90. Deutscher Röntgenkongress

Ähnliche Dokumente
Vorstellung IEC 80001

Beurteilung der IT Sicherheit in Medizinischen Netzwerken. 04. Mai 2018 Dr. Thomas Groß Medizinische Synergien

Risikomanagement im AAL-Umfeld

Medizintechnik und IT

Effizientes und effektives Risikomanagement bei der Vernetzung von Medizinprodukten im Krankenhaus

DICOM 2008 KIS-RIS-PACS und 10. DICOM Treffen. Medizinprodukten

Sicherheit in medizinischen Netzwerken

IEC Was ist sie wann ist der Einsatz sinnvoll?

Beschaffung von Medizinprodukten DIVI Jochen Kaiser Klinikum Stuttgart

Arbeitsbedingungen in der ZSVA aus Sicht der Industrie

Clinic-Master / Vital-Master B C R. Medizinproduktebuch. Walitschek Medizintechnik GmbH 2013 Rev. 1

Übersicht. Inhalte der DIN EN Ziele der DIN EN Notwenigkeit

IT-Sicherhei. Schadsoftw. Medizintechnik. Subnetze. Risiken. Krankenhaus-IT. Positionspapier IT-Sicherheit in Medizintechnik und Krankenhaus-IT

Medizintec. CE-Kennzeichnung. Risikomanagement POSITION. Zweckbestimmung. systemweite Aufgabe. Positionspapier Medizintechnik braucht Cybersicherheit

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Neue gesetzliche Anforderungen für Reinigungs- und Desinfektionsgeräte und deren Bedeutung für den Betreiber

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Regulatorische Anforderungen an Betriebssysteme Herstelleraufgaben

IT-Einsatz in den RoMed Kliniken

Zero Infections was kann und muss die technische Hygiene leisten

Wann wird Bildverarbeitungssoftware zum Medizinprodukt? 11. Linzer Forum Medizintechnik November 2014

Risikobasierte Wartungsplanung

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

Erfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern

Risikomanagement Insel Gruppe

Kanzlei Lücker MP-Recht. MPBetreibV Relevante Änderungen zum AKI Veranstaltung April 2017 Potsdam / Leipzig

14971, 20000, 27001, Risikomanagement, Netzwerke und Medizinprodukte wann gilt welche Norm. Jochen Kaiser Universitätsklinikum Erlangen

CE-Kennzeichnung von Medizinprodukten Handlungsempfehlungen für den Zulassungsprozess

GRUNDEINSTELLUNGEN FÜR EINEN SICHEREN ARBEITSPLATZ LERNEINHEIT 1

WELCHE ROLLE SPIELT DIE ISO/IEC 80001

02131 Elektromagnetische Vertråglichkeit in der Medizintechnik

Aufbereitung von Medizinprodukten - die Verantwortung des Herstellers und des Anwenders Die Sicht der Krankenhausgesellschaft

Anforderungen an die Aufbereitung von Medizinprodukten Gesundheitssystem Pflichten Reinigung Desinfektion Sterilisation Haftung

Software als Medizinprodukt im Reformprozess

Die Kombination von Medizinprodukten. SystemCheck

Einleitung. Einleitung

Risiko- und Krisenmanagement im Krankenhaus. Werner Gösenbauer Wien,

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Informationssicherheit an der RWTH

Workloads kennen und verstehen

Handbuch. Mit Informationen zur Unterstützung des Risikomanagers. von Medizinischen IT-Netzwerken. zur Umsetzung der DIN EN

Regulierungsanforderungen an Medizinprodukte Apps

Bayerisches Staatsministerium für Umwelt, Gesundheit und Verbraucherschutz Medizinprodukte Information

Cloud-Monitor 2018 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG

Mensch-Maschine-Schnittstelle am Beispiel Medizintechnik

Medizinprodukte in IT-Netzwerken

Systems to communicate. Effiziente Daten- und Systemkommunikation

Das PDMS als Baustein in der Spiel-KIS(TE) eines CIO

MEDICAL APPS. Software als Medizinprodukt

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Aktualisierte Leitlinie für die Validierung der maschinellen Reinigung und Desinfektion (in der Fassung von 2017)

MEDIZINTECHNIK AM UKS

Locky & Co Prävention aktueller Gefahren

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

Informations-Sicherheitsmanagement und Compliance

Gesetzliche Vorgaben für die Aufbereitung von Instrumenten in der Podologie

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

IEC Grundlagen und Praxis Dipl.-Ing. Peter Knipp. 8. Augsburger Forum für Medizinprodukterecht 13. September 2012

Informationen über Projektgruppen der Informatik 4 (AGs Martini + Meier)

Medizintechnik und IT

Die Datenschutzgruppe

Medizinproduktbuch 1

ICT-Sicherheitsleitlinie vom 11. August 2015

Weisung an die Lernenden der kantonalen Schulen für die Verwendung von Informatikmitteln in der Schule

ZUKUNFTSKONGRESS BAYERISCHER IT-SICHERHEITSCLUSTER E.V.

ZSVA: Zertifizierung + Barcode Klinikum Heidenheim

Welche regulatorischen Vorgaben müssen Betreiber und Anwender berücksichtigen?

UNSERE VERANTWORTUNG FÜR DIE PATIENTENSICHERHEIT

MPG Info 04/2004 Das Landesamt für Verbraucher-, Gesundheits- und Arbeitsschutz des Saarlandes informiert

IT-Sicherheit für KMUs

Medizinprodukte 200 Fragen und Antworten zum Selbststudium

Hauke Kästing IT-Security in der Windindustrie

Next Generation IT Security Synchronized Security vs. Best-of-Breed. Christoph Riese Manager Sales Engineering

1. Abschnitt: Allgemeine Bestimmungen. vom 7. November 2007 (Stand am 1. Dezember 2007)

Sicherheitsanforderungen an KV-SafeNet-Arbeitsplätze

Konferenz: IT-Sicherheit im Krankenhaus - Aktuelle Gefahren, Anforderungen und Lösungsansätze -

Medizinproduktbuch 1

ELGA und WahlärztInnen

Standalone Software. als Medizinprodukt. Matthias Hölzer-Klüpfel

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Cybersicherheit in kleinen und mittleren Unternehmen

Anforderungen an moderne Medizintechnik unter KRITIS

Gebrauchstauglichkeit von

Nur wer über solides Wissen verfügt, weiß wie er sich sicher innerhalb der rechtlichen Grenzen bewegen kann.

Unterweisungsmodul. Medizinprodukte

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Biofeedback und Elektrische Sicherheit. Dr. rer. nat. Immo Curio, Dipl.-Physiker Medizinelektronik

Datensicherheit. (Struktur, Details, Zer3fizierungsprozess) Andre Kreuzer / Michael Staudinger SWISSMIG

Mal eben angeschlossen: Risiken von vernetzten Medizinprodukten

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

EN Risikomanagement für IT-Netzwerke, die Medizinprodukte beinhalten

Einführung eines PDMS- Systems

Derzeitige Medizinprodukte Beschaffung im Gesundheitswesen ein Systemrisiko für die Patientensicherheit?

Unterweisungsmodul. Hochfrequenzgeräte

Schutz vor Cyberbedrohungen Schutzmassnahmen MUM

Datenschutz und IT-Sicherheit an der UniBi

Einsatz von Mobilgeräten und Apps im Gesundheitswesen

Medizinproduktegesetz (MPG)

1. Abschnitt: Allgemeine Bestimmungen. nach den Artikeln 50d und 50e AHVG systematisch verwenden.

Transkript:

90. Deutscher Röntgenkongress 20.5-23.5.2009 23 5 2009 Medizintechnik in der Praxis wenn das CT Schnupfen bekommt IT-Sicherheitsaspekte vernetzter Medizintechnik 20.5.2009 IT-Sicherheitsbeauftragter des Universitätsklinikums Erlangen

Vorstellung und Inhalte Seite 2 Dipl. Inf. IT Sicherheitsbeauftragter h i (CISO) Universitätsklinikum Erlangen 09131 85.36205 Inhalte 1. Einführung in die Problematik vernetzter medizinischer Systeme 2. Hinweise zu wichtigen Themen im Kaufgespräch mit den Herstellern 3. Hilfestellung in Form von einfachen Beispielen und Checklisten zur Lösung der Probleme e 4. Hilfestellung im Krisenfall: Wer trägt die Milj h k i @ k l d Verantwortung, wie motiviere ich meine Vertragspartner mir zu helfen? email: jochen.kaiser@uk erlangen.de Mitarbeiter der DIN/DKE: DIN EN 80001

Seite 3 Problem #1 SCHADHAFTE SOFTWARE

Hoher Zuwachs an Malware Seite 4 Malware und unerwünschte Programme (PUP) (Hauptvarianten) 2 200 000 2 000 000 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Quelle: McAfee Viren und Bots PUP Trojaner

Anzahl Malware-Samples AV-Hersteller Seite 5 Quelle: McAfee

Einfallstore Malicious Software hochinfektiöse Software Seite 6 USB-Sticks Mitarbeiter Fehler Konfigurationsmanagement Fernwartung Surfverhalten Intersektorale Vernetzungng Mails mit Anhang Medien Patient Institutionelle Vernetzungng Laptop Service- Techniker Fehler Patch. feld mobile Nutzung (unterschiedliche Sicherheitszonen)

Fehlende Sicherheitsmaßnahmen Seite 7 Host-based IPS fehlt Wartungs- vertrag? Anwendungspatches fehlen Virenschutz fehlt Monokultur Betriebssysem IT-Dienstleister i t kennt MPG nicht Firewall fehlt

Konsequenzen für Ihr Praxis-Netzwerk Seite 8 schwindendes Vertrauen schwindende Patientensicherheit

Unterschied Virus zu Wurm Seite 9 Virus Auf Anwendungsebene Wurm Auf Netzwerkebene Als Anhängsel in einer Mail, Springt von System zu System Applikation Passiv: Infektion ohne Zutun des Aktives Verhalten erforderlich Nutzers möglich Netz Netz

Betreiberpflichten aus MPBetreibV 2 (1) Seite 10 Gesetzestext MPBetreibV 2 (1) Medizinprodukte dürfen nur ihrer Zweckbestimmung entsprechend und nach den Vorschriften dieser Verordnung, den allgemein anerkannten Regeln der Technik sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden. Implizite Verknüpfungen Medizinprodukthandbuch bestimmte Normen

Diskussion der Verantwortung Seite 11 WP 2 color displays PACS ARCHIV Praxisnetz CT WP one color display XR Haftung Betreiber Haftung Hersteller (genaue Situation im Einzelfall klären)

Genauere Betrachtung der Verantwortung Prämisse: Einsatz laut Zweckbestimmung Seite 12 Wurm-Infektion Netzwerk Netzwerkanschluss = Zweckbestimmung WP 2 color displays Virus-Infektion Mail / Surfen Surfen / Mail!= Zweckbestimmung CT Infektion Virus Anschluss USB-Medien USB-Stick / CD-Rom!= Zweckbestimmung

Diskussion von Maßnahmen Seite 13 Gnothi seauton Netzwerkdesign Praxisnetz Kommunikation mit den Herstellern Forderungen gegenüber den IT-Dienstleistern

Gnothi seauton Seite 14 Kritische Verhaltensweisen abstellen Definieren Sie das Netz als Sicherheitszone (Willenserklärung!) Surfen tabu / E-Mail-lesen tabu (Firewall!) Laptop sichern: Firewall, keine E-Mail Daten verschlüsseln Mitarbeiter aufklären (Rechtslage, Ziele und Anforderungen) Datenschutz Datensicherheit MPG IT-Dienstleister fordern muss mittelfristig zum Integrator für Medizinprodukte werden, muss mit dem Begriff Medizinprodukte etwas anfangen können

Netzwerkdesign Praxisnetz Seite 15 Definieren Sie eine Sicherheitszone und Ziele Medizinprodukte sollen einwandfrei funktionieren Keine Schädlinge Datenschutz soll gewährleistet sein Technische Maßnahmen Extra Mini-PC für Patientenmedien: Virenschutz, Patches, IPS Risiko einer Infektion mit Patientenmedien wird verringert Lesen Sie in den Handbüchern der Medizinprodukte über den passenden Virenschutz Verhindern Sie unberechtigten Zugriff (Netzwerkswitch einchalten) Organisatorische Maßnahmen Netzwerkanschluss nur für Malware-freie Systeme Dienstleister, Wartungspersonal MP-Hersteller Mitarbeiter

Seite 16 Hinweise zu wichtigen Themen im Verkaufsgespräch mit den Herstellern Allgemeine Tipps: Gespräch nicht nur über die diagnostischen Parameter führen Besprechen Sie Ihr Netzwerk mit dem Hersteller Nennen Sie die wesentlichen Anforderungen Sicherheit, Vertrauen, Verfügbarkeit Zeigen Sie ihr Sicherheitskonzept Nehmen Sie den Hersteller in die Pflicht: Sie wollen das selbe von Ihm. Sicherheit bedeutet Stabilität Virenschutz Aktualisierungen Betriebssystem Aktualisierunen Anwendungen

Seite 17 Hilfestellung im Krisenfall: wie motiviere ich meine Vertragspartner/Hersteler mir zu helfen? Tipp: Bleiben Sie am Ball, Zeigen Sie Ihre Fachkenntnis Sie Sekennen e das MPG Sie haben das System zusammen mit dem MP-Hersteller im Rahmen der Zweckbindung eingebunden Sie haben nichts unerlaubtes getan, das Produkt funktioniert nicht Erklären Sie, dass Sie den Vorfall an die Bundesbehörde BfArM melden müssen Sie haben in Ihrem Netzwerk den Stand der Technik implementiert.

Vorstellung der ISO 80001 wird auch für Arztpraxen gelten Seite 18 Kommende Norm DIN EN 80001 (Antrag auf Harmonisierung) Definiert Haftung: Hersteller oder Betreiber Haftung für Gerät: Hersteller Haftung für Netzwerk: Betreiber Beschreibt Kommunikation Was muss Betreiber wissen Was muss Betreiber vorbereiten Was muss Hersteller wissen Was muss Hersteller vorbereiten Beschreibt Integration Risikomanagement Interaktion mit anderen Komponenten

Seite 19 Vielen Dank für Ihre Aufmerksamkeit! Lust auf mehr? Artikel in der aktuellen Ausgabe der Zeitschrift E-Health.com I/2009 Bitte stellen Sie doch Fragen! z.b. Krisenmanagement nach Wurm- Infektion.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback