[datensicherheit.de, 17.06.2021] Die Digitalisierung schreitet offensichtlich auch im Gesundheitswesen und speziell in Krankenhäusern mit großen Schritten voran – eine Verbesserung von Arbeitsabläufen, mehr Effizienz und eine verbesserte Patientenversorgung werden als Ziele des verstärkten Einsatzes von digitalen Lösungen genannt. Damit verbunden steigen aber auch zwangsläufig die Cyber-Gefahren, welche die Betriebsfähigkeit und den Schutz sensibler Daten der Patienten empfindlich treffen könnten. Aus diesem Grund bietet der TÜV Rheinland nach eigenen Angaben ein gebührenfreies Online-Seminar zur IT-Sicherheit im Gesundheitswesen an: Eingegangen werden soll auf die Fragen, wie die Betriebsfähigkeit in Krankenhäusern sichergestellt werden kann und wie Sicherheitsanforderungen des Patientendatenschutzgesetzes bzw. des § 75c SGB V zu erfüllen sind.

TÜV Rheinland: Krankenhäuser müssen angemessene organisatorische und technische Vorkehrungen treffen

Das Patientendatenschutzgesetz und die damit verbundenen Sicherheitsanforderungen sollen demnach die Risiken für die stationäre medizinische Versorgung senken. Entsprechend müssten alle Krankenhäuser nach Patientendatenschutzgesetz beziehungsweise nach § 75c des Sozialgesetzbuches ab 2022 angemessene organisatorische und technische Vorkehrungen treffen.

Online-Seminar vom TÜV Rheinland befasst sich konkret mit Anforderungen

Das einstündige Online-Seminar vom TÜV Rheinland soll sich konkret mit diesen Anforderungen befassen. TÜV-Rheinland-Experten lieferten Informationen und Hintergründe, wie IT-Verantwortliche in Krankenhäusern diese pragmatisch und effektiv umsetzen und einen entsprechenden Nachweis über ihre Maßnahmen liefern könnten. „Ferner geben sie einen Überblick über Fördermöglichkeiten und welche Normen und Standards Krankenhäuser für den Aufbau und das Managen ihrer Informationssicherheit einsetzen können.“

IT-Sicherheit im Gesundheitswesen: Anforderungen verstehen und umsetzen

Montag, 12. Juli 2021 von 10 bis 11 Uhr
„Für das Webinar fallen keine Teilnahmegebühren an.“ Anmeldung erforderlich.

Themen-Überblick:

• Ausgangssituation: Cyberattacken auf Klinken/Krankenhäuser, Digitalisierung und Vernetzung im Gesundheitswesen,
• Ziele des Patientendatenschutzgesetzes (PDSG) und des § 75c SGB V,
• der Geltungsbereich/Scope,
• anwendbare Normen/Standards: die ISO/IEC 27001 und der branchenspezifische Sicherheitsstandard für die medizinische Versorgung (B3S MV),
• Förderung nach Krankenhauszukunftsgesetz (KHZG),
• Projektvorgehen und Möglichkeiten des Nachweises (Zertifizierung),
• Softwaretools zum Informationssicherheitsmanagement.

Weitere Informationen zum Thema:

datensicherheit.de, 27.06.2018
TÜV Rheinland: In fünf Jahren bereits 500 vernetzte Geräte in jedem Privathaushalt

TÜV Rheinland
IT-Sicherheit im Gesundheitswesen: Anforderungen verstehen und umsetzen

[datensicherheit.de, 27.06.2018] Nach Einschätzung von TÜV Rheinland ist das sogenannte Smart Home längst Realität, aber noch nicht Standard. Demnach gehen eigene Experten davon aus, dass sich das sehr schnell ändern wird: Bereits in fünf Jahren würden sich ihrer Einschätzung nach in jedem Privathaushalt rund 500 Geräte, Produkte, Anwendungen und Komponenten befinden, die internetfähig bzw. bereits mit dem Internet verbunden seien. Diese Prognose ist in den „Cybersecurity Trends 2018“ zu finden. Das Problem sei, dass viele dieser „smarten“ Produkte und Anwendungen „nicht ausreichend auf Datensicherheit und Cybersecurity überprüft“ worden seien.

Vernetzte Geräte: Sammlung und Austausch von Daten

Zu den „smarten“ vernetzten Geräten gehörten Online-Steuerungssysteme für Rolladen, Licht oder Heizung ebenso wie Fernseher, Kühlschranke oder Rasenmähroboter, Mobiltelefone, Tablet-PCs oder Babyphones.
„Vernetzte Geräte müssen Daten sammeln und untereinander austauschen, damit sie funktionieren. Sonst sind diese nicht ,smart‘. Gleichzeitig müssen sie in Sachen Datensicherheit und gegen Cyber-Einbrüche gut gesichert sein“, erläutert Dr. Daniel Hamburg, Leiter des „Center of Excellence Testing and Certification“ bei TÜV Rheinland.
Hamburg fordert unter anderem, dass Standards zur Prüfung von Gerätesicherheit um Prüfungen für Datensicherheit und Cybersecurity erweitert werden: „Sonst öffnen wir mit dem ,Smart Home‘ einer neuen Art von Einbrechern Tür und Tor.“

Cyber-Kriminelle als Einbrecher der nächsten Generation

Tatsächlich gebe es bereits heute immer wieder Zwischenfälle, in denen es mit vergleichsweise einfachen Mitteln möglich sei, in Systeme und Produkte einzudringen, die mit dem Internet verbunden sind. Dies erfolge beispielsweise über Schadsoftware oder über das WLAN.
Zuletzt hätten Experten von TÜV Rheinland beispielsweise in einem Versuch einen sogenannten Wechselrichter einer Solarstromanlage gehackt. Dadurch wäre es möglich gewesen, verbundene Speichersysteme oder gar das Stromnetz selbst zu beeinträchtigen. Auch Alarmanlagen oder Überwachungssysteme seien von Einbrechern bereits gehackt und ausgehebelt worden.

Datenschutz: Auf Einhaltung der Vorschriften achten!

Damit Verbraucher bereits beim Kauf mehr Sicherheit haben, ob Produkte und Systeme den aktuellen Anforderungen an Datenschutz und Online-Sicherheit entsprechen, fordern Experten demnach „unabhängige Prüfungen nach einheitlichen Standards“.
Hamburg: „Seit 40 Jahren gibt es in Deutschland das GS-Zeichen für geprüfte Sicherheit von Produkten. Ähnliche Prüfzeichen benötigen wir jetzt für smarte Produkte, um geprüfte Datensicherheit und Cybersecurity für die Verbraucherinnen und Verbraucher auf einen Blick erkennbar zu machen. Das schafft eine Vergleichsmöglichkeit im Markt und sorgt für Vertrauen in die Hersteller.“
Entsprechende Prüfungen habe TÜV Rheinland seit 2017 entwickelt: Hierbei kontrollierten die Fachleute den Datenschutz und die Datensicherheit von Produkten beziehungsweise von Anwendungen, die mit diesen Produkten in Verbindung stehen. Denn mit einem internetfähigen Gerät sei fast immer auch ein Service verbunden, zum Beispiel die mobile und flexible Steuerung über ein Smartphone.
Beim Kauf neuer smarter Geräte sollten sich Verbraucher in jedem Fall auch über die Einhaltung von Datenschutzvorschriften informieren und nicht nur auf den Preis achten.

„Cybersecurity Trends“ bereits zum vierten Mal erschienen

Die „Cybersecurity Trends“ von TÜV Rheinland seien 2018 zum vierten Mal erschienen. Sie seien über mehrere Monate innerhalb eines internationalen Teams recherchiert und erstellt worden.
Dieser Report basiere auf einer Umfrage unter führenden Fachleuten für Cybersecurity von TÜV Rheinland und den Erfahrungen von Unternehmen in Europa, Nordamerika sowie Asien. Dazu hätten die Fachleute auch Unternehmen und Organisationen verschiedener Branchen befragt und weltweit Sicherheitsverletzungen des vergangenen Jahres analysiert.
Die „Cybersecurity Trends 2018“ sollen Auskunft zu acht bedeutenden Entwicklungen rund um Datensicherheit, IT-Security, Datenschutz und Cyber-Kriminalität geben. Dazu zählten unter anderem die Auswirkungen der neuen Datenschutzbestimmungen innerhalb der Europäischen Union – Stichwort Datenschutzgrundverordnung (DSGVO) –, der Trend zu biometrischen Erkennungssystemen im Alltag sowie der Aufbau Künstlicher Intelligenz (KI) rund um Cybersecurity.

Weitere Informationen zum Thema:

TÜVRheinland
Cybersecurity Trends 2018 / Cybersecurity in einer zunehmend digitalen Welt

datensicherheit.de, 26.10.2016
Cyber-Angriffe durch IoT-Botnetze: BSI nimmt Hersteller in die Pflicht

datensicherheit.de, 06.10.2016
SANS Institute: Warnung vor IoT-Botnetzen

[datensicherheit.de, 09.05.2018] Wie sich Unternehmen besser vor der wachsenden Zahl und der Komplexität der Cyber-Attacken schützen und sich zugleich für die Chancen der Automatisierung und Digitalisierung der Wirtschaft rüsten können, soll das neue Whitepaper „Cybersecurity Trends 2018” vom TÜV Rheinland erläutern.

Fokus auf größte Gefahren und Chancen in der zunehmend vernetzten Welt

„Unser Ziel ist, das Bewusstsein für die zunehmenden Cybersecurity-Risiken, die das Business und die Sicherheit unserer Kunden beeinflussen, weiter zu fördern”, betont Björn Haan, Geschäftsführer im Geschäftsfeld „Cybersecurity Deutschland“ bei TÜV Rheinland.
„In diesem Jahr konzentrieren wir uns auf die Bereiche, wo wir die größten Gefahren und Chancen sehen und beleuchten die Auswirkungen auf unsere zunehmend vernetzte Welt. Wir betrachten die weltweiten Bemühungen hinsichtlich Bedarf und Regulierungen sowie das Vertrauen in Cyber-Sicherheit, um diese weiter zu stärken. Des Weiteren werfen wir ein Blick auf Wege, um uns vor ,intelligenten‘ Cyber-Attacken zu schützen und was wir tun sollten, um die Qualifikationslücke zu schließen, in einer Welt, die nach Cyber-Sicherheitstalenten hungert, aber gleichzeitig von riesigen Datenmengen überwältigt wird“, erklärt Haan.
Wie in den Vorjahren basiere der Report 2018 auf einer Umfrage unter führenden Experten für Cybersecurity von TÜV Rheinland und Beiträgen von Kunden in Europa, Nordamerika und Asien. Nachfolgend wird auf acht identifizierte Trends eingegangen.

Preis zum Schutz der Privatspäre steigt***

„TREND 1: Durch die wachsende Anzahl an globalen Regulierungen im Cyber-Umfeld steigt der Preis, um die Privatsphäre zu schützen“
Datenschutz sei ein kritischer Aspekt in einer immer digitaler werdenden Welt. Der 25. Mai 2018 stellt demnach einen entscheidenden Wendepunkt für den Datenschutz in Europa dar – dieses Datum markiert das Ende des Übergangszeitraums für die Datenschutz-Grundverordnung (DSGVO) der EU, da diese ab diesem Tag rechtsverbindlich gilt.
Sie bedeute einen grundlegenden Wandel bei der Daten-Governance und der Art, wie Informationen von Unternehmen geschützt werden, die personenbezogene Daten von EU-Bürgern verarbeiten. Die Verordnung sei der Beginn einer wachsenden weltweiten Regulierung im Bereich Datenschutz. Verstöße gegen diese könnten mit Strafen in Höhe von bis zu vier Prozent des globalen Umsatzes belegt werden – eine enorme Summe, die nicht außer Acht gelassen werden dürfe. Es sei davon auszugehen, dass die EU-Kommission Verstöße gegen die DSGVO durch große globale Unternehmen konsequent verfolgen werde.

Internet der Dinge und Dienste erzwingt Safety und Security

„TREND 2: Das Internet of Things treibt das Zusammenspiel von Sicherheit, Cybersecurity und Datenschutz voran“
Im Jahr 2016 habe die Verwendung der Malware „Mirai“ gezeigt, dass IoT-Geräte ein schlagkräftiges und gefährliches Botnet bilden könnten. Die Time-to-Market-Anforderungen bei der Produktentwicklung und die eingeschränkte technische Performance von IoT-Geräten sorgten heute dafür, dass diese Geräte kritische Schwachstellen aufwiesen, die einfach ausgenutzt werden könnten.
Die Auswirkungen von Datenverletzungen gingen heute weit über eine einfache Datenmonetarisierung hinaus und umfassten auch physische Bedrohungen für Gesundheit und Sicherheit, da Geräte und Systeme direkt mit offenen Netzwerken verbunden seien.
Es ist laut TÜV Rheinland ein offenes Geheimnis, dass es um die IoT-Sicherheit nicht gut bestellt ist. Schätzungen gingen davon aus, dass bis 2022 in privaten Wohnungen und Häusern über 500 solcher Geräte vorhanden sein würden. Damit werde klar, dass sich die Risiken für Sicherheit, Cybersecurity und Datenschutz stark erhöhten.

OT wird verstärkt ins Visier genommen

„TREND 3: Operational Technology als Angriffspunkt für Cyber-Attacken“
Das Industrial Internet sorge bereits für eine Transformation der globalen Industrie und Infrastruktur und verspreche mehr Effizienz, Produktivität und Sicherheit.
Um im Wettbewerb zu bestehen, würden Prozessleittechnikgeräte mit der Online-Welt verbunden werden, wodurch oftmals unbeabsichtigt Komponenten, die Schwachstellen aufweisen, Cyber-Angriffen ausgesetzt seien. Fertigungsanlagen seien ebenfalls ein Angriffsziel, um an Geistiges Eigentum, Geschäftsgeheimnisse und technische Informationen zu gelangen.
Hinter Angriffen auf die öffentliche Infrastruktur stünden dagegen finanzielle Gründe, Hacktivismus und die Unzufriedenheit mit staatlichen Stellen. Die Angst vor einem „Worst-Case-Szenario”, bei dem Angreifer einen Zusammenbruch von Systemen auslösen könnten, die das Fundament der Gesellschaft bilden, sei ein Thema beim diesjährigen Weltwirtschaftsforum gewesen.
Industrielle Systeme seien besonders anfällig gegen Angriffe auf die Lieferkette. Das hätten auch kriminelle Angreifer erkannt und begonnen, diese Systeme ins Visier zu nehmen.

Angriffe werden immer noch zu spät erkannt

„TREND 4: Wenn Abwehrmechanismen für Cyber-Angriffe vorhanden sind, verlagert sich die Fokussierung auf die Erkennung von Bedrohungen und angemessene Reaktionen“
Angriffe der letzten Zeit zeigten, dass im Kampf gegen erfahrene und beharrliche Cyber-Kriminelle Verhinderungsmechanismen allein nicht ausreichten.
Heute dauere es im Schnitt 191 Tage, bis ein Unternehmen ein Datenleck erkennt. Je länger es aber dauert, eine Bedrohung zu erkennen und darauf zu reagieren, desto größer seien der finanzielle Schaden und der Reputationsverlust, den das Unternehmen durch den Vorfall erleidet.
Durch den enormen Anstieg erfasster sicherheitsrelevanter Daten, die Einschränkungen von aktuellen Technologien, die ineffiziente Nutzung von vorhandenen Bedrohungsinformationen (Threat Intelligence), die fehlende Überwachung von IoT-Geräten und den Fachkräftemangel an Cybersecurity-Experten entstünden in den Unternehmen teure Verweildauern.

Unternehmen laufen Gefahr, das Cyber-Wettrüsten zu verlieren

„TREND 5: Zunehmende Nutzung von Künstlicher Intelligenz für Cyber-Attacken und -Abwehr“
Auf ihrem Weg der Digitalen Transformation würden Unternehmen in steigendem Maße zum Ziel für komplexe und hartnäckige Cyber-Attacken – Malware werde immer smarter. Sie könne sich „intelligent” anpassen und traditionelle Erkennungs- und Beseitigungsroutinen umgehen.
Angesichts des globalen Mangels an Cybersecurity-Spezialisten seien die Unternehmen dabei, das Cyber-Wettrüsten zu verlieren. Die Menge an Sicherheitsdaten überschreite bei weitem die Kapazitäten für ihre effiziente Nutzung. Das führe zu einer steigenden Anzahl von KI-fähigen Cybersecurity-Anwendungsfällen: Beschleunigung der Erkennung und Bekämpfung von Sicherheitsvorfällen, bessere Identifizierung und Vermittlung von Risiken gegenüber den Fachabteilungen und die Bereitstellung einer einheitlichen Sicht auf den Sicherheitsstatus innerhalb der gesamten Organisation.

Problem der Einschätzung des Schutzniveaus eines Unternehmens

„TREND 6: Zertifizierungen werden wichtig, um das Vertrauen in Cybersecurity zu stärken“
Es herrsche weitgehend Einigkeit darüber, dass Cybersecurity und Datenschutz integrale Bestandteile einer digitalen und vernetzten Welt seien. Aber es bleibe die Frage zu klären, wie sich das Schutzniveau eines Unternehmens objektiv einschätzen lässt.
Die Bedenken, ob und inwieweit Cybersecurity tatsächlich umgesetzt wird, nähmen zu. Dies führe dazu, dass bestehende und neue Standards, die Cybersecurity-Strategien international vergleichbar machen, immer stärker an Relevanz gewönnen. Für CISOs und Produkthersteller seien Zertifizierungen wichtig, um nachzuweisen, dass sie getan haben, was sie versprochen haben. Die Zertifizierungsverfahren für die Bestätigung der IT-Sicherheit von Produkten konzentrierten sich heute jedoch vor allem auf kritische Infrastrukturen und Öffentliche Hand. Das werfe die Frage auf, wo die Hersteller von Verbraucherprodukten blieben.

Passwortschutz zumeist unpraktisch und unsicher

„TREND 7: Ablösung der Passwörter durch biometrische Authentifizierung“
Das digitale Leben werde durch ein komplexes Netz aus Online-Apps bestimmt, die digitale Identität durch Benutzernamen und Passwörter geschützt. Um den Schutz hinter diesen Apps zu steigern, werde empfohlen, schwer zu erratende und komplexe Kennwörter zu verwenden und diese regelmäßig zu ändern. In der Praxis geschehe das aber nur selten.
Mit der gewaltigen Zunahme der Rechenleistung und dem einfachen Zugang über die Cloud könnten Kennwörter in einer immer kürzeren Zeit geknackt werden. Was im Jahr 2000 noch fast vier Jahre gedauert hätte, sei heute in zwei Monaten erledigt.
Wenn man bedenkt, dass Kennwörter häufig gestohlen, gehackt und gehandelt werden, werde klar, dass sie noch nie offener verfügbar gewesen seien als heute. Aus diesem Grund begegneten wir heute bei Mobiltelefonen, Tablets und Laptops und auch bei physischen sowie Online-Services vermehrt der biometrischen Authentifizierung (Gesicht, Fingerabdruck, Iris und Sprache).

Reger Handel mit Daten im Darknet

„TREND 8: Ausgewählte Branchen im Visier der Angreifer: Gesundheitswesen, Finanzdienstleistungen und Energieversorgung“
Der Großteil der Cyber-Angriffe werde von Kriminellen aus finanziellen Motiven begangen. Der Wert von Daten im Darknet richte sich nach der Nachfrage, ihrer Verfügbarkeit, ihrer Vollständigkeit und den Möglichkeiten für deren Nutzung.
Daher seien persönliche Informationen aus dem Gesundheits- und Finanzsektor besonders gefragt. Krankenakten kosteten, je nachdem, wie vollständig sie sind, zwischen einem und 1.000 US-Dollar. Kreditkartendaten würden für fünf bis 30 US-Dollar verkauft, wenn die benötigten Informationen für ihre Nutzung mitgeliefert werden.
Andere Cyber-Angriffe hätten eher politische oder nationalstaatliche Motive. Im Jahr 2018 bestehe hier ein erhöhtes Risiko für Störungen von kritischen Services durch Angriffe auf den Energiesektor.

Weitere Informationen zum Thema:

TÜV Rheinland
Whitepaper „Cybersecurity Trends 2018“

[datensicherheit.de, 05.07.2016] Strom- und Gasnetzbetreiber haben nur noch bis Ende Januar 2018 Zeit, einen angemessenen IT-Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren – doch auch für andere Betreiber Kritischer Infrastrukturen (KRITIS) wie z.B. Energieversorger, Telekommunikationsprovider und Krankenhäuser wird die Zeit knapp. Diese sollten lieber heute als morgen mit den Vorbereitungen beginnen, empfiehlt Bruno Tenhagen, Experte für Informationssicherheits-Managementsysteme (ISMS) bei TÜV Rheinland.

Weg zum Ziel freigestellt

Durch das neue, Mitte 2015 in Kraft getretene IT-Sicherheitsgesetz sähen sich KRITIS-Betreiber verschärften Auflagen für die Netz- und Informationssicherheit gegenüber. Ziel sei es – trotz wachsender Bedrohung durch Cyber-Angriffe – größere Ausfälle in der Versorgungssicherheit zu vermeiden.
Für viele Branchen lasse der Gesetzgeber jedoch offen, wie KRITIS-Betreiber dieses IT-Sicherheitsniveau realisieren. „Wenn der aktuelle Stand der Technik gefragt ist, kann nichts weniger gemeint sein als die Einführung eines Informationssicherheits-Managementsystems“, sagt Tenhagen. Wahlweise könnten sich die Unternehmen für den „IT-Grundschutz“ des BSI oder ein ISMS gemäß ISO/IEC 27001 entscheiden; möglich sei auch die Einführung eines Branchenstandards. Allerdings müsse dieser in Form einer verabschiedeten Verordnung in Kraft getreten sein.

Eher Chance denn zusätzliche Belastung!

Tenhagen sieht fünf Gründe, warum KRITIS-Betreiber die Auflage nach der Einführung eines Informationssicherheitsmanagements, z.B. nach ISO 27001, als Chance und nicht als zusätzliche Belastung begreifen sollten:

1. Ein ISMS schafft Handlungsoptionen und eröffnet Spielräume
   Organisationen, die z.B. ein ISMS gemäß ISO 27001 implementieren, müssen ihre Risiken gezielt identifizieren und angemessen behandeln – damit können sie diese auch aktiv steuern. Tenhagen: „Risikoermittlung und -bewertung sind unerlässlich für Organisationen, die gezielte Entscheidungen für die Absicherung und Fortentwicklung ihres Kerngeschäfts treffen wollen.“
2. Ein ISMS steigert die Widerstandskraft gegenüber Cyber-Angriffen
   Das IT-Sicherheitsgesetz sieht vor, dass Unternehmen die Einhaltung eines hohen IT-Sicherheitsniveaus alle zwei Jahre nachweisen. Dieser Forderung kommen KRITIS-Betreiber automatisch nach, wenn sie beispielsweise eine Zertfizierung nach ISO 27001 vorlegen können. Externes Feedback des Prüfers vermittelt dem Unternehmen Einsichten, inwiefern das ISMS wirksam ist und wo es nachbessern muss. Durch diese steten Verbesserungen stärkt das Unternehmen seine Widerstandskraft gegenüber Cyber-Angriffen.
3. Ein ISMS kann Kosten senken
   Wer ein ISMS einführt, muss den Ist-Zustand ermitteln und risikoorientierte IT-Sicherheitsmaßnahmen planen. In der Regel führt dies zu einem strukturierteren und ressourcenschonenderen Management als zuvor und zu einer Steigerung der Informationssicherheit auf allen Ebenen.
4. Ein ISMS schafft Vertrauen und Differenzierung
   Angesichts der wachsenden Bedrohungslage ist die Öffentlichkeit sensibilisierter für die Einhaltung von Datenschutz und Datensicherheit. Mit einem zertifizierten ISMS signalisiere das Unternehmen ein hohes IT-Sicherheitsniveau nach nationalem oder internationalem Standard. Das schaffe Vergleichbarkeit am Markt und Vertrauen bei Kunden, betont Tenhagen.
5. Mit einem ISMS ist die Organisation auf aktuelle und kommende regulative Anforderungen (Compliance) vorbereitet
   Unternehmen, die Informationssicherheit aktiv nach anerkannten Standards steuern, sind nicht nur in Bezug auf das IT-Sicherheitsgesetz auf der sicheren Seite. Im Mai 2018 tritt die Datenschutzgrundverordnung in Kraft, die bei Verstößen gegen europäisches Datenschutzrecht noch drastischere Strafen vorsieht als das aktuelle Bundesdatenschutzgesetz.

Weitere Informationen zum Thema:

TÜV Rheinland
Informationssicherheit ISO 27001 / Ihr Wettbewerbsvorteil: Die ISO 27001 Zertifizierung