Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software-Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können. Beliebte Angriffswege sind dabei die Makro-Funktion in Word-Dokumenten oder aktive HTML-Anzeigen in E-Mail-Programmen. Angriffe mit Ransomware oder mit Schadsoftware-Varianten wie Emotet haben über diese Angriffswege in den letzten Monaten auch in Deutschland zahlreiche Unternehmen getroffen und großen Schaden verursacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher Empfehlungen für eine sichere Konfiguration von Word, Excel, Outlook und Co. entwickelt und nun veröffentlicht. Damit können Organisationen die Angriffsfläche signifikant reduzieren: Die Deaktivierung von HTML in E-Mails sowie der sichere Umgang mit Makros in Dokumenten und anderen Dateien sind dabei nur zwei von zahlreichen Empfehlungen.
Link: www.bsi.bund.de
Mit einem neuen Referentenentwurf will Bundesgesundheitsminister Spahn die digitale Versorgung verbessern. Dabei geht es um Anwendungen wie digitale Tagebücher für Diabetiker oder Apps für Menschen mit Bluthochdruck. Außerdem sollen sich Daten der Patienten in absehbarer Zeit in einer elektronischen Patientenakte speichern lassen. Und auch die Videosprechstunde soll Alltag werden.
Link: www.bundesgesundheitsministerium.de
Mit dem IT-Sicherheitsgesetz will der Gesetzgeber wirksame Schutzmechanismen für die sogenannten kritischen Infrastrukturen in Deutschland festschreiben. Die Deutsche Krankenhausgesellschaft setzt sich aktiv u. a. mit der Definition eines branchenspezifischen Sicherheitsstandards (B3S) für die Verbesserung der IT-Sicherheit in den deutschen Krankenhäusern ein. Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern dient in letzter Konsequenz auch der Patientensicherheit.
Die Deutsche Krankenhausgesellschaft hat den im Dezember 2018 veröffentlichten Entwurf eines Branchenspezifischen Sicherheitsstandards (B3S) entsprechend den Hinweisen des Bundesamtes für Sicherheit in der Informationstechnik überarbeitet und nach Abstimmung und Freigabe durch den Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft dem BSI die finale Fassung (Version 1.0) zur abschließenden Prüfung der Eignung des B3S für die Umsetzung der Anforderungen nach § 8a BSIG zugeleitet.
Nachfolgend finden Sie die zur Eignungsfeststellung eingereichte Fassung des B3S (Version 1.0) vom 2.4.2019. Über das Ergebnis der Prüfung wird an dieser Stelle informiert.
Link: www.dkgev.de
Donnerstag, 4. April 2019
360 Tage Vorratsdatenspeicherung, breite Löschpflichten bei Datenleaks, drastische Verschärfung der Hackerparagrafen: Seehofers Rundumschlag hat es in sich.
Link: www.heise.de
Donnerstag, 28. März 2019
Die Krankenhäuser in Deutschland haben erheblichen Nachholbedarf bei der Digitalisierung und beim Technologieeinsatz, wie der neue Krankenhaus-Report des Wissenschaftlichen Instituts der AOK (WIdO) zeigt. So erreichten die deutschen Krankenhäuser 2017 in einem internationalen Vergleich auf einer Digitalisierungs-Skala von Stufe 0 bis 7 im Durchschnitt nur den Wert 2,3 und lagen damit unter dem EU-Durchschnitt von 3,6. Besonders deutlich zeigt sich der mangelnde Wandel bei den kleinen Krankenhäusern unter 200 Betten, die im Mittel nur den Wert 1,3 erreichten.
Im neuen Krankenhaus-Report „Das digitale Krankenhaus“ gehen verschiedene Autoren der Frage nach, wie die Digitalisierung die stationäre Gesundheitsversorgung verändern wird. Zur Einschätzung des Digitalisierungsgrades deutscher Kliniken nutzen die Autoren des Fachgebiets Management im Gesundheitswesen von der Technischen Universität (TU) Berlin das „Electronic Medical Record Adoption Model (EMRAM)“. Danach können Krankenhäuser eine Stufe von 0 bis 7 erreichen, wobei das Erreichen einer Stufe die Erfüllung der vorhergehenden impliziert (Tabelle 1). Stufe 0 bedeutet, dass kaum digital gearbeitet wird, während Stufe 7 einem papierlosen Krankenhaus entspricht. Für die Studie wurden die Daten von 167 deutschen Krankenhäusern ausgewertet, die derzeit nach dem EMRAM-Modell zertifiziert sind. Danach erreichten 2017 knapp 40 Prozent der untersuchten Kliniken nur die Stufe 0. Lediglich zwei Krankenhäuser der Maximalversorgung erfüllten die Anforderungen der Stufe 6. Kein einziges der zertifizierten Häuser in Deutschland schaffte die Stufe 7.
Link: www.wido.de
Anwendung der aktualisierten Empfehlung auf Betreiber regulierter Kritischer Infrastrukturen im Aufsichtsbereich des BSI:
1) Die in dem Dokument „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ definierten Anforderungen stellen eine Empfehlung des BSI für die in Kapitel 1 des Dokuments beschriebenen Anwendungsfälle dar. Aus aufsichtlicher Sicht des BSI besteht die Erwartungshaltung, dass diese Empfehlung bei regulierten Betreibern Kritischer Infrastrukturen zukünftig Berücksichtigung finden wird, sofern dort entsprechende Anforderungen an höchstverfügbare1 und georedundante Rechenzentren vorliegen, die für Anlagen Kritischer Infrastrukturen relevant sind. Entsprechend der Ausführungen im Dokument bedeutet dies keine Verpflichtung zur unreflektierten, zwangsweisen Einhaltung eines Mindestabstandes. Betreiber regulierter Kritischer Infrastrukturen müssen diese Thematik allerdings im Rahmen des Risikomanagements für die jeweilige Kritische Infrastruktur angemessen behandeln, sofern eine entsprechende Höchstverfügbarkeit und Georedundanz gegeben sein muss.
2) Für die im Kalenderjahr 2019 zu erbringenden Nachweise gemäß § 8a Abs. 3 BSIG muss die aktualisierte Empfehlung noch nicht umgesetzt sein. Dies schließt insbesondere auch die Fälle mit ein, in denen eine Risikoanalyseentsprechenden Handlungsbedarf ergeben würde oder bereits ergeben hat. In diesem Fall genügt es, wenn dies entsprechend vermerkt und bereits in der Umsetzungsplanung berücksichtigt wurde.
3) Bei Nachweisen für Anlagen mit entsprechenden Anforderungen an höchstverfügbare und georedundante Rechenzentren, die im Jahr 2020 erbracht werden, sollte die Thematik im Risikomanagement nachvollziehbardokumentiert und die sich daraus ergebenden, angemessenen Maßnahmen gemäß § 8a Abs. 1 BSIG bereits umgesetzt sein oder sich nachvollziehbar in Umsetzung befinden.
4) Ab dem Kalenderjahr 2021 sollten bei Anlagen mit entsprechenden Anforderungen an höchstverfügbare und georedundante Rechenzentren die Thematik im Risikomanagement nachvollziehbar dokumentiert und die sich daraus ergebenden, angemessenen Maßnahmen gemäß § 8a Abs. 1 BSIG bereits umgesetzt sein. Eine Abweichung muss wohlbegründet und dokumentiert sein.
Link: www.bsi.bund.de
Ab sofort steht das IT-Grundschutz-Kompendium in der neuen Edition 2019 zur Verfügung. In dieser Edition sind insgesamt 94 IT-Grundschutz-Bausteine enthalten, 14 Bausteine sind zu neuen Themen aufgenommen worden. Das IT-Grundschutz-Kompendium ist auf die Sicherheitsanforderungen in Unternehmen und Behörden zugeschnitten. Anwender können flexibel und unkompliziert die für sie geeigneten Bausteine auswählen, um die Informationssicherheit gezielt zu verbessern. Die IT-Grundschutz-Bausteine folgen dabei dem ganzheitlichen Ansatz des IT-Grundschutzes: Neben technischen werden zugleich infrastrukturelle, organisatorische sowie personelle Aspekte berücksichtigt.
Die neue Edition steht online auf der BSI-Webseite und als Loseblattwerk zur Verfügung. Die nun veröffentlichte Edition 2019 ist zertifizierungsrelevant und löst damit die Edition 2018 ab. Diese ist für aktuelle Zertifizierungsprozesse noch bis zum 30. September 2019 gültig.
Link: www.bsi.bund.de
Viele Deutsche sind besorgt wegen der Datenrisiken, welche die digitale Medizin mit sich bringt. Darauf hat die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC hingewiesen. Sie bezieht sich dabei auf eine Umfrage unter 1.000 Bundesbürgern. Danach haben drei von zehn Patienten Angst vor dem Ausfall der Computersysteme bei einem Krankenhausaufenthalt. Die Versicherten befürchten, dass gerade kleinere kommunale Krankenhäuser in ländlichen Gegenden schlecht auf einen Angriff aus dem Netz vorbereitet sind, wie sogar 51 Prozent bestätigen. Nachholbedarf in puncto Datensicherheit sehen die Bürger auch bei konfessionellen Krankenhäusern (46 Prozent) und Hausarztpraxen (45 Prozent).
Vergleichsweise gut gewappnet für eine Cyberattacke sind aus Sicht der Studienteilnehmer dagegen Universitätskliniken, Gesundheitszentren oder große Gemeinschaftspraxen und Kliniken in privater Trägerschaft mit mehreren Häusern.
Link zur Studie: www.pwc.de
Donnerstag, 20. Dezember 2018
Zum Jahresende 2018 hat das BSI das Dokument „Kriterien für die Standortwahl höchstverfügbarerund georedundanter Rechenzentren“ veröffentlicht. Mit Kapitel 3.3. zum „Abstand georedundanter RZ untereinander“ aktualisiert das BSI seine „Hinweise zur räumlichen Entfernung zwischen redundantenRechenzentren“ aus dem Jahr 2006. Mit der aktualisierten Empfehlung trägt das BSI den gesammeltenErfahrungswerten aus 13 Jahren und der enorm gewachsenen Bedeutung von Informationsinfrastrukturenmit daraus resultierenden Anforderungen an deren Verfügbarkeit Rechnung.
Link: www.bsi.bund.de
Freitag, 16. November 2018
Die Deutsche Krankenhausgesellschaft hat den ersten von zwei geplanten Teilen eines Entwurfs für einen Branchenspezifischen Sicherheitsstandard erstellt und mit dem Branchenarbeitskreis „Medizinische Versorgung“ in mehreren, teils umfangreichen Kommentierungsrunden abgestimmt. Sowohl der Branchenarbeitskreis als auch die hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft haben die Freigabe für die Weiterleitung des vorliegenden Entwurfs an das BSI erteilt, mit dem Ziel, die Eignung des B3S für die Umsetzung der Anforderungen nach § 8a BSIG festzustellen.
Link: www.dkgev.de