-
Notifications
You must be signed in to change notification settings - Fork 2
/
Copy pathit-sicherheit.qmd
192 lines (151 loc) · 28.6 KB
/
it-sicherheit.qmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
# IT-Sicherheit
Die **KBV IT-Sicherheitsrichtlinie** wurde von der **Kassenärztlichen Bundesvereinigung (KBV)** entwickelt, um die Anforderungen von **§ 75b SGB V** zu erfüllen, einem Gesetz zur Stärkung der IT-Sicherheit im Gesundheitswesen. Die Richtlinie standardisiert technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit gemäß Artikel 32 der DSGVO und unterscheidet sich nach Praxisgröße und IT-Infrastruktur. Sie fokussiert sich auf die Ziele Vertraulichkeit, Integrität und Verfügbarkeit von Daten und wird jährlich mit dem BSI aktualisiert. Diese Richtlinie ist für alle Praxen im gesetzlichen Krankenversicherungssystem verpflichtend und unterstützt eine schrittweise Umsetzung. [@KBV_IT_Sicherheitsrichtlinie_2020]
## Beispiele für IT-Schwachstellen
Der "CyberPraxMed"-Bericht des BSI [@CyberPraxMed2023] untersucht die IT-Sicherheitslage in deutschen Arztpraxen. Die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs wird als hoch eingestuft, während die bestehenden Richtlinien oft nicht umgesetzt werden. Der Bericht listet spezifische Risiken auf:
- **Unbeaufsichtigte PCs**: Viele Praxen haben Computer, die mit aktiven Benutzersitzungen unbeaufsichtigt gelassen werden, sodass Patienten oder andere externe Personen Zugang zu diesen Systemen haben könnten.
- **Unsicherer Fernzugriff**: Praxen nutzen häufig VPN oder RDP-Verbindungen zur Netzwerkzugriffs, manchmal mit privaten Geräten zur Datenverarbeitung und -speicherung, was sensible Informationen gefährden kann.
- **Fehlende Backup-Tests**: Regelmäßige Tests der Backup-Funktionen werden oft nicht durchgeführt, was bedeutet, dass nach einem Angriff möglicherweise keine Datenwiederherstellung möglich ist.
- **Unsichere Netzwerkbuchsen**: Es gibt oft offene oder ungeschützte Netzwerkbuchsen in den Praxen, die als Angriffspunkte genutzt werden könnten.
- **Private Geräte**: Viele Praxen integrieren private Geräte in das gleiche Netzwerk wie ihre professionelle Ausrüstung, was die Sicherheit des gesamten Netzwerks gefährden kann.
- **Fehlende Netzwerksegmentierung**: Es fehlt an der Trennung von LAN, WLAN, medizinischen Geräten und IT-Ausrüstung, was das Risiko der Malwareverbreitung erhöht.
- **Unverschlüsselte E-Mails**: Einige Praxen tauschen Patientendaten über unverschlüsselte E-Mails aus, wodurch diese Daten leicht abgefangen werden können.
- **Fehlende Sicherheitssysteme**: Viele Praxen verwenden keine Systeme zur Eindringungserkennung oder -verhinderung (IDS/IPS), was Angriffe weniger wahrscheinlich macht zu entdecken oder zu verhindern.
- **Fehlende IT-Dokumentation**: Es gibt häufig keine ausreichende Dokumentation der IT-Struktur und -Sicherheitsmaßnahmen, was bedeutet, dass Schwachstellen oft unbemerkt und unbehandelt bleiben.
## Praxisspezifische IT-Sicherheitsanforderungen
### **Nach Praxisgröße:**
- **Kleine Praxen (1-5 Personen im Datenerfassungsprozess):**
- **Grundanforderungen:**
- **Anlage 1** und **Anlage 5** der KBV IT-Sicherheitsrichtlinien müssen eingehalten werden.
- **Mittelgroße Praxen (6-20 Personen im Datenerfassungsprozess):**
- **Grund- und Zusatzanforderungen:**
- **Anlage 1 und 5**, plus zusätzliche Maßnahmen in **Anlage 2** (wie App-Berechtigungen, Zugangskontrolle für Webanwendungen, sichere Authentifizierung, Protokolle für mobile Geräte und Datentransfer).
- **Große Praxen (mehr als 21 Personen oder hohes Datenaufkommen):**
- **Umfassende Anforderungen:**
- **Anlagen 1, 2 und 5**, sowie zusätzliche Maßnahmen in **Anlage 3** (strengere Regelungen für IT-Komponenten, Verschlüsselung, sicherer Datentransfer).
### **Nach Medizintechnik:**
- **Praxen mit großer Medizintechnik (z.B. CT, MRT, PET-Scanner):**
- **Zusätzliche Gerätespezifische Anforderungen:**
- **Anlage 4** muss eingehalten werden, welche spezifische Sicherheitsmaßnahmen für solche Geräte umfasst.
### **Telematikinfrastruktur (TI):**
- **Für Alle Praxen:**
- **Anlage 5** für den sicheren Betrieb von TI-Komponenten wie Konnektoren, Kartenlesern und Praxis-ID-Karten.
### **Zusammenfassung der Anlagen:**
- **Anlage 1:** Grundlegende IT-Sicherheitsmaßnahmen für alle Praxen (sicherer App-Nutzung, Virenschutz, Firewalls, Datensicherung).
- **Anlage 2:** Zusätzliche Sicherheit für mittelgroße Praxen (App-Berechtigungen, Webanwendung-Zugangskontrolle, Mobilitätssicherheit).
- **Anlage 3:** Weitere Anforderungen für große Praxen (Verschlüsselung, sicherer Datentransfer).
- **Anlage 4:** Sicherheit für große medizinische Geräte.
- **Anlage 5:** Sicherheit für TI-Komponenten.
## Gesetzgebung bezüglich IT-Sicherheit
- **§ 75b SGB V**:
- Verpflichtet Arztpraxen zur Implementierung von IT-Sicherheitsmaßnahmen, basierend auf dem Digitalen-Versorgungs-Gesetz (DVG) 2019.
- **KBV** gibt verbindliche Richtlinien heraus, abhängig von Praxisgröße und Medizintechnik.
- **§ 203 StGB**:
- Regelt das **ärztliche Schweigeprivileg**, was den Schutz von Patientendaten priorisiert.
- **§ 32 DSGVO**:
- Verlangt technische und organisatorische Maßnahmen (TOMs) zur Sicherung von Daten.
- **§ 291a SGB V**:
- Bezieht sich auf die Telematikinfrastruktur (TI) und die Rolle der **gematik** bei Datenschutz.
- **§ 3 Abs. 9 & § 28 Abs. 6-9 BDSG**:
- Allgemeine Datenschutzanforderungen.
- **§ 22 BDSG**:
- Regelung zur Nutzung von Patientendaten, die auf die Behandlung beschränkt ist; zusätzliche Verwendung benötigt Zustimmung des Patienten.
- **§ 2 Absatz 9 BSI-Gesetz**:
- Klärt, dass Arztpraxen **nicht** zu kritischen Infrastrukturen zählen.
**Weitere gesetzliche Rahmenbedingungen:**
- **BSI-Gesetz**:
- Betrifft das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches Richtlinien wie den IT-Grundschutz liefert.
- **MBO-Ä § 10 Abs. 5 & MBO-Pt § 10 Abs. 2**:
- Berufsordnungsregeln für Ärzte und Psychotherapeuten betreffend elektronische Patientenakten.
- **IFSG & MPG**:
- Infektionsschutzgesetz und Medizinproduktegesetz für Patienten- und Mitarbeiterschutz.
## Beispiel IT-Architektur Praxis
[](https://mermaid.live/edit#pako:eNp9Vetu2jAUfpXIUqdNIlUTwlLyYxJru27qZWigTZrpD5MciEViI19GL-rb7E32YjNxAIcUIiW2v_PZ59jnO84LSnkGKEFzQZa5N76cMM88JyfeV6KXakEUzLmgwLwMhPdt7A9EmlMFC6WFpUo9tXOHRBmeAmbx9bOFyELB-8bog2UByyZsfyFBHqn8A2JFCqXZfLfezy0m5ZNUUOJ9bo0_7OaMQZSULQvCQODd4E3uYCogzR0bbiEPh-O-g4w-U0ZlmoM3qtiwW_vq5hqb178G8e-vcpx-LrTKhE4XeNsrQcr5Pu-WTLnA1dfawDEa3yM-UysiADfjqNEjcd-Del6BWOxW-8G1MqdlG8fLFyrAHHSBNx3HNlpRlebYNg7-63Zwj9cff5CmZl_-kFOm5JF4rlhWb9BR0gUeiClQJaUyMuLMKHJ4IR0_l-uDM0HXrffOG6WEsUb8YzItQElct0diuOFlqRldVL5cMRUw44ywgswBN0aOmyv_jtAC28Yf7atsWwdLLhQp8HdWUAb-HtwOzhSlKYApZZmR46bMGkXl-f6ndpFYYguuyG51HOO16uAY2RHjJnaj_Lapof63zZXcDy1q9VlZN4KsBlaDVXctPEt2wOFFC6pV08JrpWw8NjJeEWwM9SarhLfgvcQ27IcZjcQeyrVzKKiDSpNMQjNzm7-sJ0yQytdXEEpMN4MZ0YWaoAl7NVSiFR89sRQlSmjoIMH1PEfJjBTSjPQyMxf_JSWmGMotuiTsN-eNMUpe0CNK_G4YnvbO4qAf9nu9IOoHHfSEkijsn4Zx3I3Oe2dRGAXd7msHPVdLBKdxHPQ-Bv3zszCKo37c7SBzbSku7uz_qPotvf4HLoAwsA)
## Mobile Device Management (MDM)
Mobile Device Management (MDM) in Arztpraxen ermöglicht die zentrale Verwaltung und Sicherung von mobilen Geräten wie Smartphones und Tablets. Damit können Ärzte und Praxismitarbeiter sicher auf Patientendaten zugreifen, während gleichzeitig die Datenschutzrichtlinien eingehalten werden. MDM-Lösungen unterstützen zudem die Fernwartung und -aktualisierung der Geräte
| Produkt | URL |
|-----------------|-----------------------------------------------------------------------------------------|
| Ivanti (MobileIron) | [ivanti.com](https://www.ivanti.com/de/company/history/mobileiron) |
| SOTI | [soti.de](https://soti.de/branchen/gesundheitswesen/) |
| Jamf Pro | [jamf.com](https://www.jamf.com/de/produkte/jamf-pro/) |
| ManageEngine | [manageengine.com](https://www.manageengine.com/mobile-device-management/mdm-solution-for-healthcare.html) |
| Hexnode | [hexnode.com](https://www.hexnode.com/de/) |
| IBM MaaS360 | [ibm.com](https://www.ibm.com/de-de/products/maas360) |
## Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM) sammeln und korrelieren Log-Daten aus verschiedenen IT-Systemen, um verdächtige Aktivitäten oder Sicherheitsverletzungen frühzeitig zu erkennen.
| Produkt/Anbieter | URL |
|-------------------------|----------------------------------------------------------------------------------------|
| ByteSnipers | [bytesnipers.com](https://www.bytesnipers.com/branchen/gesundheitswesen) |
| SVA | [sva.de](https://www.sva.de/de/solutions/cyber-security) |
| Logpoint | [logpoint.com](https://www.logpoint.com/de/) |
| Myracle Security | [myrasecurity.com](https://www.myrasecurity.com/de/) |
| Splunk | [splunk.com](https://www.splunk.com/de_de) |
| IBM QRadar | [ibm.com](https://www.ibm.com/qradar) |
| Exabeam | [exabeam.com](https://www.exabeam.com/) |
| Graylog | [graylog.org](https://graylog.org/) |
| ManageEngine Log360 | [manageengine.com](https://www.manageengine.com/log-management/) |
| Rapid7 InsightIDR | [rapid7.com](https://www.rapid7.com/de/products/insightidr/) |
| SolarWinds Security Event Manager | [solarwinds.com](https://www.solarwinds.com/de/security-event-manager) |
## Richtiges Löschen
Beim sicheren Löschen von Daten gilt es sicherzustellen, dass diese nicht wiederhergestellt werden können. Auf Mac-Systemen empfiehlt sich die Verwendung des "Secure Erase"-Features. Für Unix- und Linux-Benutzer überschreibt das Kommandozeilen-Tool "shred" Dateien durch mehrfaches Überschreiben mit zufälligen Daten. Für Windows-Nutzer gibt es das Tool "SDelete" von Sysinternals, das Dateien auf der Festplatte sicher löscht. Diese Methoden stellen sicher, dass gelöschte Daten nicht durch Software zur Datenwiederherstellung rekonstruiert werden können.
## Übersicht IT Grundschutz
| Product | Company | URL |
| -------------------------------------- | ------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| SiDOK | [2net](https://www.2net.de) | [2net.de](https://www.2net.de/sidoc.html) |
| ENTERPRISE ISMS / DSMS | [4conform GmbH](https://www.4conform.com) | [4conform.com](https://4conform.com/4conform-enterprise-isms/) |
| Akarion GRC Cloud | [Akarion](https://www.akarion.com) | [akarion.com](https://akarion.com/de/compliance-cloud/information-security) |
| docsetMinder | [Allgeier Cyris](https://www.allgeier-cyris.de) | [allgeier-cyris.de](https://www.allgeier-cyris.de/de/loesungen/docsetminder.html) |
| i-doit Add-ons | [becon GmbH](https://www.becon.de) | [becon.de](https://www.becon.de/service-management/i-doit-add-ons/) |
| crisam | [crisam](https://www.crisam.net) | [crisam.net](https://www.crisam.net) |
| CANCOM ComplianceSuite | [CANCOM](https://www.cancom.de) | [cancom.de](https://www.cancom.de/loesungen/cancom-produkte/compliancesuite/) |
| Normtracker | [certvision](https://www.certvision.de) | [certvision.de](https://www.certvision.de/normtracker/) |
| Compliance Management | [360incontrol](https://360incontrol.ch) | [360incontrol.ch](https://360incontrol.ch/de/compliance-management-deutsch/) |
| easyISMS | [concat](https://www.concat.de) | [concat.de](https://www.concat.de/concat-loesungen/security/easyisms/) |
| Condignum Platform | [condignum](https://www.condignum.com) | [condignum.com](https://www.condignum.com) |
| CONTECHNET Suite+ / INDITOR / INPRIVE | [CONTECHNET](https://www.contechnet.de) | [contechnet.de](https://www.contechnet.de/produkte/ctn-software-suite/software-fuer-informationssicherheit/bsi-standard-100-1-200-2-200-3) |
| GRASP | [GRASP](https://grasp-irm.com) | [grasp-irm.com](https://grasp-irm.com/) |
| Athereon GRC | [Athereon](https://www.athereon.de) | [athereon.de](https://www.athereon.de) |
| Datenschutz-Management Software | [Datenschutz-Management Software](https://www.datenschutz-management.software) | [datenschutz-management.software](https://www.datenschutz-management.software) |
| EGERIE | [EGERIE](https://www.egerie.eu) | [egerie.eu](https://www.egerie.eu) |
| EEC | [EEC](https://www.eec.de) | [eec.de](https://www.eec.de) |
| ETES Groupware / Fileshare / WebConference | [ETES GmbH](https://www.etes.de) | [etes.de](https://www.etes.de/edira/) |
| Compliance Aspekte | [Compliance Aspekte](https://compliance-aspekte.de) | [compliance-aspekte.de](https://compliance-aspekte.de/) |
| FortControl | [FortControl](https://www.fortcontrol.io) | [fortcontrol.io](https://www.fortcontrol.io) |
| ForumISM | [Forum-IS](https://www.forum-is.de) | [forum-is.de](https://www.forum-is.de/software/forumism/) |
| fuentis Suite 4 / GRC Suite | [fuentis](https://www.fuentis.com) | [fuentis.com](https://www.fuentis.com) |
| GAIMS | [GAIMS](https://gaims.app) | [gaims.app](https://public.gaims.app) |
| BIC BSI Grundschutz | [GBTEC](https://www.gbtec.com) | [gbtec.com](https://www.gbtec.com/de/software/bic-bsi-grundschutz/) |
| guksa | [guksa](https://www.guksa.de) | [guksa.de](https://www.guksa.de) |
| Goriscon | [Goriscon](https://goriscon.de) | [goriscon.de](https://goriscon.de/) |
| HiScout | [HiScout](https://www.hiscout.com) | [hiscout.com](https://www.hiscout.com/module/grundschutz/) |
| ibi-systems | [ibi-systems](https://www.ibi-systems.de) | [ibi-systems.de](https://www.ibi-systems.de/de/leistungen-und-produkte/) |
| save-infodas | [infodas](https://www.save-infodas.de) | [save-infodas.de](https://www.save-infodas.de/) |
| Intervalid ISMS | [Intervalid](https://intervalid.com) | [intervalid.com](https://intervalid.com/intervalid-isms/) |
| ISMS4KMO | [ISMS4KMO](https://www.isms4kmo.de) | [isms4kmo.de](https://www.isms4kmo.de/) |
| ITQX | [ITQX](https://itq-institut.de) | [itq-institut.de](https://id.itqx.itq-institut.de/Account/Login) |
| Virtual42 | [Virtual42](https://www.virtual42.com) | [virtual42.com](https://noc.virtual42.com/de/) |
| opus i | [kronsoft e.K.](https://www.kronsoft.de) | [kronsoft.de](https://www.kronsoft.de/it-grundschutz.html) |
| M24S | [M24S](https://www.m24s.info) | [m24s.info](https://www.m24s.info) |
| wmc-direkt | [wmc-direkt](https://www.wmc-direkt.de) | [wmc-direkt.de](https://www.wmc-direkt.de) |
| OMNITRACKER GRC-Center | [OMNITRACKER](https://www.omnitracker.com) | [omnitracker.com](https://www.omnitracker.com/de/produkte/applikationen/grc-center/) |
| OTRIS Datenschutzmanagement | [OTRIS](https://www.otris.de) | [otris.de](https://www.otris.de/produkte/datenschutzmanagement-datenschutzsoftware/) |
| preeco | datenschutz / informationssicherheit | [preeco GmbH](https://www.preeco.de) | [preeco.de](https://www.preeco.de/preeco-datenschutz-und-informationssicherheit) |
| proISCat | [proISCat](https://proiscat.de) | [proiscat.de](https://proiscat.de/) |
| Reguvis IT-Grundschutz Cockpit | [Reguvis](https://www.reguvis.de) | [reguvis.de](https://login.reguvis.de/it-grundschutz-cockpit/) |
| | | [robin-data.io](https://www.robin-data.io) |
| | | [runecast.com](https://www.runecast.com) |
| GRC-COCKPIT | SAVISCON GmbH | [saviscon.de](https://saviscon.de/grc-cockpit) |
| | | [schleupen.de](https://grc.schleupen.de/loesungen/r2c-security) |
| | | [verinice.com](https://www.verinice.com) |
| | | [skillswift.com](https://skillswift.com) |
| | | [swissgrc.com](https://swissgrc.com/loesungen/) |
| | | [sintegrity.de](https://www.sintegrity.de/produkt/service) |
| | | [tcc.de](https://www.tcc.de/atradis/review) |
| | | [dsc2.info](https://www.dsc2.info) |
| | | [temino.de](https://www.temino.de/leistungen/isimap.html) |
| HITGuard | TogetherSecure GmbH | [togethersecure.com](https://www.togethersecure.com/bsi-it-grundschutz-methodik-mit-hitguard-umsetzen/) |
| | | [quidit.de](https://www.quidit.de/) |
| | | [xmera.de](https://www.xmera.de) |
| ENTERPRISE ISMS / ENTERPRISE DSMS | 4conform GmbH | [4conform.com](https://4conform.com/4conform-enterprise-isms/) |
| RED protect – Praxis-Firewall | RED Medical Systems GmbH | [redmedical.de/red-protect-praxisfirewall/](https://www.redmedical.de/red-protect-praxisfirewall/) |
: Übersicht IT Grundschutz
Quelle: [BSI IT Grundschutztools](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/IT-Grundschutztools_node.html)