Aktuelles, Branche - geschrieben von cp am Donnerstag, April 16, 2020 12:52 - noch keine Kommentare
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern
Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden
[datensicherheit.de, 16.04.2020] Im vergangenen Jahr 2019 waren zwei Drittel der Organisationen im Gesundheitssektor von Cybersicherheitsvorfällen betroffen. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine kürzlich erschienene Enisa-Leitlinie für Krankenhäuser der EU-Agentur für Cybersicherheit (Enisa): „Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit müsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden“, fasst Patrycja Tulinska, Geschäftsführerin der PSW GROUP, zusammen.
Der neue Enisa-Leitfaden ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/ CIOs, soll so ein umfassendes Instrumentarium zur Verfügung stehen, um Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren. Außerdem werden Best Practices aufgezeigt.
Patrycja Tulinska, Geschäftsführerin der PSW GROUP
„Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, ihnen alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit auch erreicht werden können“, erläutert Tulinska.
Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen. „Insgesamt bildet der Leitfaden eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist“, lobt Patrycja Tulinska. Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Nachdem die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschlägen zum Nachweis dazu, wie Anforderungen von Anbietern erfüllt werden können, wird das ganze Vorgehen deutlich vereinfacht. In der ersten Phase, der Planphase, geht es um die Analyse der Bedürfnisse eines Krankenhauses. Außerdem werden aus den internen Abteilungen Anforderungen gesammelt.
Umfangreiche Aufgaben für den CTO
Bei der Beschaffung eines neuen Cloud-Services beispielsweise sollte der CTO nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und vermitteln können, welchen Nutzen dieser Service nach sich zieht. „In dieser Phase werden beispielsweise Risikobewertungen durchgeführt, Bedrohungen identifiziert, Netzwerke getrennt und Eignungskriterien für Lieferanten entworfen“, informiert Tulinska. In der anschließenden Beschaffungsphase werden die bestehenden Anforderungen übersetzt in technische Spezifikationen. Im Rahmen eines Sourcing-Prozesses können beispielsweise entsprechende Ausschreibungen veröffentlicht werden, die eingehenden Angebote durch einen Ausschuss bewertet und die geeignetsten Produkte in die engere Wahl genommen, bis der Auftrag schließlich an ein Unternehmen vergeben wird. „Hier geht es darum, Zertifizierungen zu empfehlen oder vorzuschreiben, Datenschutz-Folgeabschätzungen durchzuführen und Legacy-Systeme anzusprechen, Schulungen in Cybersicherheit im Krankenhaus anzubieten, aber auch Reaktionspläne für Vorfälle zu entwickeln. Zudem müssen Lieferanten in das gesamte Vorfallmanagement einbezogen werden, Wartungsarbeiten organisiert und Fernzugriffe sicher hergestellt werden“, informiert die IT-Sicherheitsexpertin. In der dritten Phase, der Verwaltungsphase, werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen, einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung, dem System oder der Dienstleistung entspringt. „Die dabei zu erledigenden Schritte sind unter anderem das Bewusstsein über Cybersicherheit zu erhöhen, ein Bestands- sowie Konfigurationsmanagement durchzuführen, Zugangskontrollmechanismen für die medizinische Geräteeinrichtung einzurichten und zu verwalten sowie regelmäßige Penetrationstests durchzuführen“, so Patrycja Tulinska weiter.
Weitere Informationen zum Thema:
PSW Group
Enisa: Notfallplan für mehr Cybersicherheit im Krankenhaus
datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht
datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren