| Inhaltsverzeichnis | 5 |
| Abkürzungsverzeichnis | 12 |
| Abbildungsverzeichnis | 17 |
| 1: Einleitung | 18 |
| 1.1 Weshalb sollten gerade Sie als Arzt, Apotheker, Laborleiter oder IT-Verantwortlicher dieses Buch lesen? | 18 |
| 1.2 Bei welchen Entscheidungen hilft Ihnen dieses Buch? | 20 |
| 1.3 Hinweise für den Leser | 21 |
| 1.4 Deshalb sollten Sie sich als Arzt mit IT-Sicherheit und Datenschutz auskennen | 22 |
| 1.5 Konkrete Beispiele von Hackerangriffen im Gesundheitswesen | 23 |
| 1.6 IT-Sicherheit, Compliance und Datenschutz | 24 |
| 1.7 Haftungsausschluss/Disclaimer | 25 |
| 1.8 Aktualität des Buches | 25 |
| Literatur | 26 |
| 2: IT-Sicherheit – Was ist zu tun? | 27 |
| 2.1 Die zehn wichtigsten IT-Sicherheitsmaßnahmen | 27 |
| 2.1.1 Physische Absicherung der Informatikserver und -räume | 28 |
| 2.1.2 Regelmäßige Datensicherung erstellen | 28 |
| 2.1.3 Passwörter: sichere Wahl und Umgang | 30 |
| 2.1.4 Computersysteme auf aktuellem Stand halten | 32 |
| 2.1.5 Verantwortlichkeiten präzise definieren | 33 |
| 2.1.6 IT-Konzepte und grundlegende IT-Prozesse definieren/Notfallkonzepte | 34 |
| 2.1.7 Nutzerkreise und Netzwerkbereiche präzise definieren | 34 |
| 2.1.8 Schulungen und Awareness-Programme durchführen | 35 |
| 2.1.9 Schwachstellen von Experten prüfen lassen | 36 |
| 2.1.10 IT-Sicherheitswerkzeuge richtig einsetzen | 37 |
| 2.2 Die zehn typischen Fehler in einer medizinischen IT – vom Schwesternzimmer bis zum Sekretariat | 38 |
| 2.2.1 Unprofessioneller Umgang mit Passwörtern | 38 |
| 2.2.1.1 Unsichere Passwörter | 38 |
| 2.2.1.2 Passwörter werden an Bildschirm oder Pinnwand angeheftet | 39 |
| 2.2.1.3 Gleiche oder ähnliche Passwörter werden für verschiedene Zwecke verwendet | 39 |
| 2.2.2 Datenwiederherstellung wird nicht geprüft oder getestet bzw. geübt | 39 |
| 2.2.3 Unachtsames Klicken auf an E-Mail anhängende Links | 42 |
| 2.2.4 Vorhandene Sicherheitsvorkehrungen werden nicht genutzt oder ignoriert | 43 |
| 2.2.5 Der Chef oder die Leitung der Verwaltung interessiert sich nicht für IT-Sicherheit | 44 |
| 2.2.6 Kein Anlagenmanagement | 45 |
| 2.2.7 Fehlende Schulung und kein Awareness-Programm | 46 |
| 2.2.8 Veraltete Betriebssysteme und Programme werden verwendet | 47 |
| 2.2.9 Benutzer kann fremde bzw. eigene Software installieren | 48 |
| 2.2.10 Man fühlt sich zu sicher | 49 |
| Literatur | 49 |
| 3: IT-Sicherheitstechniken und Schutzziele für die medizinische IT | 51 |
| 3.1 Allgemeine Informationen und Definitionen | 51 |
| 3.2 Möglichkeiten zur Erhöhung der IT-Sicherheit | 55 |
| 3.3 IT-Sicherheit für den Computerarbeitsplatz basierend auf Standardtechnik | 57 |
| 3.3.1 Benutzerauthentisierung | 59 |
| 3.3.2 Rollentrennung | 59 |
| 3.3.3 Aktivieren von Autoupdate-Mechanismen | 59 |
| 3.3.4 Regelmäßige Datensicherung | 60 |
| 3.3.5 Bildschirmsperre | 60 |
| 3.3.6 Einsatz von Virenschutzprogrammen | 60 |
| 3.3.7 Protokollierung | 61 |
| 3.3.8 Nutzung von TLS | 61 |
| 3.3.9 Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und -Kameras | 62 |
| 3.3.10 Abmelden nach Aufgabenerfüllung | 62 |
| 3.4 CIA-Triade | 62 |
| 3.4.1 Confidentiality: Vertraulichkeit (Datenschutz) | 62 |
| 3.4.1.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten | 64 |
| 3.4.2 Integrity: Integrität (Datensicherheit) | 65 |
| 3.4.2.1 Integritätsverlust schützenswerter Informationen | 65 |
| 3.4.3 Availability: Verfügbarkeit (Datenzugriff) | 66 |
| 3.4.4 Zusätzliche Schutzziele und Herausforderungen | 67 |
| 3.4.4.1 Authenticity: Authentizität | 67 |
| 3.4.4.2 Non repudiation: Nichtabstreitbarkeit | 68 |
| 3.4.4.3 IT-Sicherheit, Compliance und EU-DSGVO-konform | 68 |
| 3.5 Mit einfachen Schritten zu härteren Systemen („Hardening“) | 69 |
| 3.5.1 Schutzmaßnahmen für Windows-PCs | 69 |
| 3.5.2 Schutzmaßnahmen für Apple OS X | 73 |
| 3.5.3 Schutzmaßnahmen für Mobile Devices | 75 |
| Literatur | 77 |
| 4: Einfallspforten für IT-Angreifer in der Medizin | 79 |
| 4.1 Einführung in die „IT-Risiko-Anamnese“ | 79 |
| 4.2 „Feindbild“ und Bedrohungen | 79 |
| 4.3 Hacker-Angriffe | 80 |
| 4.4 Die Räumlichkeiten und ihre Risikoprofile | 82 |
| 4.4.1 Wartezimmer | 82 |
| 4.4.2 Behandlungszimmer | 82 |
| 4.4.3 Patientenzimmer (im Krankenhaus) | 82 |
| 4.4.4 Empfang, Sekretariat und Verwaltung | 83 |
| 4.4.5 Häuslicher Arbeitsplatz/Home Office/Mobiler Arbeitsplatz | 83 |
| 4.4.6 Gefährdung durch Reinigungs- oder Fremdpersonal | 86 |
| 4.4.7 Parkplätze, Lagerräume etc. | 86 |
| 4.4.8 Räume der IT | 86 |
| 4.5 Standard-IT-Geräte im medizinischen Umfeld | 86 |
| 4.5.1 Standard-PC | 86 |
| 4.5.2 Tablet und Smartphone | 87 |
| 4.5.3 USB-Stick | 88 |
| 4.5.4 USB-Geräte | 89 |
| 4.5.4.1 USB-Killer (Stick) | 89 |
| 4.5.4.2 Tastatur-Logger | 90 |
| 4.5.4.3 USB-Stick als USB-Tastatur | 90 |
| 4.5.4.4 USB-Netzwerkkarte | 90 |
| 4.5.4.5 Malware auf dem USB-Stick | 91 |
| 4.5.5 Verkabelter Angriff („Sniffer“) | 91 |
| 4.5.6 Radio- oder Funkwellen-Angriff | 91 |
| 4.5.7 Manipulierter WLAN-Router | 92 |
| 4.5.8 Intelligente Virtuelle Assistenzsysteme | 93 |
| 4.6 IT-Zugänge | 94 |
| 4.6.1 Kabelgebundene Zugänge | 94 |
| 4.6.2 Drahtlose Zugänge | 95 |
| 4.6.3 Kommunikationsserver | 96 |
| 4.6.4 Remote-Zugang für Service-Zwecke | 96 |
| 4.7 Medizingeräte | 97 |
| 4.8 Systematisches Vorgehen beim Schützen einer IT im Gesundheitswesen | 98 |
| 4.8.1 IT-Grundschutz des BSI | 98 |
| 4.8.2 Besondere Absicherungsmaßnahmen im Gesundheitswesen | 101 |
| 4.8.3 Anforderungen an Hard- und Software | 101 |
| 4.8.4 Wichtige IT-Sicherheitsmaßnahmen | 103 |
| 4.8.5 Bring Your Own Device (BYOD) | 114 |
| 4.8.6 Security Monitoring in größeren IT-Installationen (SIEM, SOC) | 118 |
| Literatur | 122 |
| 5: Medizintechnik und medizinische Geräte als potenzielle Schwachstelle | 124 |
| 5.1 Klassifizierung medizinischer Geräte (mit Software oder IT) | 124 |
| 5.1.1 Einteilung in Risikoklassen | 124 |
| 5.1.2 Klassische Medizinprodukte – Bildgebende Systeme | 126 |
| 5.1.3 Lebenserhaltende medizinische Systeme und aktive Systeme | 127 |
| 5.2 Einsatzort | 128 |
| 5.2.1 Stationäre medizinische Geräte | 128 |
| 5.2.2 Mobile medizinische Geräte | 128 |
| 5.3 Vernetzung medizinischer Geräte | 129 |
| 5.3.1 Stand-alone-Betrieb | 130 |
| 5.3.2 Lokal vernetzter Betrieb | 130 |
| 5.3.3 Vernetzter Betrieb mit Zugang zum Internet | 130 |
| 5.4 Verwundbarkeit medizinischer Geräte und daraus resultierende Risiken | 131 |
| 5.4.1 Praxisnahe Beispiel-Szenarien der IT-Sicherheit in Medizingeräten | 131 |
| 5.4.1.1 Infusionspumpen in Krankenhäuser sind manipulierbar | 131 |
| 5.4.1.2 Automatisierter externer Defibrillator (AED) | 132 |
| 5.4.2 Hacken von Krankenhaus-Ausrüstungen | 133 |
| 5.4.3 Geeignete risikokompensierende Gegenmaßnahmen | 136 |
| 5.5 Medizingeräte – Worauf Sie achten sollten | 137 |
| 5.5.1 Lebenszyklus medizinischer Geräte | 137 |
| 5.5.2 Evaluierung | 137 |
| 5.5.3 Einkauf | 138 |
| 5.5.4 Inbetriebnahme und Abnahme | 138 |
| 5.5.5 Wartung und Updates | 139 |
| 5.5.6 Periodische Überprüfung durch den TÜV | 140 |
| 5.5.7 Lebensende und sichere Entsorgung | 140 |
| 5.5.8 Awareness bei den Nutzern und eine Checkliste für jeden Tag | 140 |
| 5.6 Awareness „Medizingeräte“ | 141 |
| 5.6.1 Awareness-Programm für interne Mitarbeiter | 141 |
| 5.6.2 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten | 142 |
| Literatur | 142 |
| 6: Arztpraxen – kleiner, aber umso gefährdeter | 144 |
| 6.1 IT-Sicherheit in der eigenen Praxis | 144 |
| 6.1.1 Was darf niemals, da (grob) fahrlässig, passieren? | 145 |
| 6.2 E-Health-Gesetz | 146 |
| 6.3 Cyber-Versicherung für Arztpraxen | 149 |
| 6.4 Schützenswerte Bereiche einer Arztpraxis | 149 |
| 6.4.1 Empfang | 149 |
| 6.4.2 Wartezimmer | 150 |
| 6.4.3 Labor | 151 |
| 6.4.4 Behandlungszimmer mit PC | 151 |
| 6.4.5 Server-Raum | 151 |
| 6.4.6 Lagerräume für fachgerechte Deponierung, Archivierung und Entsorgung | 152 |
| 6.5 Schützenswerte Daten einer Arztpraxis | 152 |
| 6.5.1 Personenbezogene Datenobjekte | 152 |
| 6.5.2 Unberechtigter Datenzugriff durch Dritte | 153 |
| 6.6 Maßnahmen zur Gewährleistung der IT-Sicherheit in der Arztpraxis | 154 |
| 6.6.1 Zutrittskontrolle (P, O) | 154 |
| 6.6.2 Zugangskontrolle (T, O) | 155 |
| 6.6.3 Zugriffskontrolle (T, O) | 155 |
| 6.6.4 Weitergabekontrolle (T) | 155 |
| 6.6.5 Eingabekontrolle (T) | 156 |
| 6.6.6 Auftragskontrolle (O) | 156 |
| 6.6.7 Verfügbarkeitskontrolle (T, O) | 156 |
| 6.6.8 Trennungskontrolle (T, O) | 156 |
| 6.7 Checkliste „Arztpraxis“ | 157 |
| 6.7.1 Datenschutz in der Arztpraxis | 157 |
| 6.7.2 Neueinrichtung einer Praxis | 158 |
| 6.7.3 Praxisübernahme | 160 |
| 6.7.4 Verträge mit IT-Lieferanten | 161 |
| 6.7.5 Praxisverkauf oder Praxisaufgabe | 162 |
| 6.7.5.1 Praxisverkauf | 162 |
| 6.7.5.2 Praxisaufgabe/Praxisauflösung | 162 |
| 6.8 Awareness „Arztpraxis“ | 162 |
| 6.8.1 Awareness im Allgemeinen | 162 |
| 6.8.2 Awareness-Programm für Mitarbeiter | 163 |
| 6.8.3 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten | 164 |
| 6.8.4 Informationssicherheitsrichtlinie | 165 |
| Literatur | 166 |
| 7: Wichtige Gesetze und Standards der IT-Sicherheit im Gesundheitswesen | 167 |
| 7.1 Gesetze | 167 |
| 7.1.1 Straftatbestände | 167 |
| 7.1.2 Gesetzeslage | 170 |
| 7.1.3 Europäische Vorgaben in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR) | 171 |
| 7.1.3.1 Inkrafttreten und Begriffe | 171 |
| 7.1.3.2 Datenpannen | 172 |
| 7.1.3.3 Acht Regeln der Datensicherung | 174 |
| 7.1.3.4 Besonderheiten beim Internetauftritt | 176 |
| 7.1.3.5 Datenschutzbeauftragter | 177 |
| 7.1.3.6 Datensicherung | 177 |
| 7.1.3.7 Auswirkungen auf die Schweiz | 178 |
| 7.1.4 HIPAA-Gesetz (USA) | 178 |
| 7.2 Die verschiedenen Standards | 180 |
| 7.2.1 Standard ISO/IEC 27000:2016 | 180 |
| 7.2.2 Standard ISO/IEC 27001:2013 | 180 |
| 7.2.3 Standard ISO/IEC 27002:2013 | 181 |
| 7.2.4 Standard ISO/IEC 27005:2018 | 181 |
| 7.2.5 Standard ISO/IEC 27789:2013 | 181 |
| 7.2.6 Standard ISO/IEC 27799:2016 | 182 |
| 7.2.7 Standard ISO 22600:2015-02 | 182 |
| 7.2.8 Standard ISO 22857:2013 | 183 |
| 7.2.9 Standard IEC EN 80001-1:2010 | 183 |
| 7.2.10 IT-Grundschutz | 184 |
| 7.2.11 NIST-Standards und Leitfaden | 185 |
| Literatur | 185 |
| 8: Krankenhäuser und Kliniken – groß, anonym und damit ideal für Angreifer | 188 |
| 8.1 Herausforderung für Krankenhäuser | 188 |
| 8.2 Schutzbedarfsfeststellung gemäß IT-Grundschutz | 189 |
| 8.3 Schützenswerte Bereiche eines Krankenhauses | 193 |
| 8.3.1 Vergleich mit Arztpraxen | 193 |
| 8.3.2 Operationsräume | 193 |
| 8.3.3 Chirurgie-Roboter | 194 |
| 8.3.4 Technikräume | 197 |
| 8.3.5 Patientenzimmer | 198 |
| 8.4 Schützenswerte Daten eines Krankenhauses | 198 |
| 8.4.1 Schutzpflichtige Daten | 198 |
| 8.4.2 Unberechtigter Datenzugriff durch Dritte | 199 |
| 8.5 Gewährleistung der IT-Sicherheit in einem Krankenhaus | 199 |
| 8.6 Awareness „Krankenhaus“ | 199 |
| 8.6.1 Überblick | 199 |
| 8.6.2 Organisation der Awareness-Maßnahmen | 200 |
| 8.6.3 Stufengerechte Sensibilisierungsinhalte | 202 |
| 8.6.4 Awareness-Programm für alle internen Mitarbeiter | 204 |
| 8.6.5 Awareness-Programm für externe Mitarbeiter, Firmen und Lieferanten | 206 |
| Literatur | 207 |
| 9: Musterverträge für die DSGVO | 209 |
| 9.1 Allgemeine und Copyright-Hinweise | 209 |
| 9.2 Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO | 210 |
| 9.2.1 Gegenstand und Dauer des Auftrags | 211 |
| 9.2.2 Konkretisierung des Auftragsinhalts | 211 |
| 9.2.3 Technisch-organisatorische Maßnahmen | 213 |
| 9.2.4 Berichtigung, Einschränkung und Löschung von Daten | 213 |
| 9.2.5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers | 213 |
| 9.2.6 Unterauftragsverhältnisse | 215 |
| 9.2.7 Kontrollrechte des Auftraggebers | 216 |
| 9.2.8 Mitteilung bei Verstößen des Auftragnehmers | 217 |
| 9.2.9 Weisungsbefugnis des Auftraggebers | 217 |
| 9.2.10 Löschung und Rückgabe von personenbezogenen Daten | 218 |
| 9.2.11 Fernzugriff oder -wartung | 218 |
| 9.2.12 Gerichtsstand | 220 |
| 9.3 Mustervertrag Anlage – Technisch-organisatorische Maßnahmen | 220 |
| 9.3.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) | 220 |
| 9.3.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO) | 221 |
| 9.3.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) | 221 |
| 9.3.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO | Art. 25 Abs. 1 DSGVO) | 221 |
| 9.4 Beispiel für eine Vertraulichkeitserklärung zur Verpflichtung des eingesetzten Personals | 221 |
| 9.4.1 Verpflichtung auf das Datengeheimnis nach Art. 28 Abs. 3 S. 2 lit. b DSGVO | 222 |
| 9.4.2 Verpflichtung auf das Fernmeldegeheimnis | 222 |
| 9.4.3 Verpflichtung auf Wahrung von Geschäftsgeheimnissen | 222 |
| Literatur | 223 |
| 10: Nützliches für den täglichen Gebrauch | 224 |
| 10.1 Nützliche Internet-Links | 224 |
| 10.2 Bestimmungen, Checklisten, Praxistipps | 225 |
| 10.2.1 Checkliste „IT-Sicherheit in der Praxis“ | 225 |
| 10.2.2 Geräteverlust oder Diebstahl – Was ist zu tun? | 229 |
| 10.2.3 IT-Sicherheitsstrategie und -management | 230 |
| 10.2.4 Gesetzliche Aufbewahrungspflichten | 231 |
| 10.2.5 Checkliste „Medizingeräte“ | 231 |
| 10.2.6 Spurensuche: Warum sind die IT-Sicherheitsmaßnahmen nicht umgesetzt? | 232 |
| 10.2.7 Methoden und Maßnahmen | 233 |
| 10.2.8 Notfallkonzept | 234 |
| 10.2.9 Anzeichen für Phishing-Attacken | 235 |
| 10.2.10 Anzeichen dafür, dass Ihr PC gehackt worden ist | 235 |
| 10.2.11 Teilnahme an Konferenzen im Ausland | 236 |
| 10.2.12 Ergebniserwartung an einen Sicherheitscheck durch Spezialisten | 237 |
| 10.2.13 Websites | 238 |
| 10.2.14 Checkliste „Härtungsmaßnahmen“ | 239 |
| 10.2.14.1 Windows | 239 |
| 10.2.14.2 Apple OS X | 240 |
| 10.2.14.3 Tablets und Smartphones | 241 |
| 10.2.15 Arbeitsvertrag – Datenschutz und IT-Sicherheit | 241 |
| 10.2.16 Neubau einer Arztpraxis | 242 |
| 10.3 Risiko-Kategorisierung | 243 |
| Literatur | 243 |
| Glossar: IT-Fachausdrücke ganz einfach erklärt | 247 |
| Glossar | 249 |
| Literatur | 270 |
| Stichwortverzeichnis | 271 |
