VERTRAUEN: Seite 3 S it i e t 4 4

Ähnliche Dokumente
Vis!t Symposium 2014 Sicherheitsfaktoren für ELGA

ELGA: Informationen für Ärzte. Vorarlberger Gebietskrankenkasse Dr. Susanne Herbek, ELGA GmbH 3. Juli 2014

GZ: BMG-11001/0001-I/A/15/2015 Wien, am 4. März 2015

PCI-Zertifizierung: Höchste Sicherheit für Kartendaten

Datenschutz im Forschungszentrum Rossendorf

E-Health & in Österreich

Verschlüsselung von USB Sticks mit TrueCrypt

Best Practice Sichere Webseite vom Server bis CMS Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

IT - Sicherheit und Firewalls

Netwrix: Damit Sie Compliance und Ihr Active Directory in den Griff bekommen

Leitlinie für die Informationssicherheit

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

CompuSafe Data Systems AG Compliance Richtlinien. November 2010

Datenschutzerklärung ENIGO

CLOUD FÜR KMU CHANCE ODER RISIKO? INFORMATIONSVERANSTALTUNG, 9. NOVEMBER 2016

Böhler Edelstahl GmbH & Co KG Für die besten der Welt

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

DE 098/2008. IT- Sicherheitsleitlinie

Verhaltenskodex. für Gesellschaften der Firmengruppe Liebherr und deren Mitarbeiterinnen und Mitarbeiter

sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Das Thema Datenschutz hatte bereits in der Entwicklungs- und Konzeptionsphase

Bedeutung Risiko- und Business Continuity Management in der Privatwirtschaft. Raiffeisen Informatik GmbH

Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar Torsten Trunkl

IT kompetent & wirtschaftlich

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Elektronische Gesundheitsakte (ELGA): Zur Regierungsvorlage des ELGA-Gesetzes. 9. Oktober 2012

Sicheres CLOUD-Computing im Gesundheitswesen

Die Healthcare- Lösungen von A1.

Informationssicherheit im Gesundheitswesen Riskmanagement nach ISO von Ing. Franz Hoheiser-Pförtner, MSc / CISSP Ing. Franz Hoheiser-Pförtner,

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Datenschutz an der Pädagogischen Hochschule Karlsruhe

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

ELGA & e-card: Status und Ausblick

Überblick über die Windows Azure Platform

Informationssicherheit im Application Service Providing (ASP)

Gedanken zur Informationssicherheit und zum Datenschutz

Informationssicherheitsmanagement

Secure Authentication for System & Network Administration

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v.

Patch- und Änderungsmanagement

SWISS DATA PROTECTION

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

RDB Rechtsdatenbank Administrationshilfe. Einfach wie noch nie, zuverlässig wie schon immer.

Entwicklungsberatung - wir begleiten und unterstützen Sie

OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt

Datenschutz mit A1. Surfen Sie auf der sicheren Seite. Einfach A1.

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

IT-Security Portfolio

Guter Datenschutz schafft Vertrauen

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Erfahrungsbericht. Referent : Bruno Cirone Internet : Bruno@Cirone.de Telefon : /

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Kurzanleitung BKB-E-Banking-Stick

Telemed 2015 in Berlin Laura Bresser (B.Sc.) Berlin den Hochschule Mannheim University of Applied Sciences

Sichere . s versenden aber sicher! Kundenleitfaden Kurzversion. Sparkasse Leverkusen

Medizinische Universität Wien ITSC Handbuch

Sicher(lich) ebanking

Ausstattung von Krankenanstalten mit dem e-card-system Leitfaden

IT-Security Portfolio

Aktueller Planungsstand zu USU Valuemation 4.6

s versenden aber sicher! Secure . Kundenleitfaden. Sparkasse Landshut

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

mysoftfolio360 Handbuch

Identity for Everything

Ensemble Security. Karin Schatz-Cairoli Senior Sales Engineer

Master-Thesis. Zugang via Fotohandy. Michael Rimmele

Sicheres Cloud Computing

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Beraterprofil. ( Nur auf expliziten Wunsch des Kunden mit Namen und Lichtbild des Beraters! ) 2015, IT-InfoSec GmbH

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

Net4You Internet GmbH. Herausforderung Sicherheit DI Martin Zandonella, CEO

ITIL Prozese in APEX am Beispiel des Vodafone FCH

Informationen zur Datensicherheit/Datenschutz

Hinweise zum Datenschutz

E-Learning-Kurs Datenschutz und Informationssicherheit

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

Lebensadern einer modernen Gesellscha1 Cybersecurity auch eine Herausforderung im Gesundheitswesen?

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

COMPACT. microplan Mandantenportal. Sichere Kommunikation mit Ihren Mandanten. Kurz und knapp und schnell gelesen!

GIN, ehi-net, Peering Point Peering Point Betriebs GmbH

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

ARBEITSEFFIZIENZ UND VIELFÄLTIGKEIT IM VERTEILTEN ARBEITSUMFELD

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

' ($) 2 6'#! /4 2& ' /4! 2*!#! /4! +,%) *$ + -.!

Soziale Netzwerke. Web 2.0. Web 1.0? Erscheinungsformen. Web 2.0: Internet wird interaktiv. Dr. Urs Egli, Rechtsanwalt, Zürich

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

System i Monitoring & Automation

IT Best Practice Rules

Magento Application Security. Anna Völkl

Smartphone-Sicherheit

IT-Grundschutz nach BSI 100-1/-4

Sicherheit mit System

Transkript:

Ein gemeinsames Verständnis der Herausforderungen ist die zentrale Voraussetzung, um Maßnahmen zur Verbesserung des Datenschutzes und der Informationssicherheit bei E-Health Anwendungen zu verstehen bzw. diese zu fördern Seite 2

VERTRAUEN:! in die strategische Infrastruktur, die wir benötigen! in die Personen, die damit tagtäglich arbeiten! in die E-Health Anwendungen, mit denen wir arbeiten Seite 3 Seite Sei te 4

Seite 5 und wenn ja, warum? und wenn ja, seit wann? und wenn ja, nur in der IKT? Seite 6

Seite 7 Seite 8

Die Entwicklung von Malware bis 2014 1) 1) Quelle: 10/8/14 Seite page 9 Die Explosion von Malware im Jahr 2014 1) 1) Quelle: 10/8/14 Seite page 10

34 Million in 270 Tagen = 126.092,00 neue Malware pro Tag 1) Quelle: 10/8/14 Seite page 11 15.01.2009 / Österreich Nach Virenattacke: Normalbetrieb großteils wieder hergestellt Verwendung von USB-Sticks in Kärntner Krankenanstalten vorerst untersagt... Rund eine Woche nachdem 3.000 Computer in der Kärntner Krankenanstalten Betriebsgesellschaft (Kabeg) aufgrund eines Virusbefalls vom Netz genommen werden mussten, ist der Normalbetrieb nun wieder angelaufen http://www.kleinezeitung.at/kaernten/wolfsberg/wolfsberg/1728147/index.do Seite 12

http://derstandard.at/1350258361752/patienten-knackten-schmerzpumpen-ueberdosen-verabreicht Seite 13 1. muss abgewogen werden zwischen dem, was schon erreicht wurde, und dem was noch zu tun ist 2. es gibt durch das breite Aufgabenspektrum eine große Berührungsfläche, bei der der gute Wille aller Akteure maßgeblich für den Erfolg verantwortlich ist 3. Fragen der Informationssicherheit sind nicht immer technische getrieben 4. Informationssicherheit ist prozessorientiert und auf eine kontinuierliche Verbesserung ausgerichtet Seite 14

auch bei nicht elektronisch gespeicherten Daten: Vertrauensverlust Reputationsverlust wirtschaftlicher Schaden Zeitaufwand Verurteilung Seite 15 Seite 16

Seite 17 Seite 18

Seite 19 Seite 20

Seite 21 Rasse ethnische Herkunft Gewerkschaftszugehörigkeit politische Meinung Religiöse oder philosophische Überzeugung Gesundheit Sexualleben Seite 22

indirekt personenbezogene Daten sensible Daten anonymisierte Daten personenbezogene Daten Seite 23 Unternehmenssicherheit Alle Sicherheitsaspekte eines Betriebes: Brandschutz, sichere Arbeitsplätze, Umgang mit Gefahrengut, etc. Informationssicherheit Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen IKT-Sicherheit Sicherung von IKT-Systemen Technische Implementierung Seite 24

*) Quelle: Bereich Daten Anwendungen Maßnahmen! Speicherung der Daten in hochsicheren Rechenzentren (z.b. BRZ, ITSV, SVC, Krankenanstaltenverbünde)! Verschlüsselte Speicherung (z.b. e-medikation) oder! 4-Augen-Prinzip bei Zugriff durch Administrator! ELGA-Berechtigungssystem kontrolliert und protokolliert alle ELGA- Transaktionen! Zugriff grundsätzlich nur bei technisch nachgewiesenem Behandlungskontext möglich (z.b. e-card-stecken, Aufnahme im Krankenhaus)! Am Portal Login via Bürgerkarte/Handysignatur! Source-Code-Review des ELGA-Berechtigungssystems! Penetrationstests (z.b. Portal) Juni 2014 Seite 25 *) Quelle: Bereich Netzwerk Organisation Maßnahmen! Ausschließlich verschlüsselter Datentransport! Eigene Zertifikatsinfrastruktur für Kommunikation der zentralen Komponenten mit den ELGA-Bereichen! Eigene Gesundheitsnetze (Healix, ehinet, GIN, Corporate Networks) für Kommunikation zwischen GDA! Orientierung an internationalen Sicherheitsstandards (z.b. ISO 2700x, BSI)! Sicherheits-Audits der Betreiber von ELGA-Komponenten! Zusammenarbeit der Sicherheitsverantwortlichen aller Betreiber im Rahmen des ISMS! Zusammenarbeit mit CERT.at Juni 2014 Seite 26

*) Quelle: Bereich Architektur Entwicklung und Wartung Maßnahmen! Entwicklung der Architektur mit Hinblick auf Sicherheit (Einsatz von state of the art Standards)! Architekturreview durch internationale und unabhängige Experten! Umfangreiche Tests (Entwicklertests, User Acceptance Tests, Integrationstests, Performancetests, Produktivtests, etc.)! Spezielle Sicherheitstests (z.b. Penetrationstests des Portals)! Source-Code-Review des ELGA-Berechtigungssystems! Übergreifendes Change- und Releasemanagement Juni 2014 Seite 27 *) Quelle: Bereich Autorisierung Bereich Netzwerk Maßnahmen! Authentifizierte Benutzer erhalten auf Grund ihrer bestätigten ELGA-Rolle gesetzlich definierte Rechte! Sicherstellung der durch den Teilnehmer erteilten Rechte Maßnahmen! Ausschließlich verschlüsselter Datentransport! Eigene Zertifikatsinfrastruktur für Kommunikation der zentralen Komponenten mit den ELGA-Bereichen! Eigene Gesundheitsnetze (Healix, ehinet, GIN, Corporate Networks) f. Kommunikation zwischen ELGA-GDA und ELGA-Bereichen sowie zu den zentralen Komponenten! Einsatz von Firewalls an Netzwerkübergängen Juni 2014 Seite 28

*) Quelle: Bereich Organisation Personal Maßnahmen! Gemeinsame ISMS-Leitlinien (Orientierung an internationalen Sicherheitsstandards)! Zielorientierte Sicherheitsleitfäden für verschiedene Zielgruppen! Sicherheits-Audits der Betreiber von ELGA-Komponenten! Zusammenarbeit der Sicherheitsverantwortlichen aller Betreiber im Rahmen des ISMS! Zusammenarbeit mit CERT.at! Klare Arbeitsaufträge (Stellenbeschreibungen, Organigramm, Zielvereinbarung, etc.)! Schulungen! NDAs! Personalauswahl für sensible Bereiche (Strafregisterauszug, Backgroundcheck) Juni 2014 Seite 29 *) Quelle: Bereich Prozesse Kultur Maßnahmen! Übergreifende Betriebs-Prozesse (Basis ITIL) für Melden und Beheben von Betriebsstörungen und Problemen sowie Sicherheitsincidents! Krisenprozesse (Business Continuity Management, Krisenmanagement)! Krisenübungen! Anmerkungen aus Audits und sonstigen Berichten (Abweichungen) werden in einem Risikomanagementprozess gepflegt! Unterschiedliche Kulturen verbinden (Miteinbezug in Entscheidungen, Mitarbeit, Nutzung von Gremienstrukturen, Methoden, Informationspolitik, etc.)! Verbindung von unterschiedlichen Sicherheitsniveaus Juni 2014 Seite 30

*) Quelle: Variante Bezeichnung Beschreibung 1 Datenbank verschlüsseln Die Datenbank wird verschlüsselt und Gewaltentrennung zwischen DB-Admin und Security wird vorgenommen. Nicht alle DB können alle Feldtypen verschlüsseln (z.b. Blob). 2 Zwei Administratoren Damit die Datenbank unverschlüsselt administriert werden kann, arbeitet 1 Administrator an der DB und der zweite sieht zu Juni 2014 Seite 31 *) Quelle: Variante Bezeichnung Beschreibung 3 Passwortzugang in zwei Teilen Zwei Administratoren haben von einer User-ID die Hälfte des Passwortes für den Zugang. Erst durch die Eingabe der zweiten Hälfte des Passwortes durch den zweiten Administrator, kann Administrator 1 zugreifen. 4 Videoaufzeichnung Der Administrator stimmt zu, dass seine Arbeit laufend gefilmt wird (Filmsoftware auf eigener Installationsplattform) Juni 2014 Seite 32

Die Sicherheitsanforderungen, die wir uns bei E-Health Anwendungen auferlegen beruhen einerseits auf unserem hohen Verantwortungsempfinden und auf der Tatsache, dass wir täglich für Leib und Leben von vielen Menschen mitverantwortlich sind und anderseits auf verbindlichen Rechtsvorschriften zur Informationssicherheit bzw. im Umgang mit sensiblen und damit besonders schützenswerten Daten Seite 33 Ing. Franz Hoheiser-Pförtner, MSc Wiener Krankenanstaltenverbund Tel. 01/ 40409 66017 e-mail: franz.hoheiser-pfoertner@wienkav.at

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback