IT-Sicherheit im Krankenhaus - de-de-cybersicherheit-16-6-stage-02

IT-Sicherheit im Krankenhaus

Fragen Sie unsere Experten

Die IT-Sicherheit im Gesundheitswesen neu denken

Eine sichere Digitalisierung und Vernetzung eröffnen großartige Möglichkeiten, z. B. um die Patientenversorgung zu verbessern, um Prozesse zu vereinfachen und um Kosten zu senken. Allerdings zeigt die zunehmende Zahl an Schadprogrammen und Angriffen, dass erhebliche Cyber-Gefahren entstehen können. Dabei spielt der „Faktor Mensch“ eine entscheidende Rolle. Denn Cyber-Sicherheit ist nur so gut, wie der Mensch, der die Geräte bedient. Gleichzeitig ist es uns wichtig, dass die zugrunde liegende Technologie entsprechende Funktionen und Maßnahmen bietet, um den Anwendern eine sichere Nutzung möglichst einfach zu machen.

Als Spezialist für die vernetzte Akutversorgung übernehmen wir Verantwortung für sichere Systeme.

Darüber hinaus arbeiten wir stetig daran, unsere Sicherheitskonzepte und -prozesse weiter zu verbessern. Deswegen unterstützen wir den neuen IT-Standard ISO/IEEE 11073 SDC – den zukünftigen Standard für sichere vernetzte Medizintechnik. Cyber-Sicherheit hört allerdings nicht bei uns auf. Es ist eine gemeinsame Verantwortung von uns als Hersteller und Ihnen als Betreiber. Als Ihr Vernetzungsexperte stehen wir Ihnen dabei zur Seite, Medizintechnik sicher in Ihre Infrastruktur zu integrieren, Systeme sicher zu betreiben und Risiken zuverlässig zu bewerten und zu beherrschen.

de-de-cybersicherheit-br-3-2-thumb

Unser Ansatz für die Cyber-Sicherheit von Medizinprodukten im Krankenhaus

In dem Maße, wie sich die Medizin weiterentwickelt, entwickeln sich auch die Informationssysteme und Technologien, die Patientendaten enthalten und die Patientenversorgung unterstützen. In unserem Positionspapier zur Cyber-Sicherheit beschreiben wir unseren systematischen Ansatz zur Produktsicherheit und erläutern die in unseren Geräten implementierten Maßnahmen.

„Nur eines von fünf Krankenhäusern verfügt über ein ausreichendes Datensicherungssystem.“

Quelle: Krankenhaus Technik & Management, 3/2017, S. 26

IT-Sicherheit im Krankenhaus

Die Digitalisierung des Gesundheitswesens geht rasant voran. Schon heute werden medizinische Geräte und Systeme immer mehr zu Netzwerken verbunden. Sie sollen miteinander interagieren und neue klinische Applikationen ermöglichen. Dazu gehören Technologien zur Entscheidungsunterstützung, Fernsteuerungsfunktionen und automatisierte Prozesse.

Grundvoraussetzung dafür ist jedoch eine sichere Netzwerkumgebung. Cyber-Sicherheit im Krankenhaus ist notwendig, um die Funktionsfähigkeit und den Datenschutz zu gewährleisten. Krankenhäuser unternehmen massive Anstrengungen, um Ihre Netzwerke zu sichern. Wir als Hersteller möchten zur IT-Sicherheit im Krankenhaus beitragen, indem wir Produkte anbieten, die widerstandsfähig gegen Cyber-Angriffe sind und die sich sicher in das bestehende Krankenhausnetzwerk integrieren lassen.

Kommen Sie den Angreifern zuvor!

Schneller Informationsaustausch, automatisierte Abläufe, effiziente Prozesse: Ohne vernetzte Informationstechnologie ist der moderne Krankenhausbetrieb nicht denkbar. Die Kehrseite der Medaille: Auch Ihr Krankenhaus kann jederzeit ins Visier von Cyberkriminellen geraten.

Bereits mehrfach wurden Krankenhäuser Opfer von Cyberkriminalität. Am häufigsten sind Erpressungsversuche mit Ransomware, bei denen wichtige Krankenhausdaten verschlüsselt werden und für die Herausgabe des Entschlüsselungscodes ein hohes Lösegeld in Bitcoins verlangt wird. Simulierte Attacken haben zudem gezeigt, dass medizinische Geräte oft nur unzureichend gegen Manipulationen geschützt sind. Neben der Gefahr für Leib und Leben der Patienten drohen Betriebsausfälle, finanzielle Einbußen, der Verlust sensibler Daten und nicht zuletzt der Schwund des Patientenvertrauens.

Werden Sie aktiv, bevor es zu spät ist! Unsere Experten für Cyber-Sicherheit helfen Ihnen dabei, Ihr Krankenhaus wirksam gegen Cyberangriffe zu schützen. Schutzmaßnahmen sind für Krankenhäuser als Betreiber Kritischer Infrastrukturen im Bereich des Gesundheitswesens auch rechtlich geboten: Gemäß § 8a (in Verbindung mit § 2 Abs. 10 Nr. 1) des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz Ihrer Informationstechnik zu treffen. Bei Verstößen gegen Datenschutzvorschriften können künftig (mit Inkrafttreten  der EU-Datenschutzgrundverordnung im Mai 2018) deutlich höhere Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Vorjahresumsatzes eines Unternehmens drohen (Art. 83 EU-DSGVO).

de-de-ecri-report-3-2

Themen im Zusammenhang mit der Cyber-Sicherheit dominieren die ECRI-Liste der technologischen Gefahren im Jahr 2024

Da Cyberangriffe auf Einrichtungen des Gesundheitswesens weiter zunehmen, werden Maßnahmen zur Sicherung des Krankenhausnetzes immer wichtiger, um die Patientenversorgung zu gewährleisten und finanziellen Schaden abzuwenden. Der Bericht des US-amerikanischen ECRI-Instituts über die 10 größten Bedrohungen im Bereich der Gesundheitstechnologie im Jahr 2024 befasst sich mit Sicherheitsrisiken für Patienten und Patientendaten, die sich aus der raschen Einführung der Telemedizin, Schwachstellen in Softwarekomponenten von Drittanbietern und dem Fernbetrieb medizinischer Geräte ergeben.

IT Sicherheit im Krankenhaus - Verschlüsselung von Patientendaten

Aktuelle Bedrohungen

Wir stellen Ihnen Sicherheitshinweise zu aktuellen Bedrohungen auf unserer Coordinated Disclosure Statement Seite zur Verfügung.

„Wir helfen Ihnen dabei, Gefahren zu erkennen – und das auf sicherem Wege. So haben Sie die Möglichkeit, entsprechend darauf zu reagieren.“

Stefan Dräger

Unser Beitrag zur IT-Sicherheit im Krankenhaus

Cyber-Sicherheit erfordert umfassende administrative, logische und physische Maßnahmen, um vernetzte medizinische Produkte zu schützen und Risiken für Patienten sowie finanzielle Schäden zu vermeiden. Es handelt sich dabei um kein kurzfristiges oder einmalig zu erledigendes Projekt, sondern um einen kontinuierlichen Prozess zur Minimierung der Risiken für Medizingeräte und Patienten. Erfahren Sie mehr dazu, wie wir die Sicherheit von Produkten und Netzwerken gewährleisten.

Security-by-Design

Zum Schutz unserer medizinischen Produkte verfolgen wir einen >Security-by-Design<-Ansatz. Unser Ziel ist es, die Angriffsfläche unserer Produkte bestmöglich zu minimieren und gleichzeitig eine einfache Anwendung für das klinische Personal zu gewährleisten. Konkret treffen wir unter anderem diese Maßnahmen:

  • Implementierung von Sicherheitsstandards, die gegenwärtige gesetzliche Anforderungen und bewährte Verfahren der Branche erfüllen oder übertreffen; wir orientieren uns bspw. an der FDA Guidance CS 2014/18 (Content of Premarket Submissions for Management of Cybersecurity in Medical Devices)* und der FDA Postmarket Management of Cybersecurity in Medical Devices* 
  • Integrierte Sicherheit: gehärtete Systeme, Ende-zu-Ende-Verschlüsselung mit regelmäßigem Ablauf der Zertifikate, Secure Boot, Whitelisting, Data encryption etc.** 
  • Dezidierte Sicherheitseigenschaften von datenanalytischen und dienstbezogenen Anwendungen in der Dräger Services Cloud; auf Anfrage stellen wir unseren Kunden hierzu ein umfassendes Cyber-Sicherheits-Whitepaper zur Verfügung 
  • Umfassende Bedrohungs- und Sicherheitsanalysen; erfahren Sie mehr darüber in unserem Whitepaper 
  • Interne und externe Pentests (White Hats); erfahren Sie mehr dazu am Beispiel unserer Anästhesiegeräte der Atlan Familie 
  • Kontinuierliche Schulungsmaßnahmen zu Cyber-Sicherheit und sicheren Entwicklungsumgebungen für alle Mitarbeiter, die am Entwicklungslebenszyklus beteiligt sind

Datenschutz und Informationssicherheit

Dräger steht für die Integrität und Zuverlässigkeit von Produkten, Services und Dienstleistungen sowie der verwendeten Informationen und Daten. Dementsprechend orientieren wir uns an den ›Privacy-by-Design‹-Prinzipien. Wir erheben Patientendaten bspw. nur anonymisiert und wenn es unbedingt notwendig ist. Darüber hinaus verarbeiten wir personenbezogene Daten in Übereinstimmung mit dem geltenden Recht und schützen Daten und Informationen unter Berücksichtigung ihrer Kritikalität durch:

  • Implementierung eines konzernweit einheitlichen Niveaus von Datenschutz- und Informationssicherheitsprozessen 
  • Klare Verantwortlichkeiten und Informationssicherheitsorganisation auf Basis von Prozessen 
  • Identifikation und Dokumentation des angemessenen Schutzniveaus von Informationen 
  • Verzeichnis aller Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, gemäß Artikel 30 DSGVO 
  • Spezifisches Kommunikations- und Schulungskonzept für alle Mitarbeiter
  • Regelmäßige Audits der Organisation hinsichtlich notwendiger Datenschutz-Compliance und Informationssicherheitsmaßnahmen in Bezug auf das dokumentierte Schutzniveau 
  • Etablierung von Monitoring- und Reportingstandards zur Kontrolle des Datenschutz- und Informationssicherheitsniveaus 
  • Überwachung der Umsetzung identifizierter und genehmigter Datenschutz- und Informationssicherheitsmechanismen und -tools

Unsere Produkte sicher vernetzen

Transparenz als Grundlage, um Geräte sicher in Ihr Netzwerk einzubinden: Wir stellen Ihnen als Kunden die Informationen zur Verfügung, die Sie benötigen, um Ihre Assets und die bekannten Cyber-Risiken, die unsere Medizingeräte betreffen, zu identifizieren, und um entsprechende Maßnahmen zu treffen. Diese Informationen umfassen:

  • Software-Stückliste (Software Bill of Material, SBOM), die im Produkt verwendeten Softwarekomponenten von Drittanbietern auflistet 
  • Offenlegungserklärung (MDS2), um Sie bei der Bewertung von Sicherheitsrisiken im Zusammenhang mit der Verwaltung Ihrer Medizingeräte zu unterstützen 
  • Gebrauchsanweisungen, die unter anderem Aspekte der Cyber-Sicherheit bei der Integration des Produktes in das Kundennetzwerk beschreiben 
  • Implementierung sicherer Authentifizierungs- und Autorisierungskonzepte (z. B. ›Deny-all-by-default‹); mehr dazu in unserem Whitepaper

Risikomanagement

Risikomanagement IEC 80001-1 in Krankenhäusern

Bei allen Fragen zur Cyber-Sicherheit in Ihrem Krankenhaus stehen wir Ihnen als kompetenter und verantwortungsvoller Partner zur Seite. Mit unserem Risikomanagement helfen wir Ihnen, Ihrer Verantwortung ebenso wie den gesetzlichen Anforderungen zuverlässig gerecht zu werden.

  • Persönliche Ansprechpartner zum Thema Cyber-Sicherheit im Krankenhaus
  • Strukturiertes Risikomanagement in fünf Schritten
  • Unterstützung des reibungslosen, EDV-gestützten Krankenhausalltags
  • Patienten- und Datensicherheit mit vernetzten Medizinprodukten
  • Erfüllung der gesetzlichen Anforderungen gemäß §137 (Richtlinien und Beschlüsse zur Qualitätssicherung), SGB 5
  • Unterstützung bei der Umsetzung von B3S in Ihrem Krankenhaus

Mehr erfahren

Meldestelle

Meldestelle für Produktsicherheit

Hundertprozentige Sicherheit beim Einsatz von IT im Gesundheitswesen gibt es nicht. Aber durch Verantwortungsbewusstsein und Dialog werden die Risiken entscheidend minimiert. Deshalb haben wir eine zentrale Meldestelle für Produktsicherheit eingerichtet, auf der uns Forscher und Anwender von Medizingeräten ihre Beobachtungen melden können.

  • Unterstützung der koordinierten und verantwortungsvollen Offenlegung von Sicherheitslücken
  • Umgehende Prüfung eingehender Meldungen durch unsere Sicherheitsexperten
  • Hinweise und Warnmeldungen über Bedrohungslagen
  • Schnellstmögliche Behebung existierender oder potenzieller Schwachstellen

Mehr erfahren

de-de-sichere-vernetzte-medizintechnik-3-2-01

Gemeinsam für eine sichere vernetzte Medizintechnik

Effektiven Schutz vor Cyber-Kriminellen erreichen wir, indem wir kontinuierlich und gemeinsam daran arbeiten. Unser Ziel ist es dabei, eine ausgewogene Balance zwischen einem möglichst hohen Schutzniveau und einer einfachen Anwendung in der klinischen Praxis zu erreichen. Erfahren Sie, welche Maßnahmen und Lösungen wir zur Sicherheit unserer Produkte implementieren.

Kontakt bei Fragen zur Cybersicherheit im Krankenhaus | IT-Sicherheit im Gesundheitswesen

Haben Sie Fragen zum Thema Cyber-Sicherheit?

Unsere Sicherheitsexperten beraten Sie gern. Bitte füllen Sie das Kontaktformular aus. Wir melden bei uns bei Ihnen.

Fragen Sie unsere Experten

Nützliche Informationen

de-de-cybersicherheit-gemeinsame-verantwortung-3-2

Unser Positionspapier zur Cyber-Sicherheit im Krankenhaus

de-de-cybersicherheit-gemeinsame-verantwortung-02-3-2

Implementierte Maßnahmen und Lösungen zur Sicherheit unserer Produkte

de-de-cybersicherheit-systematische-3-2

Systematische Bedrohungsanalyse bei Dräger

de-de-cybersicherheit-authentifizierung-3-2

Authorisierung und Authentifizierung bei Dräger-Produkten

de-de-cybersicherheit-schuetzen-3-2

So hilft Dräger, Ihr Krankenhaus zu schützen

de-de-cybersicherheit-unser-beitrag-3-2

Engagement für die Sicherheit von Informationen im Gesundheitswesen

de-de-cybersicherheit-sichere-vernetzung-3-2

Experteninterview: Wie Sie eine sichere Konnektivität gewährleisten können

Klinische Netzwerk- und Datenmanagement-Systeme

Wir bieten Ihnen umfassende Lösungen zur Erhöhung der Cyber-Sicherheit Ihres Krankenhauses: von Patientendaten-Managementsystemen (PDMS) über sichere Datenschnittstellen bis hin zu Beratung und Service. Vertrauen Sie auf unsere über 20-jährige Erfahrung in der Entwicklung und Anwendung vernetzter Medizintechnik.

Die Verwaltung klinischer Daten im Krankenhaus

  • Stationäre, drahtlose und mobile Monitoringlösungen
  • Kostengünstige geteilte Netzwerkinfrastruktur
  • Lösungen für die lückenlose Übertragung von Monitoringdaten

Infinity® OneNet

Infinity® OneNet

Infinity® Gateway™ Suite

Infinity® Gateway Suite

de-de-network-health-check-3-2

Infinity® Network Health Check

Medizinische Gerätekonnektivität – basierend auf IEEE 11073 SDC

Medizinische Gerätekonnektivität – basierend auf IEEE 11073 SDC

de_de_service-mon-it-3-2

Professional Monitoring & IT Services

Kontakt mit Dräger aufnehmen

Kontakt Medizintechnik

Dräger Austria GmbH

Medizintechnik
Perfektastraße 67
Wien 1230

+43 1 609 04 - 0

🖷 +43 1 699 45 97