Um im Gesundheitswesen Patienten besser und schneller versorgen zu können, ist der verstärkte Einsatz digitaler Datenverarbeitung erforderlich. Da besonders sensible personenbezogene Daten von zu versorgenden Personen umfangreich verarbeitet werden, ist auch ein verbesserter Schutz dieser Daten geboten. Zur Wegbereitung dieser digitalen Transformation wurde deshalb das „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG)“ […]
IT-Sicherheit

Ransomware-Attacken auf Gesundheitseinrichtungen
In den letzten Wochen wurde vermehrt über Ransomware-Angriffe auf Gesundheitseinrichtungen berichtet, die gravierende Folgen hatten. So wurden zum Teil bei den Angriffen auf Systeme alle gespeicherten Daten verschlüsselt, um die Verantwortlichen zu hohen Lösegeldforderungen – meist in Bitcoin – zu drängen. Gerade bei Krankenhäusern kann eine Lahmlegung der Systeme fatale Folgen haben – bis hin […]

Security Scans: Der erste Schritt zu mehr IT-Sicherheit
In diesem Artikel werfen wir einen Blick auf ein technisches Werkzeug aus der Informationssicherheit. Den Security Scan bzw. Schwachstellenscan (Vulnerability Scan). Obwohl Schwachstellenscanner für alle möglichen Anwendungsbereiche zur Verfügung stehen, fokussiert sich dieser Artikel auf den häufigsten Anwendungsfall in diesem Kontext: Security Scans für extern erreichbare Systeme. Extern erreichbare Systeme Über das Internet erreichbare Systeme […]

Sicherheitslücke in der Praxissoftware „inSuite“
In Arztpraxen werden heutzutage große Mengen sensibler Gesundheitsdaten von Patient*innen in digitaler Form verarbeitet. Dies hat viele Vorteile, da die erforderlichen Gesundheitsdaten zeitnah zur Verfügung stehen und Ärzt*innen die Behandlungsdokumentation auch aus dem Homeoffice erledigen können. Der letztgenannte Aspekt hat in der Pandemie zusätzlich an Bedeutung gewonnen. Jedoch sind die Daten in digitalisierter Form auch […]

TeleTrusT-Konferenz 2022
Am 28.06.22 fand in Berlin wieder die jährliche Konferenz des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) statt. Die Veranstaltung setzte sich mit den zentralen Themen in der IT-Sicherheit auseinander: IT-Sicherheitspolitik, IT-Sicherheitsstrategien und operative IT-Sicherheit. Nach einer Begrüßung durch den TeleTrusT-Vorstandsvorsitzenden Prof. Dr. Norbert Pohlmann (Institut für Internet-Sicherheit if(is)), bot Andreas Könen (Bundesministerium des Inneren und für Heimat […]

„8.16 Monitoring activities“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Das neue Control „Monitoring activities“ zählt zu den „Technological controls“ der ISO/IEC 27002:2022. Wird das Control wie beschrieben umgesetzt, werden Netze, Systeme und Anwendungen auf anormales Verhalten überwacht und potentielle Informationssicherheitsvorfälle können erkannt werden. Welche Parameter sollten überwacht werden? Laut Vorgabe der ISO/IEC 27002:2022 sollten die folgenden Punkte in die Überwachung und Protokollierung einbezogen werden: […]
„8.23 Web filtering“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Mit der ISO/IEC 27002:2022 ist im Februar eine neue Version der internationalen Norm erschienen, welche eine Neustrukturierung von Referenzmaßnahmenzielen sowie -maßnahmen für Informationssicherheit vornimmt und zudem auch ganz neue Referenzmaßnahmen (auch „Controls“ genannt) einführt. Unser Blogbeitrag „Die neue ISO/IEC 27002“ klärte diesbezüglich auf. Das Control „8.23 Web filtering“ zählt zu den neuen präventiven („Preventive“) Referenzmaßnahmen […]
„Informationssicherheit – Ein ganzheitlicher Ansatz“
Am 10.02.2022 war Christopher Stradomsky, Informationssicherheitsexperte Audits/Zertifizierungen bei der datenschutz cert GmbH, zu Gast beim ersten lmbit B3S Krankenhaus-Stammtisch. Seinen Impulsvortag zum Thema „Informationssicherheit – Ein ganzheitlicher Ansatz“ können Sie sich in voller Länge als Video bei YouTube ansehen. Kurzfassung des Impulsvortrages: Im Vortag von Christopher Stradomsky geht es darum, Informationssicherheit in Unternehmen und Organisationen […]
„5.7 Threat intelligence“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die Norm ISO/IEC 27002 ist in einer neuen Version erschienen, wie im Artikel „Die neue ISO/IEC 27002“ vom 13.04.2022 in diesem Blog dargestellt. Neben der Neustrukturierung wurden auch vollständig neue Referenzmaßnahmen (auch „Control“ genannt) eingeführt, die in dieser Blogreihe vorgestellt werden. Das erste der neuen Controls, „5.7 Threat intelligence“, befasst sich mit der zielgerichteten Sammlung, […]
Homeoffice – Es geht nicht nur um Technik
Seit der Corona-Krise arbeiten immer mehr Menschen im Homeoffice, sofern ihre Tätigkeiten oder technische und organisatorische Voraussetzung dies zulassen. Die Corona-Krise zwingt uns hier neue Wege zu gehen und im Umgang mit neuen Technologien zusätzliche Kompetenzen aufzubauen. In vielen Beiträgen, Blogs und Artikeln (zum Beispiel der Bitkom oder des BSI) wurden bereits technische und organisatorische […]
Anforderungen an die IT- bzw. Informationssicherheit in Krankenhäusern
Durch das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) vom Oktober 2020 werden Krankenhäuser in § 75c SGB V verpflichtet, ab dem 1. Januar 2022 nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen zu treffen. Dabei sind […]
Schadsoftware kostet Menschenleben – da kann man nichts machen?
Während IT-Pannen es bis vor einigen Jahren kaum in die Presse abseits der IT-Nachrichten geschafft haben, hat in den letzten Jahren vermutlich jeder schon einmal von Zwischenfällen gehört, bei denen komplette Betriebe zum Stillstand gebracht wurden, weil die IT-Landschaft mehr oder weniger komplett ausgefallen ist. Oft hört man in diesem Zusammenhang von sogenannten „Ransomware-Angriffen“. Ransomware […]
Bedrohungsszenarien in Zeiten von Corona
Das Coronavirus trifft die Wirtschaft hart und schafft zusätzlich eine allgemeine Atmosphäre steigender Unsicherheit in den Unternehmen. Es zeigt sich nun, dass das Thema einen erheblichen Einfluss auf die Informationssicherheit entwickelt. Eine Vielzahl von Akteuren will die Krise nun zu ihrem Vorteil ausnutzen und entwickelt verschiedenste Bedrohungsszenarien, die in ihrer Technik jedoch nicht neu sind. […]
Passwörter – Eine unendliche Geschichte
Passwörter sind seit ewigen Zeiten ein beliebtes Streitthema in der Informationssicherheit. Der einzige Zweck von Passwörtern ist die Schutz vor unauthorisiertem Zugriff. Gelangt ein Angreifer in den Besitz eines Passwortes, ist der Schutz nicht mehr gewährleistet. Die „Password Guidance“ des National Cyber Security Center (NCSC) listet die gängigsten Angriffstechniken zur Erlangung eines Passwortes auf. Neben […]
Ein sicheres Startup
Egal ob Blockchain, Internet of Things oder AI – viele gute Ideen werden von Startups an den Markt gebracht. Doch während die Unternehmen sich bemühen möglichst schnell ein Produkt auf den Markt zu bringen, bleibt die IT-Sicherheit dabei häufig auf der Strecke. Das kann sowohl die Sicherheit des Produkts als auch die Sicherheit des Startups […]