? | 229 | ||
| 10.2.3 IT-Sicherheitsstrategie und -management | 230 | ||
| 10.2.4 Gesetzliche Aufbewahrungspflichten | 231 | ||
| 10.2.5 Checkliste „Medizingeräte“ | 231 | ||
| 10.2.6 Spurensuche: Warum sind die IT-Sicherheitsmaßnahmen nicht umgesetzt? | 232 | ||
| 10.2.7 Methoden und Maßnahmen | 233 | ||
| 10.2.8 Notfallkonzept | 234 | ||
| 10.2.9 Anzeichen für Phishing-Attacken | 235 | ||
| 10.2.10 Anzeichen dafür, dass Ihr PC gehackt worden ist | 235 | ||
| 10.2.11 Teilnahme an Konferenzen im Ausland | 236 | ||
| 10.2.12 Ergebniserwartung an einen Sicherheitscheck durch Spezialisten | 237 | ||
| 10.2.13 Websites | 238 | ||
| 10.2.14 Checkliste „Härtungsmaßnahmen“ | 239 | ||
| 10.2.14.1 Windows | 239 | ||
| 10.2.14.2 Apple OS X | 240 | ||
| 10.2.14.3 Tablets und Smartphones | 241 | ||
| 10.2.15 Arbeitsvertrag – Datenschutz und IT-Sicherheit | 241 | ||
| 10.2.16 Neubau einer Arztpraxis | 242 | ||
| 10.3 Risiko-Kategorisierung | 243 | ||
| Literatur | 243 | ||
| Glossar: IT-Fachausdrücke ganz einfach erklärt | 247 | ||
| Glossar | 249 | ||
| Literatur | 270 | ||
| Stichwortverzeichnis | 271 |