Mobile Devices im Krankenhaus Aspekte von Datenschutz und Datensicherheit

Mobile Devices im Krankenhaus Aspekte von Datenschutz und Datensicherheit Keine Sorge Captain, DER kleine Eisberg ist kein Problem für die IT-Tanic WLAN UMTS Notebook Smartphone BYOD Cloud Bluetooth PDA Tablet Apps

Rechtliche Grundlagen Bundesrecht - Bundesdatenschutzgesetz (BDSG) - Telekommunikationsgesetz (TKG) - Telemediengesetz (TMG) - Signaturgesetz (SigG) - Verordnung zur elektronischen Signatur (SigV) - Mediendienstestaatsvertrag (MDStV) Landesrecht (z.b. NRW) - Archivgesetz (ArchivG) - Gesetz über die Ausführung des Gesetzes zu Artikel 10 Grundgesetz (AG G 10 NW) - Berufsordnung der Ärztekammer Westfalen-Lippe - Berufsordnung für die nordrheinischen Ärztinnen und Ärzte - Berufsordnung für Apothekerinnen und Apotheker der Apothekerkammer Nordrhein - Berufsordnung für Apothekerinnen und Apotheker derapothekerkammer Westfalen-Lippe - Datenschutzgesetz (DSG NRW) - Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG) - Gesetz über den Feuerschutz und die Hilfeleistung - Gesetz über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG) - Gesetz über Tageseinrichtungen für Kinder (GTK) - Gesundheitsdatenschutzgesetz (GDSG NW) - Gutachterausschussverordnung (GAVO NRW) - Heilberufsgesetz (HeilBerG) - Hochschulgesetz (HG) - Krankenhausgesetz (KHG NRW) - Meldedatenübermittlungsverordnung (MeldDÜV NRW) - Meldegesetz (MG NRW) - Sicherheitsüberprüfungsgesetz (SÜG NRW) - Verordnung zur Durchführung des Meldegesetzes (DVO MG NRW) EU - Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr - Richtlinie 2002/22/EG Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie) - Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) - Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten - Richtlinie 2009/136/EG ( Cookie -Richtlinie) Kirchenrecht - Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG- EKD) - Verordnung über die in das Gemeindeverzeichnis aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen - Verordnung über den automatisierten zwischenkirchlichen Datenaustausch - Verordnung mit Gesetzeskraft zur Einführung des Datenschutzes in der Vereinigten Evangelisch-Lutherischen Kirche Deutschlands - Anordnung über die Sicherung und Nutzung der Archive der Katholischen Kirche - Anordnung über das kirchliche Meldewesen (KMAO) für Bistum - Anordnung über den kirchlichen Datenschutz (KDO) für Bistum - Durchführungsverordnung zur KDO (KDO-DVO) Medizinisches Umfeld - Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO) 9 Abs. 1 Schweigepflicht des Arztes - Strafprozessordnung (StPO) 53 Ab2. 1 Zeugnisverweigerungsrecht 97 Abs.1 Beschlagnahmeverbot 103 Abs.1 eingeschränktes Durchsuchungsrecht für Arztpraxen - Strafgesetzbuches (StGB) 203 Abs.1 4.2.1.2.c Ärztliche Schweigepflicht - Zivilprozessordnung (ZPO) 383 Zeugnisverweigerung aus persönlichen Gründen - Sozialgesetzbuch V (SGB V) 73 Kassenärztliche Vereinigung 140a Integrierte Versorgung

Normatives National - DIN 6789-6 Dokumentationssystematik - Teil 6: Verfälschungssicherheit digitaler technischer Dokumentation - DIN EN 12251 Sichere Nutzeridentifikation im Gesundheitswesen - Management und Sicherheit für die Authentifizierung durch Passwörter - DIN EN 13606-4 Kommunikation von Patientendaten in elektronischer Form - Teil 4 - DIN EN 14169-1 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 1: Überblick - DIN EN 14169-2 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 2: Geräte mit Schlüsselerzeugung - DIN EN 14169-3 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 3: Einheiten mit Schlüsselimport - DIN EN 14169-4 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 4: Erweiterung für Einheiten mit Schlüsselgenerierung und vertrauenswürdigem Kanal zur Zertifizierung von Generierungsanwendungen - DIN EN 14169-5 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 5: Erweiterung für Einheiten mit Schlüsselgenerierung und vertrauenswürdigem Kanal zur Signatur von Generierungsanwendungen - DIN EN 14169-6 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 6: Erweiterung für Einheiten mit Schlüsselimport und vertrauenswürdigem Kanal Kurz: zur Signatur von Generierungsanwendungen - DIN EN 14484 Internationaler Austausch von unter die EU-Datenschutzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-Statements - DIN EN 14485 Anleitung zur Verwendung von persönlichen Gesundheitsdaten in internationalen Anwendungen vor dem Hintergrund der EU- Datenschutzrichtlinie - DIN CEN/TS 15260 Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten - DIN CEN/TS 15260 Medizinische Informatik - Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten - DIN EN 15713 Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln - DIN ISO/IEC 27000 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und Terminologie - DIN ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen - DIN ISO/IEC 27002 Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management - DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten - DIN EN ISO 27799 Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 - DIN 31644 Information und Dokumentation - Kriterien für vertrauenswürdige digitale Langzeitarchive - DIN 31645 Information und Dokumentation - Leitfaden zur Informationsübernahme in digitale Langzeitarchive - DIN 66399-1 Büro- und Datentechnik - Vernichten von Datenträgern - Teil 1: Grundlagen und Begriffe - DIN 66399-2 Büro- und Datentechnik - Vernichten von Datenträgern - Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern - DIN EN 80001-1 Anwendung des Risikomanagements für IT-Netzwerke mit Medizinprodukten - Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten International - ISO/IEC 2382-8 Informationstechnik - Begriffe - Teil 8: Sicherheit - ISO/IEC FDIS 9797-3 ormation technology - Security techniques - Message Authentication Codes (MACs) - Part 3: Mechanisms using a universal hashfunction - ISO/IEC 9798-1 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 1: Allgemeines Modell - ISO/IEC 9798-2 Informationstechnik - IT-Sicherheitsverfahren - Authentifikation von Instanzen - Teil 2: Mechanismen auf Basis von Verschlüsselungsalgorithmen - ISO/IEC 9798-3 Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques - ISO/IEC 9798-4 Information technology - Security techniques - Entity authentication - Part 4: Mechanisms using a cryptographic check function - ISO/IEC 9798-5 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 5: Mechanismen auf Basis von zero-knowledge Techniken - ISO/IEC 9798-6 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 6: Mechanismen auf Basis von manuellem Datentranfer - ISO/IEC 11586-1 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI- Schichten: Konzepte, Modelle und Notation - ISO/IEC 11586-3 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI- Schichten: Protokollspezifikationen für das Dienstelement für den Austausch von Sicherheitsinformationen (SESE) Man kann sich mit dem Thema beschäftigen

DaVinci MobileSpy (http://www.mobile-spy.com/) Was wirklich motiviert Live Control Panel, SMS, Telefonliste, Webbrowser-History, GPS-Ortung, Photos, Android, Windows Mobile, iphone, Blackberry, Symbian 49,97 $ / 3 Monate FlexiSpy (http://www.flexispy.com/) Gute Spyware ist erschwinglich SMS, E-Mail, Instant Messenger, Adressbuch, GPS-Ortung, Telefongespräche mithören, Android, Windows Mobile, iphone, Blackberry, Symbian ~ 180 $ (oder Raubkopie übers Internet) FinSpy Mobile (https://www.gammagroup.com/default.aspx) Und intuitiv bedienbar Weiterleitung von Telefonaten, SMS-Mitteilungen und E-Mails, Dateien herunterladen, GPS- Ortung, Raumüberwachung über stille Telefonate Android, Windows Mobile, iphone, Blackberry, Symbian DaVinci (http://www.hackingteam.it/) Was man von den IT-Systemen im Krankenhaus Screenshots, E-Mail, ICQ- und Skype-Kommunikation, Fernsteuerung von Mikrofon und Kamera, GPS-Ortung, Internet-Zugriffe, Android, Windows Mobile, iphone, Blackberry, Symbian, Linux, Windows, Mac OS X nicht unbedingt behaupten kann (Nur zur Kriminalitäts-Bekämpfung zu verwenden ) Weitere Anbieter Elaman (http://www.elaman.de/product-portfolio.php) @one IT GmbH (http://www.li-suite.com) Rohde & Schwarz (http://www.rohde-schwarz.de/de/produkte/funkueberwachungs-und-ortungstechnik/) Syborg (http://www.syborg.de/)

Mobile Security 1. IT-Sicherheitsmanagement ist IT-Sicherheitsmanagement ist IT-Sicherheitsmanagement Business as usual: - Sicherheitsrichtlinie - Klassifzierungsrichtlinie - Richtlinie IT-Risikomanagement - Systemrichtlinien - 2. Einzige Besonderheit: die Daten wandern 3. Beachtenswertes für unser Krankenhaus

Mobile Betriebssysteme aus Unternehmenssicht ios Android Blackberry Windows Sicherheit OS + -- + ++ Sicherheit Hardware + -- ++ + Management + -- ++ ++ App-Verfügbarkeit ++ ++ - + App-Sicherheit ++ -- + ++ Infrastruktur- Anbindung ++ -- + ++

Apps Quelle: Stiftung Warentest, 6/2012

Apps und Sicherheit 2010 App Genome Project* >300.000 Apps, davon 1/3 genauer überprüft Ca. 50% der Apps übermitteln ungefragt Daten an Dritte 2011: Studie der TU Wien, University of California, Northeastern University, Institute Eurecom** 1407 iphone-apps (825 Apple App Store, 582 Cydia) 55% übermitteln ungefragt Daten an Dritte 2012: Untersuchung des NDR 100 Apps 48% übermitteln ungefragt Daten an Dritte 2012: Stiftung Warentest 63 Apps 48% übermitteln ungefragt Daten an Dritte 2013 Wirtschaftswoche 88 Apps greifen ungefragt auf E-Mails, Kontakte, Termine und/oder Standortdaten zu Quelle: * App Genome Report, onile: https://www.lookout.com/resources/reports/appgenome ** PiOS, online, verfügbar unter http://www.syssec-project.eu/media/page-media/3/egele-ndss11.pdf

Apps und Sicherheit Übertragene Daten Geräte-Kennung Standort Adressbuch Kalender Wozu? Erstellung von Nutzungs- und Bewegungsprofilen Kontaktdaten für Werbung Preisgabe vertraulicher Informationen, z.b. Banking-Informationen Identitäts-Diebstahl Unternehmens-Zugangsdaten,,,

Apps und Werbung: Profilbilder Apsalar http://apsalar.com/ Claritics Nicht http://claritics.com/ vergessen: Flurry http://www.flurry.com Neben den profilbildenden Firmen gibt es http://beta.medialytics.com/event Localytics http://t.medialytics.com/event http://www.localytics.com/ http://test.medialytics.com/lib noch Medialytics die Firmen, die Daten nur zum Zweck http://medialytic.com/ Medialets der Werbung http://px.cdn.medialets.com/lib sammeln MixPanel https://mixpanel.com/ (Quasi die Guten ;-) ) Pinch Media http://www.pinchmedia.com Medialytics http://a.medialytics.com/ad http://beta.medialytics.com/24ad http://beta.medialytics.com/24eve http://beta.medialytics.com/ad

Apps und Werbung: Beispiele Sixt Autovermietung N24 Übertragen geräteeindeutiger Identifikationsmerkmale an verschiedene Werbenetzwerke Übertragung eindeutiger Gerätedaten an verschiedene Banner- Netzwerke Datenübertragung an Google Analytics Handelsblatt Übertragung eindeutiger Gerätedaten an verschiedene Banner- Netzwerke

Apps und deutsches Recht TKG gilt für Apps Voice over IP (VoIP) Die Entwickler Nutzung einer der eigenen Apps Infrastruktur kennen außerhalb vermutlich des öffentlichen weder Internets Telekommunikations- noch Telemediengesetz, wissen vielleicht nicht einmal von deren Existenz. Selbstständige Veröffentlichung/Verteilung von Text-, Audio-, Bild- oder Video- Nachrichten in sozialen Netzwerken oder anderen Portalen und Diensten Netzübergreifende Telefonie, E-Mail und Real Time Messaging Wie TMG wahrscheinlich gilt für Apps ist es, dass die Vorgaben eingehalten Datendienste (Verkehr, Wetter, Umwelt, Börse) wurden? Soziale Netzwerke, TKG: Empfehlungs- Informationspflichten, und Ratgeberdienste, Einwilligung, Logging, Bestellungs-, Buchungs- und Maklerdienste, einschließlich Shops und Handelsplattformen, TMG: Pseudonym, Einwilligung, Informationspflicht, Presse- und Nachrichtendienste, Unterscheidung Nutzungs- und Bestandsdaten Multiplayer-Games mit Interaktions- und Kommunikationsmöglichkeiten, On-Demand- und Streaming-Dienste, soweit es sich dabei nicht um Rundfunk handelt.

Apps und Sicherheit (Teil 2) GoodReader unverschlüsselte Datenablage öffnet Serverdienst deaktiviert Bildschirmsperre SAP Cart Approval Benutzername und Passwort in unverschlüsselter Log-Datei Citrix Zugangsdaten im Klartext auf Datenträger (und Backup) icacti unverschlüsselte Datenablage

Apps und Sicherheit: Fazit 1. Apps sind Softwareprogramme Manche ebenso nützlich wie Desktop-Programme Manche ebenso schädlich wie Desktop-Programme 2. Eine Sicherheitsüberprüfung, die den Namen verdient, findet in App-Stores nicht statt 3. Häufig erfolgt hier lediglich eine Prüfung mit Virenscanner(n) 4. Ach ja auch eine App kann ein Medizinprodukt sein Hinweise: 1) AppCheck des ZTG testet medizinische Apps (Stand Juli 2013 8 Apps, Webseite http://www.gesundheitsapps.info/) 2) Bayerische Landesamt für Datenschutzaufsicht veröffentlichte Hinweise zu datenschutzrechtlichen Anforderungen (Webseite http://www.lda.bayern.de/mobileapplikationen/index.html, zuletzt besucht 2013-07-06)

Speicherort der Daten Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz - GDSG NRW, zuletzt geändert am 22.02.1994*) Gilt für Krankenhäuser (nicht Arztpraxen) 7 Abs. (1): Patientendaten sind grundsätzlich in der Einrichtung oder öffentlichen Stelle zu verarbeiten Mobile? * Abgesehen von Änderungen PsychKG (1999, 2005), Anpassungen nach Änderungen SGB V (2005) Überarbeitung Krebsregistergesetz (2005)

Speicherort der Daten: die Cloud Dienst 1. ADrive 2. Amazon CloudDrive 3. Box 4. Dropbox 5. Google Drive 6. icloud 7. SugarSync 8. Telekom Cloud 9. Ubuntu one 10. Windows Live / SkyDrive 11. Wuala Serverstandort 1. USA 2. USA 3. USA 4. USA 5. USA 6. USA 7. USA 8. Deutschland 9. GB 10. Unbekannt (Backup in den USA) 11. Schweiz, Deutschland, Frankreich Hinweis: Cloud Computing Sicherheitsempfehlungen des BSI: https://www.bsi.bund.de/de/themen/cloudcomputing/eckpunktepapier/eckpunktepapier_node.htm https://www.bsi.bund.de/de/themen/cloudcomputing/studien/studien_node.html

Kurzer Exkurs: USA und Patriot Act Änderungsgesetz, das mehrere Regelungen des US Code abändert Sec. 215 US Patriot Act ändert Foreign Intelligence Surveillance Act (FISA) FISA erlaubt Sicherheitsbehörden beim sog. FSI Court eine Anordnung zu beantragen, die eine Person dazu verpflichtet, die bei ihr befindlichen Geschäftsunterlagen herauszugeben Patriot Act ermöglicht nun Unterlagen von jeder beliebigen Stelle und bereits unter der Voraussetzung, dass sie mit einer Untersuchung von Terrorismus und Spionage in Verbindung stehen, zu erhalten Hinsichtlich der Art der Unterlagen gibt es keine Beschränkungen Sec.505 US erlaubt dem FBI und anderen Justizbehörden, selbst Anordnungen zu erlassen, ohne Zwischenschaltung eines Gerichts In Zusammenhang mit FISA kann dem Datenspender auferlegt werden über die Herausgabe der Daten Stillschweigen zu bewahren

Patriot Act und Europa Amerikanische Rechtsprechung legt Patriot Act so aus, dass von amerikanischen Gesellschaften auch Daten herausverlangt werden dürfen, die sich im Ausland befinden (Sec.442(1)(a)) Die datenschutzrechtliche Lage im betreffenden Ausland wird nicht als einer rechtlichen Herausgabemöglichkeit entgegen stehend betrachtet (Sec.442(2)) Steht das Recht des außeramerikanischen Staates der Herausgabe entgegen ( blocking statute ), so findet vor dem Erlass einer Herausgabeanordnung eine Abwägung statt (Sec.442(1)(c)) In Fällen, in welchen eine Anordnung nach US Patriot Act im Raum steht (Terrorismus, Spionage), dürften die Interessen der USA verstärkt gewichtet und eine Herausgabe als Unumgänglich angesehen werden Eine amerikanische Muttergesellschaft kann die Möglichkeit des Zugriffs auf die Unterlagen ihrer ausländischen Tochter nicht absprechen Eine amerikanische Tochtergesellschaft kann mittelbar gezwungen werden. Denn eine Nichtbefolgung einer FISA-Anordnung stellt einen sog. contempt of court (Missachtung des Gerichts) dar; Folge: Strafe und Bußgeld

Speicherort der Daten: die Cloud Mobile Geräte Synchronisation von Terminen, Kontakten, E-Mails, Fotos usw. 1. Sind Sie sicher, dass Terminen, Kontakten, Mails usw. iphone, ipad, ipod keine Apple personenbezogenen darf Daten zu Ihrem Konto und Daten zu allen Geräten enthalten oder Computern, sind? die hierunter registriert sind, erheben, nutzen, übermitteln, verarbeiten und aufbewahren 2. Sind Apple Sie darf, sicher, ohne Ihnen dass gegenüber keine zu Patientendaten haften, auf Ihre Kontoinformationen (z.b. deren und Namen) Ihre Inhalte erwähnt zugreifen, werden? diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder 3. Ist angemessen denn dann ist, wenn ein dies Vertrag gesetzlich über vorgeschrieben Auftragsdatenverarbeitung ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche entsprechend Nutzung, Offenlegung 80 oder SGB Aufbewahrung X geschlossen angemessenerweise worden? notwendig ist http://www.apple.com/legal/icloud/de/terms.html bzw. http://www.apple.com/privacy/ 4. Bei Serverstandort außerhalb EG: Android Auftragsdatenvereinbarung Einstellung von Daten Google Drive geht = unentgeltliches, nicht, nur nicht ausschließliches, weltweites und zeitlich unbegrenztes Recht die Daten zum Zweck der Erbringung Funktionsübertragung der Dienste von Google zu nutzen (auch, wenn man selbst Google nicht mehr nutzt) Es u.a. findet das Recht, eine Inhalte Übermittlung technisch zu vervielfältigen der Daten und Daten stattöffentlich zugänglich zu machen https://www.google.com/intl/de/policies/terms/1

Übermittlung 5 Abs. (1) GDSG NRW: Betrifft Als nur Übermittlung NRW? gilt auch die Weitergabe von Patientendaten In 5 an Bundesländern Personen in anderen ist der Datenaustausch Organisationseinheiten zwischen innerhalb Abteilungen der innerhalb Einrichtung eines oder Krankenhauses öffentlichen Stelle, geregelt: sofern diese Organisationseinheiten nicht unmittelbar mit Untersuchungen, Behandlungen oder sonstigen Maßnahmen nach 2 Abs. 1 befasst sind Innere, Chirurgie, Gyn, - Dritte im Sinne des Datenschutzes Sieht Ihr Rechtekonzept dies vor? Was heißt das für mobile (private) Geräte?

BYOD Befragte: IT-Mitarbeiter in Nordamerika und Europa Quelle: Forrsights Workforce Employee Survey, 4. Quartal 2011

BYOD Krankenhaus wird einerseits Mitarbeitern die Nutzung privater Geräte langfristig nicht verweigern können Aber: Auf dem Mitarbeiter gehörende Geräte hat der Arbeitgeber keine Weisungsbefugnis Auf diesen Geräten gespeicherte Patientendaten befinden sich daher prinzipiell nicht in der Einrichtung Die Patientendaten wurden übermittelt Erster Anhalt, wie das Unternehmen bzgl. BYOD- Einführung dasteht, durch IBM BYOD Check: http://www.challenge-check.ch/byod/

Folgen einer Übermittlung 1. Schwierig dem Patienten zu verkaufen 1. Der Patient muss zustimmen 2. Änderung Behandlungsvertrag, z.b.: 2.Rechtlich unwirksam: Patient muss informiert einwilligen genaue Aufklärung welche Daten übermittelt werden Hiermit entbinde ich meine behandelnden Ärzte von ihrer Schweigepflicht und stimme zu, dass das Krankenhaus bei Bedarf beliebige meiner Daten an vom Krankenhaus ausgesuchte Mitarbeiter an deren private Geräte übermittelt 3.Unbrauchbare Lösung (Neudeutsch Bullshit )

BYOD: rechtliche Anmerkungen Was man neben Datenschutz noch so beachten sollte: Arbeitsrecht Urheberrecht Lizenzrecht Bring Your Compliance / Unternehmenssicherheit Strafrecht Steuerrecht Haftungsrecht Own Vertragsrecht Geheimnisschutz Betriebliche Nutzung privater Accounts Desaster? Beispiele aufzeigen

Was tun? Cloud: nicht fragen wo?, sondern Brauche ich wirklich eine Cloud? Kosten-Nutzen-Analyse Daten des Krankenhauses werden auf externen Speicherorten oder mobilen Geräten nur verschlüsselt abgelegt Bei krankenhaus-eigenen Geräten wie Laptops am besten alle Speichermedien vollständig verschlüsseln (z.b. Pre-Boot) Bei Geräten des Mitarbeiters mit vom Krankenhaus kontrollierten Krypto-Containern arbeiten, die bei Bedarf vom KH gelöscht werden können Richtlinie für mobile Geräte erstellen (Richtlinie für Computer-Einsatz im Krankenhaus existiert ja sicherlich schon ;-) ) Entsprechende Management-Software einsetzen Betriebsvereinbarung BYOD (Bei BYOD zusätzlich an Individualvereinbarung mit jedem einzelnen Mitarbeiter denken)

Richtlinie mobile Geräte Generelle Sicherheitsmaßnahmen wie Authentifizierung usw. Geräteverlust und unautorisierter Zugriff auf das Gerät Vorbeugende Maßnahmen wie Verschlüsselung Rückwirkende Maßnahmen wie Löschmechanismen Datenverlust Vorbeugende Maßnahmen wie Backups Rückwirkende Maßnahmen wie Data Recovery Defekte Geräte Vor Einschicken Daten löschen Datenübertragung und Angriff auf die Funkschnittstelle berücksichtigen VPN Entsorgung

Richtlinie mobile Geräte An Regelung der Arbeitszeit denken (Urteil Arbeitsgericht Berlin vom 22. März 2012 AZ 54 BV 7072/11) Der Arbeitgeber hat die Arbeitszeit seiner Beschäftigten zu kontrollieren. Der Arbeitgeber darf außerhalb der Arbeitszeit geleistete Arbeit der Beschäftigten nicht entgegennehmen, nicht einmal dulden. Schon das Lesen dienstlicher E-Mails kann Arbeitsleistung sein. Erlangt der Arbeitgeber Kenntnis von Freizeitarbeit seiner Beschäftigten muss er sie unterbinden. Duldet der Arbeitgeber Freizeitarbeit seiner Beschäftigten - z.b. mit mobilen Geräten - muss er den Betriebsrat beteiligen. Duldet der Arbeitgeber Freizeitarbeit ohne den Betriebsrat zu beteiligen, kann dieser Unterlassung verlangen. Der BR kann sich auf seine Mitbestimmungsrechte aus 87 Abs.1 Nr.1 und Nr.3 BetrVG berufen Merke: Der Arbeitgeber genügt seiner Durchführungsverpflichtung mithin nicht, wenn er Arbeitnehmern die Entscheidung überlässt, ob sie außerhalb der Arbeitszeit E-Mails bearbeiten.

Mobile Device Management (MDM) Software Anforderungen: - Kompatibel zu allen gängigen Mobile Plattformen und Anwendungen - Arbeitet in allen gängigen Die Mobilfunknetzen ideale - Kann direkt over the air (OTA) implementiert werden unter Auswahl bestimmter Mobile-Device-Management-Lösung Zielgeräte - Hardware, Betriebssysteme, Konfiguration und Anwendungen können ist schnell eine und eierlegende problemlos ausgeliefert Wollmilchsau werden - Mobile Geräte können nach Bedarf von Administratoren dem System hinzugefügt oder daraus entfernt -werden - Die Integrität und Sicherheit der IT-Infrastruktur ist stets gewährleistet - Security Policies Diese werden Lösung konsequent gibt durchgesetzt nicht - Der Anwender bekommt von der Existenz der Lösung so wenig wie möglich oder nötig mit

Management Software Auswahlkriterien Unterstütze (mobile) OS Android Blackberry ios Symbian Windows Security-Features App-Installation (White-List, Black-List, ) Authentifizierung-/Authorisierungs-Management Jailbreak-Erkennung, rooten, Passwort (Zusammensetzung, Wechsel, ) Remote Control Remote-Wipe Verschlüsselung (PIM-Container, Container für betriebliche Daten) VPN-Konfiguration (Installation, Wartung, ) Systemintegration AD/LDAP-Integration App-Management

Anbieter von MDM-Software Quelle: Gartner Studie, Phillip Redman, John Girard, Monica Basso (2012-05-17) Magic Quadrant for Mobile Device Management Software. http://dell.symantec.com/system/files/magic_quadrant_for_mobile_device_management_software.pdf

Management Software Eigene Anforderungen mit Anbieter abgleichen Anbieter (Auswahl ohne Anspruch auf Vollständigkeit): 7P Group (7P MDM) http://www.7p-group.com/portfolio/leistungen/effizienz-durch-mobilitaet/ MobileIron http://smartling.mobileiron.com/en/germany Sophos (smartman) http://www.dialogs.de/de_de/produkte/smartman.html Lizenzkosten: Sybase (Afaria) 30 bis 100 Euro / Client http://www.sybase.de/mobilize Symantec (Endpoint Protection, Mobile Management, Access Control, SafeGuard Easy) Beispiel: Klinikum mit 1000 Clients http://www.symantec.com/de/de/theme.jsp?themeid=sep-family http://www.symantec.com/de/de/mobile-management http://www.symantec.com/de/de/network-access-protection = 30.000 bis 100.000 Euro http://www.symantec.com/business/support/index?page=content&id=tech30951 T-Systems (SiMKO) http://www.t-systems.de/tsip/de/754852/start/branchen/oeffentlicher-sektor/aeussereinnere-sicherheit/aeussere-innere-sicherheit Thinking Objects (Auralis) http://www.to.com/auralis.988.0.html Ubitexx (ubi-suite) http://www.ubitexx.com/language/de-de/products/multiplatform_management

Betriebsvereinbarung Individualvereinbarung mit einzelnen Benutzern nicht realisierbar Je nach eingesetzter Managementsoftware potentielle Überwachungsmöglichkeit Zustimmungspflichtig Betriebsrat/Personalrat Inhalt Welche Apps? Diebstahlsicherung / Vorgehen bei Verlust Was darf wo gespeichert werden? Antivirenprogramm Cave: Voraussetzungen beachten, damit Betriebsvereinbarung datenschutzrechtlich als vorrangige Rechtsvorschrift gilt (Hinweise hierzu unter http://www.datenschutzhamburg.de/uploads/media/22._taetigkeitsbericht_2008-2009.pdf)

Mobile Security und BSI: Das Grundschutz-Handbuch M 1.33 Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz M 1.44 Geeignete Einrichtung eines häuslichen Arbeitsplatzes M 2.36 Geregelte Übergabe und Rücknahme eines tragbaren PC M 2.109 Rechtevergabe für den Fernzugriff M 2.113 Regelungen für Telearbeit M 2.114 Informationsfluss zwischen Telearbeiter und Institution M 2.115 Betreuungs- und Wartungskonzept für Telearbeitsplätze M 2.116 Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit M 2.117 Erstellung eines Sicherheitskonzeptes für Telearbeit M 2.188 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung M 2.189 Sperrung des Mobiltelefons bei Verlust M 2.190 Einrichtung eines Mobiltelefon-Pools M 2.218 Regelung der Mitnahme von Datenträgern und IT-Komponenten M 2.241 Durchführung einer Anforderungsanalyse für den Telearbeitsplatz M 2.303 Festlegung einer Strategie für den Einsatz von PDAs URL: https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/ Massnahmenkataloge/M2Organisation/m2organisation_node.html;jsessionid=56767F0568BE3133 DF48B4E2DE141375.2_cid359

Mobile Security und BSI: Das Grundschutz-Handbuch M 2.304 Sicherheitsrichtlinien und Regelungen für die PDA-Nutzung M 2.305 Geeignete Auswahl von PDAs M 2.306 Verlustmeldung M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung M 2.310 Geeignete Auswahl von Laptops M 2.328 Einsatz von Windows XP auf mobilen Rechnern M 2.381 Festlegung einer Strategie für die WLAN-Nutzung M 2.382 Erstellung einer Sicherheitsrichtlinie zur WLAN-Nutzung M 2.383 Auswahl eines geeigneten WLAN-Standards M 2.384 Auswahl geeigneter Kryptoverfahren für WLAN M 2.385 Geeignete Auswahl von WLAN-Komponenten M 2.386 Sorgfältige Planung notwendiger WLAN-Migrationsschritte M 2.387 Installation, Konfiguration und Betreuung eines WLANs durch Dritte M 2.388 Geeignetes WLAN-Schlüsselmanagement URL: https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/ Massnahmenkataloge/M2Organisation/m2organisation_node.html;jsessionid=56767F0568BE3133 DF48B4E2DE141375.2_cid359

Mobile Security und BSI: Das Grundschutz-Handbuch M 2.389 Sichere Nutzung von Hotspots M 2.390 Außerbetriebnahme von WLAN-Komponenten M 2.401 Umgang mit mobilen Datenträgern und Geräten M 2.415 Durchführung einer VPN-Anforderungsanalyse M 2.416 Planung des VPN-Einsatzes M 2.417 Planung der technischen VPN-Realisierung M 2.418 Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung M 2.419 Geeignete Auswahl von VPN-Produkten M 2.420 Auswahl eines Trusted-VPN- Dienstleisters M 2.442 Einsatz von Windows Vista auf mobilen Rechnern M 2.461 Planung des sicheren Bluetooth-Einsatzes M 2.462 Auswahlkriterien für die Beschaffung von Bluetooth-Geräten M 2.463 Nutzung eines zentralen Pools an Bluetooth-Peripheriegeräten M 3.21 Sicherheitstechnische Einweisung der Telearbeiter M 3.60 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten URL: https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/ Massnahmenkataloge/M2Organisation/m2organisation_node.html;jsessionid=56767F0568BE3133 DF48B4E2DE141375.2_cid359

Mobile Security und BSI: Das Grundschutz-Handbuch M 4.31 Sicherstellung der Energieversorgung im mobilen Einsatz M 4.114 Nutzung der Sicherheitsmechanismen von Mobiltelefonen M 4.115 Sicherstellung der Energieversorgung von Mobiltelefonen M 4.63 Sicherheitstechnische Anforderungen an den Telearbeitsrechner M 4.114 Nutzung der Sicherheitsmechanismen von Mobiltelefonen M 4.115 Sicherstellung der Energieversorgung von Mobiltelefonen M 5.51 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution M 5.78 Schutz vor Erstellen von Bewegungsprofilen bei der Mobiltelefon-Nutzung M 5.79 Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung M 5.80 Schutz vor Abhören der Raumgespräche über Mobiltelefone M 5.81 Sichere Datenübertragung über Mobiltelefone M 6.47 Datensicherung bei der Telearbeit M 6.71 Datensicherung bei mobiler Nutzung des IT-Systems M 6.72 Ausfallvorsorge bei Mobiltelefonen URL: https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/ Massnahmenkataloge/M2Organisation/m2organisation_node.html;jsessionid=56767F0568BE3133 DF48B4E2DE141375.2_cid359