1 / 10

Hintergrund

Aktuelle Probleme der IT-Sicherheit in Universitätskliniken Klaus Pommerening GMDS-Jahrestagung 2009 Essen, 8. September 2009. Hintergrund. Empfehlungen der GMDS-AG DGI nützlich, aber oft veraltet. Probleme und Widerstände in allen Kliniken i. w. identisch.

kenna
Download Presentation

Hintergrund

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Aktuelle Probleme der IT-Sicherheitin UniversitätsklinikenKlaus PommereningGMDS-Jahrestagung 2009Essen, 8. September 2009

  2. Hintergrund • Empfehlungen der GMDS-AG DGI nützlich, aber oft veraltet. • Probleme und Widerstände in allen Kliniken i. w. identisch. • Verschiedene Kliniken werden oft gegeneinander ausgespielt („In der Uniklinik XYZ dürfen die das aber!“) – • sowohl von Anwendern als auch von Firmen. • Vorstände mit IT-Entscheidungen überfordert. • IT-Abteilungen haben unterschiedlichen Rückhalt im Vorstand.

  3. Aktuelle Herausforderungen • Technische Regelung des Zugriffs auf Patientenakten • Separierung von Teilnetzen • Wireless LAN: integrieren oder abschotten? • Einbindung von Medizingeräten ins Kliniksnetz • Internetzugang von innen • Zugriff auf Mailbox von außen • insbesondere vom Handy/ Smart-Phone • Zugriffe von außen für Mitarbeiter • Fernwartungszugänge • Sicherung von mobilen Endgeräten • Sicherung von mobilen Datenträgern

  4. Methode:Systematischer Erfahrungsaustausch • Beteiligte Unikliniken (bisher): Mainz, Frankfurt, Marburg, Gießen, Würzburg – • IT-Abteilungen, Netzgruppen, Datenschutzbeauftragte. • Bestandsaufnahme: Sammlung von • Problemen, • technischen Lösungsansätzen und Lösungen, • organisatorischen Regelungen, • Musterdokumenten. • Bewertung von Lösungsansätzen und Lösungen. • Identifikation von Restrisiken und ungelösten Problemen.

  5. Beobachtungen • Je enger Kooperation zwischen IT und Vorstand, desto effektiver die Sicherheitsmaßnahmen(und desto klarer – aber auch strikter – die Regelungen). • Bei IT-ignorantem Vorstand hat die IT-Abteilung zu wenig Möglichkeiten, notwendige Restriktionen durchzusetzen. • Wirksame Durchsetzung eines Datenschutz- und IT-Sicherheitskonzepts nur möglich, wo Dienstanweisungen/ Dienstvereinbarungen existieren • mit definierten Sanktionen • und definiertem Konflikt-Procedere. • Anwenderschulung kommt mangels Ressourcen überall zu kurz.

  6. Grundsätzliche Erkenntnisse • Auftrennung des Kliniksnetzes zwischen Krankenversorgung und FuL unumgänglich. • Technische Lösungen müssen durch Verfahrensvorschriften und Dienstanweisungen ergänzt werden. • Manche Probleme sind auf der technischen Ebene überhaupt nicht lösbar. • Virtualisierungstechniken im Kommen: • Netz-, Server-, Desktop-Virtualisierung. • Bisherige Remote-Desktop-Techniken oft nützlich, aber limitiert.

  7. Konkrete Lösungen (exemplarisch) • Zugriffe auf Patientendaten in unterschiedlichen KIS unterschiedlich gut regelbar. • In SAP/ ish-med „Behandlungsauftrag“ nutzen. • Versorgungsnetz abgekapselt, nur über virtuelle (oder remote) Desktops zugänglich. • Keine spezielle Behandlung von Vorklinik und theoretischen Instituten notwendig. • Ebenso für „Reise-Notebooks“ (im FuL-Netz). • Rechner im Versorgungsnetz möglich, aber unter Vollkontrolle durch IT. • Remote Desktops noch mit technischen Restriktionen, z. B. für Befundungsqualität von Röntgenbildern. • Weitere Abgrenzung spezieller Teilnetze durch VLAN-Technik: Patienten, Studenten, WLAN-Access-Points, Medizin-Geräte, klinische Studien, … • Illegale Brücken und Tunnel kaum zu verhindern.

  8. Konkrete Lösungen (exemplarisch) (Forts.) • Internet-Zugang aus FuL-Netz kann relativ frei gewährt werden – • wenn Versorgungsnetz adäquat gekapselt. • Mailzugang von außen über OMA/OWA mit ISA-Server(oder äquivalente Lösung) • Kontrolle über Endgeräte durch IT-Abteilung, z. B. Remote Wipe. • Auch Smart-Phones bedienbar • Fernwartung bevorzugt über VPN-Tunnel. • Nicht von allen Firmen akzeptiert. • Medizin-Geräte trotz Isolierung in Subnetzen weiterhin problematisch.

  9. Konkrete Lösungen (exemplarisch) (Forts.) • Fernzugang für Mitarbeiter (z. B. Hintergrunddienst) über virtuellen/ remote Desktop. • Geeignet: Portal (z. B. mit Juniper SA), • Zugriffsschutz durch Tokens (statt nur Passwort). • Mobile Datenträger im FuL-Netz frei nutzbar, • auch USB-Sticks die „unterwegs“ waren. • … im Versorgungsnetz nicht zugelassen. • Ausnahmen (z. B. Patienten-CD) nur über kontrollierte Lesestationen. • Privatgeräte und -datenträger zur dienstlichen Nutzung nur nach Anmeldung bei/ Kontrolle durch zentrale IT.

  10. Fazit • Gemeinsame Empfehlung noch in Arbeit. • AG DGI wird das Thema aufgreifen. • Einheitliches Sicherheitsniveau durch Kooperation verschiedener Kliniken. • Muster für Policies und Verpflichtungserklärungen (im Rahmen eines IT-Sicherheitskonzepts). • Stärkung der IT-Abteilung gegenüber • Anwendern, • Vorstand. • Bisher noch nicht technisch lösbare Probleme müssen im Auge behalten werden. • Personelle und technische Ressourcen für die IT-Abteilung müssen definiert und angemessen bereit gestellt werden.

More Related