IT-Sicherheit und Datenschutz im Gesundheitswesen (eBook)

Martin Darms, Dipl. El.-Ing. ETH, MBA, ist seit über 20 Jahren im Bereich Forschung und Entwicklung in der Medizinbranche in leitenden Positionen tätig. Spezielle Aufmerksamkeit widmet er der IT-Sicherheit für medizinische Geräte.Prof. Dr. Dr. Stefan Haßfeld, Direktor der Klinik für Mund-, Kiefer- und Gesichtschirurgie am Klinikum Dortmund gGmbH und Lehrstuhlinhaber des Fachgebiets an der Universität Witten/Herdecke, beschäftigt sich neben seiner umfangreichen klinischen Tätigkeit seit 30 Jahren konzeptionell und praktisch mit dem Einsatz von Informationstechnologie in der Chirurgie.Dr. Stephen Fedtke ist CTO des auf IT-Sicherheit und -Compliance spezialisierten Lösungsanbieters Enterprise-IT-Security.com. 

Inhaltsverzeichnis 5
Abkürzungsverzeichnis 12
Abbildungsverzeichnis 17
1: Einleitung 18
1.1 Weshalb sollten gerade Sie als Arzt, Apotheker, Laborleiter oder IT-Verantwortlicher dieses Buch lesen? 18
1.2 Bei welchen Entscheidungen hilft Ihnen dieses Buch? 20
1.3 Hinweise für den Leser 21
1.4 Deshalb sollten Sie sich als Arzt mit IT-Sicherheit und Datenschutz auskennen 22
1.5 Konkrete Beispiele von Hackerangriffen im Gesundheitswesen 23
1.6 IT-Sicherheit, Compliance und Datenschutz 24
1.7 Haftungsausschluss/Disclaimer 25
1.8 Aktualität des Buches 25
Literatur 26
2: IT-Sicherheit – Was ist zu tun? 27
2.1 Die zehn wichtigsten IT-Sicherheitsmaßnahmen 27
2.1.1 Physische Absicherung der Informatikserver und -räume 28
2.1.2 Regelmäßige Datensicherung erstellen 28
2.1.3 Passwörter: sichere Wahl und Umgang 30
2.1.4 Computersysteme auf aktuellem Stand halten 32
2.1.5 Verantwortlichkeiten präzise definieren 33
2.1.6 IT-Konzepte und grundlegende IT-Prozesse definieren/Notfallkonzepte 34
2.1.7 Nutzerkreise und Netzwerkbereiche präzise definieren 34
2.1.8 Schulungen und Awareness-Programme durchführen 35
2.1.9 Schwachstellen von Experten prüfen lassen 36
2.1.10 IT-Sicherheitswerkzeuge richtig einsetzen 37
2.2 Die zehn typischen Fehler in einer medizinischen IT – vom Schwesternzimmer bis zum Sekretariat 38
2.2.1 Unprofessioneller Umgang mit Passwörtern 38
2.2.1.1 Unsichere Passwörter 38
2.2.1.2 Passwörter werden an Bildschirm oder Pinnwand angeheftet 39
2.2.1.3 Gleiche oder ähnliche Passwörter werden für verschiedene Zwecke verwendet 39
2.2.2 Datenwiederherstellung wird nicht geprüft oder getestet bzw. geübt 39
2.2.3 Unachtsames Klicken auf an E-Mail anhängende Links 42
2.2.4 Vorhandene Sicherheitsvorkehrungen werden nicht genutzt oder ignoriert 43
2.2.5 Der Chef oder die Leitung der Verwaltung interessiert sich nicht für IT-Sicherheit 44
2.2.6 Kein Anlagenmanagement 45
2.2.7 Fehlende Schulung und kein Awareness-Programm 46
2.2.8 Veraltete Betriebssysteme und Programme werden verwendet 47
2.2.9 Benutzer kann fremde bzw. eigene Software installieren 48
2.2.10 Man fühlt sich zu sicher 49
Literatur 49
3: IT-Sicherheitstechniken und Schutzziele für die medizinische IT 51
3.1 Allgemeine Informationen und Definitionen 51
3.2 Möglichkeiten zur Erhöhung der IT-Sicherheit 55
3.3 IT-Sicherheit für den Computerarbeitsplatz basierend auf Standardtechnik 57
3.3.1 Benutzerauthentisierung 59
3.3.2 Rollentrennung 59
3.3.3 Aktivieren von Autoupdate-Mechanismen 59
3.3.4 Regelmäßige Datensicherung 60
3.3.5 Bildschirmsperre 60
3.3.6 Einsatz von Virenschutzprogrammen 60
3.3.7 Protokollierung 61
3.3.8 Nutzung von TLS 61
3.3.9 Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und -Kameras 62
3.3.10 Abmelden nach Aufgabenerfüllung 62
3.4 CIA-Triade 62
3.4.1 Confidentiality: Vertraulichkeit (Datenschutz) 62
3.4.1.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten 64
3.4.2 Integrity: Integrität (Datensicherheit) 65
3.4.2.1 Integritätsverlust schützenswerter Informationen 65
3.4.3 Availability: Verfügbarkeit (Datenzugriff) 66
3.4.4 Zusätzliche Schutzziele und Herausforderungen 67
3.4.4.1 Authenticity: Authentizität 67
3.4.4.2 Non repudiation: Nichtabstreitbarkeit 68
3.4.4.3 IT-Sicherheit, Compliance und EU-DSGVO-konform 68
3.5 Mit einfachen Schritten zu härteren Systemen („Hardening“) 69
3.5.1 Schutzmaßnahmen für Windows-PCs 69
3.5.2 Schutzmaßnahmen für Apple OS X 73
3.5.3 Schutzmaßnahmen für Mobile Devices 75
Literatur 77
4: Einfallspforten für IT-Angreifer in der Medizin 79
4.1 Einführung in die „IT-Risiko-Anamnese“ 79
4.2 „Feindbild“ und Bedrohungen 79
4.3 Hacker-Angriffe 80
4.4 Die Räumlichkeiten und ihre Risikoprofile 82
4.4.1 Wartezimmer 82
4.4.2 Behandlungszimmer 82
4.4.3 Patientenzimmer (im Krankenhaus) 82
4.4.4 Empfang, Sekretariat und Verwaltung 83
4.4.5 Häuslicher Arbeitsplatz/Home Office/Mobiler Arbeitsplatz 83
4.4.6 Gefährdung durch Reinigungs- oder Fremdpersonal 86
4.4.7 Parkplätze, Lagerräume etc. 86
4.4.8 Räume der IT 86
4.5 Standard-IT-Geräte im medizinischen Umfeld 86
4.5.1 Standard-PC 86
4.5.2 Tablet und Smartphone 87
4.5.3 USB-Stick 88
4.5.4 USB-Geräte 89
4.5.4.1 USB-Killer (Stick) 89
4.5.4.2 Tastatur-Logger 90
4.5.4.3 USB-Stick als USB-Tastatur 90
4.5.4.4 USB-Netzwerkkarte 90
4.5.4.5 Malware auf dem USB-Stick 91
4.5.5 Verkabelter Angriff („Sniffer“) 91
4.5.6 Radio- oder Funkwellen-Angriff 91
4.5.7 Manipulierter WLAN-Router 92
4.5.8 Intelligente Virtuelle Assistenzsysteme 93
4.6 IT-Zugänge 94
4.6.1 Kabelgebundene Zugänge 94
4.6.2 Drahtlose Zugänge 95
4.6.3 Kommunikationsserver 96
4.6.4 Remote-Zugang für Service-Zwecke 96
4.7 Medizingeräte 97
4.8 Systematisches Vorgehen beim Schützen einer IT im Gesundheitswesen 98
4.8.1 IT-Grundschutz des BSI 98
4.8.2 Besondere Absicherungsmaßnahmen im Gesundheitswesen 101
4.8.3 Anforderungen an Hard- und Software 101
4.8.4 Wichtige IT-Sicherheitsmaßnahmen 103
4.8.5 Bring Your Own Device (BYOD) 114
4.8.6 Security Monitoring in größeren IT-Installationen (SIEM, SOC) 118
Literatur 122
5: Medizintechnik und medizinische Geräte als potenzielle Schwachstelle 124
5.1 Klassifizierung medizinischer Geräte (mit Software oder IT) 124
5.1.1 Einteilung in Risikoklassen 124
5.1.2 Klassische Medizinprodukte – Bildgebende Systeme 126
5.1.3 Lebenserhaltende medizinische Systeme und aktive Systeme 127
5.2 Einsatzort 128
5.2.1 Stationäre medizinische Geräte 128
5.2.2 Mobile medizinische Geräte 128
5.3 Vernetzung medizinischer Geräte 129
5.3.1 Stand-alone-Betrieb 130
5.3.2 Lokal vernetzter Betrieb 130
5.3.3 Vernetzter Betrieb mit Zugang zum Internet 130
5.4 Verwundbarkeit medizinischer Geräte und daraus resultierende Risiken 131
5.4.1 Praxisnahe Beispiel-Szenarien der IT-Sicherheit in Medizingeräten 131
5.4.1.1 Infusionspumpen in Krankenhäuser sind manipulierbar 131
5.4.1.2 Automatisierter externer Defibrillator (AED) 132
5.4.2 Hacken von Krankenhaus-Ausrüstungen 133
5.4.3 Geeignete risikokompensierende Gegenmaßnahmen 136
5.5 Medizingeräte – Worauf Sie achten sollten 137
5.5.1 Lebenszyklus medizinischer Geräte 137
5.5.2 Evaluierung 137
5.5.3 Einkauf 138
5.5.4 Inbetriebnahme und Abnahme 138
5.5.5 Wartung und Updates 139
5.5.6 Periodische Überprüfung durch den TÜV 140
5.5.7 Lebensende und sichere Entsorgung 140
5.5.8 Awareness bei den Nutzern und eine Checkliste für jeden Tag 140
5.6 Awareness „Medizingeräte“ 141
5.6.1 Awareness-Programm für interne Mitarbeiter 141
5.6.2 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten 142
Literatur 142
6: Arztpraxen – kleiner, aber umso gefährdeter 144
6.1 IT-Sicherheit in der eigenen Praxis 144
6.1.1 Was darf niemals, da (grob) fahrlässig, passieren? 145
6.2 E-Health-Gesetz 146
6.3 Cyber-Versicherung für Arztpraxen 149
6.4 Schützenswerte Bereiche einer Arztpraxis 149
6.4.1 Empfang 149
6.4.2 Wartezimmer 150
6.4.3 Labor 151
6.4.4 Behandlungszimmer mit PC 151
6.4.5 Server-Raum 151
6.4.6 Lagerräume für fachgerechte Deponierung, Archivierung und Entsorgung 152
6.5 Schützenswerte Daten einer Arztpraxis 152
6.5.1 Personenbezogene Datenobjekte 152
6.5.2 Unberechtigter Datenzugriff durch Dritte 153
6.6 Maßnahmen zur Gewährleistung der IT-Sicherheit in der Arztpraxis 154
6.6.1 Zutrittskontrolle (P, O) 154
6.6.2 Zugangskontrolle (T, O) 155
6.6.3 Zugriffskontrolle (T, O) 155
6.6.4 Weitergabekontrolle (T) 155
6.6.5 Eingabekontrolle (T) 156
6.6.6 Auftragskontrolle (O) 156
6.6.7 Verfügbarkeitskontrolle (T, O) 156
6.6.8 Trennungskontrolle (T, O) 156
6.7 Checkliste „Arztpraxis“ 157
6.7.1 Datenschutz in der Arztpraxis 157
6.7.2 Neueinrichtung einer Praxis 158
6.7.3 Praxisübernahme 160
6.7.4 Verträge mit IT-Lieferanten 161
6.7.5 Praxisverkauf oder Praxisaufgabe 162
6.7.5.1 Praxisverkauf 162
6.7.5.2 Praxisaufgabe/Praxisauflösung 162
6.8 Awareness „Arztpraxis“ 162
6.8.1 Awareness im Allgemeinen 162
6.8.2 Awareness-Programm für Mitarbeiter 163
6.8.3 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten 164
6.8.4 Informationssicherheitsrichtlinie 165
Literatur 166
7: Wichtige Gesetze und Standards der IT-Sicherheit im Gesundheitswesen 167
7.1 Gesetze 167
7.1.1 Straftatbestände 167
7.1.2 Gesetzeslage 170
7.1.3 Europäische Vorgaben in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR) 171
7.1.3.1 Inkrafttreten und Begriffe 171
7.1.3.2 Datenpannen 172
7.1.3.3 Acht Regeln der Datensicherung 174
7.1.3.4 Besonderheiten beim Internetauftritt 176
7.1.3.5 Datenschutzbeauftragter 177
7.1.3.6 Datensicherung 177
7.1.3.7 Auswirkungen auf die Schweiz 178
7.1.4 HIPAA-Gesetz (USA) 178
7.2 Die verschiedenen Standards 180
7.2.1 Standard ISO/IEC 27000:2016 180
7.2.2 Standard ISO/IEC 27001:2013 180
7.2.3 Standard ISO/IEC 27002:2013 181
7.2.4 Standard ISO/IEC 27005:2018 181
7.2.5 Standard ISO/IEC 27789:2013 181
7.2.6 Standard ISO/IEC 27799:2016 182
7.2.7 Standard ISO 22600:2015-02 182
7.2.8 Standard ISO 22857:2013 183
7.2.9 Standard IEC EN 80001-1:2010 183
7.2.10 IT-Grundschutz 184
7.2.11 NIST-Standards und Leitfaden 185
Literatur 185
8: Krankenhäuser und Kliniken – groß, anonym und damit ideal für Angreifer 188
8.1 Herausforderung für Krankenhäuser 188
8.2 Schutzbedarfsfeststellung gemäß IT-Grundschutz 189
8.3 Schützenswerte Bereiche eines Krankenhauses 193
8.3.1 Vergleich mit Arztpraxen 193
8.3.2 Operationsräume 193
8.3.3 Chirurgie-Roboter 194
8.3.4 Technikräume 197
8.3.5 Patientenzimmer 198
8.4 Schützenswerte Daten eines Krankenhauses 198
8.4.1 Schutzpflichtige Daten 198
8.4.2 Unberechtigter Datenzugriff durch Dritte 199
8.5 Gewährleistung der IT-Sicherheit in einem Krankenhaus 199
8.6 Awareness „Krankenhaus“ 199
8.6.1 Überblick 199
8.6.2 Organisation der Awareness-Maßnahmen 200
8.6.3 Stufengerechte Sensibilisierungsinhalte 202
8.6.4 Awareness-Programm für alle internen Mitarbeiter 204
8.6.5 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten 206
Literatur 207
9: Musterverträge für die DSGVO 209
9.1 Allgemeine und Copyright-Hinweise 209
9.2 Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO 210
9.2.1 Gegenstand und Dauer des Auftrags 211
9.2.2 Konkretisierung des Auftragsinhalts 211
9.2.3 Technisch-organisatorische Maßnahmen 213
9.2.4 Berichtigung, Einschränkung und Löschung von Daten 213
9.2.5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers 213
9.2.6 Unterauftragsverhältnisse 215
9.2.7 Kontrollrechte des Auftraggebers 216
9.2.8 Mitteilung bei Verstößen des Auftragnehmers 217
9.2.9 Weisungsbefugnis des Auftraggebers 217
9.2.10 Löschung und Rückgabe von personenbezogenen Daten 218
9.2.11 Fernzugriff oder -wartung 218
9.2.12 Gerichtsstand 220
9.3 Mustervertrag Anlage – Technisch-organisatorische Maßnahmen 220
9.3.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) 220
9.3.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO) 221
9.3.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) 221
9.3.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO Art. 25 Abs. 1 DSGVO)
9.4 Beispiel für eine Vertraulichkeitserklärung zur Verpflichtung des eingesetzten Personals 221
9.4.1 Verpflichtung auf das Datengeheimnis nach Art. 28 Abs. 3 S. 2 lit. b DSGVO 222
9.4.2 Verpflichtung auf das Fernmeldegeheimnis 222
9.4.3 Verpflichtung auf Wahrung von Geschäftsgeheimnissen 222
Literatur 223
10: Nützliches für den täglichen Gebrauch 224
10.1 Nützliche Internet-Links 224
10.2 Bestimmungen, Checklisten, Praxistipps 225
10.2.1 Checkliste „IT-Sicherheit in der Praxis“ 225
10.2.2 Geräteverlust oder Diebstahl – Was ist zu tun? 229
10.2.3 IT-Sicherheitsstrategie und -management 230
10.2.4 Gesetzliche Aufbewahrungspflichten 231
10.2.5 Checkliste „Medizingeräte“ 231
10.2.6 Spurensuche: Warum sind die IT-Sicherheitsmaßnahmen nicht umgesetzt? 232
10.2.7 Methoden und Maßnahmen 233
10.2.8 Notfallkonzept 234
10.2.9 Anzeichen für Phishing-Attacken 235
10.2.10 Anzeichen dafür, dass Ihr PC gehackt worden ist 235
10.2.11 Teilnahme an Konferenzen im Ausland 236
10.2.12 Ergebniserwartung an einen Sicherheitscheck durch Spezialisten 237
10.2.13 Websites 238
10.2.14 Checkliste „Härtungsmaßnahmen“ 239
10.2.14.1 Windows 239
10.2.14.2 Apple OS X 240
10.2.14.3 Tablets und Smartphones 241
10.2.15 Arbeitsvertrag – Datenschutz und IT-Sicherheit 241
10.2.16 Neubau einer Arztpraxis 242
10.3 Risiko-Kategorisierung 243
Literatur 243
Glossar: IT-Fachausdrücke ganz einfach erklärt 247
Glossar 249
Literatur 270
Stichwortverzeichnis 271